Reverse Engineer och Analysera skadlig kod med REMnux
Att bli smittad av skadlig kod är lätt. Du måste bara öppna en misstänkt fil, eller besöka en skadlig webbplats, och boom, din dator är infekterad. Å andra sidan är analys och omvänd ingenjörsskydd en mycket svår uppgift som endast experter kan göra med specialverktyg. Om du är en av dem som är nyfiken på hur skadlig kod fungerar, finns det en Linux-distro som innehåller alla nödvändiga verktyg för att analysera skadlig kod.
REMnux är en lätt Linux-distribution som gör det möjligt att utföra malwareanalys eller till och med omvänd malware för att få reda på hur det fungerar.
REMnux används bäst i en isolerad miljö, t.ex. virtuell maskin eller Live CD, så att skadlig programvara inte skadar huvudmaskinen. Den kommer i OVF / OVA-formatet där du enkelt kan importera till din virtuella maskin som VirtualBox eller VMware. Det finns också en ISO-bild där du kan bränna in i en CD och starta den på datorn.
REMnux är baserat på Ubuntu och det levereras med LXDE-skrivbord, främst på grund av det lilla minnesfotavtrycket. Vid första loppet kan du inte ana vad REMnux kan göra och vilken typ av verktyg som ingår. Det går inte att kolla in programmenyn, eftersom de flesta verktygen är kommandoradsbaserade och inte visas i menyn. Ett bra sätt att komma igång är att gå igenom "REMnux Tips" på skrivbordet. Detta ger dig en översikt över vad REMnux kan göra och instruktionerna för att utföra analysen.
Saker som REMnux kan göra:
Analysera nätverkets skadliga program
Det finns flera nätverksrelaterade verktyg i REMnux som låter dig enkelt skanna nätverket för skadliga programaktiviteter. Wireshark är en nätverksprotokollanalysator och den är perfekt för visning av nätverksaktiviteter på mikroskopisk nivå. Honeyd, Stunnel och FakeDNS är användbara för att skapa virtuella behållare för att simulera ett oändligt antal datanätverk och ställa in den perfekta testbädden för malwareanalys.
Analysera skadlig webbplats
Firefox-webbläsaren i REMnux kommer med många användbara tillägg förinstallerade för att hjälpa dig att analysera skadlig webbplats. Firebug, javascript deobfuscator, manipuleringsdata och användaromvandlare är några av dem som gör det enkelt för dig att kolla in en skadlig webbplats.
Analysera skadliga filer
Om du har en PDF-fil eller Microsoft Office-dokument som du misstänker var smittad kan du skanna dokumenten med verktyg som PDF Walker, pyOLEScanner etc. Det finns även PEScanner och SCTest för att skanna körbara filer och skalskod.
Volatility Memory Forsenic Framework ingår också i REMnux och kan ge dig en inblick i systemets runtime-status. Det kan upptäcka dolda processer, lista alla processer, visa en registernyckel eller ens hitta och extrahera skadlig kod.
Slutsats
Det bra med REMnux är att det innehåller de flesta verktyg som du behöver för att analysera PDF, Flash, Javascript och annan skadlig kod. Du kan självklart installera dessa verktyg på din nuvarande distro, men det kommer att kräva mycket tid och konfiguration. Med REMnux startar du bara upp den och du kan köra den direkt. En sak är dock inte REMnux avsedd för alla. Var beredd att få dina händer smutsiga, eftersom de flesta verktygen är kommandoradsbaserade.