Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО

09.06.2015 10:58

Доступен новый выпуск специализированного Linux-дистрибутива REMnux, построенного на пакетной базе Ubuntu и предназначенного для изучения и обратного инжиниринга кода вредоносных программ. В процессе анализа REMnux позволяет обеспечить условия изолированного лабораторного окружения, в котором можно сэмулировать работу определенного атакуемого сетевого сервиса для изучения поведения вредоносного ПО в условиях приближенных к реальным. Другой областью применения REMnux является изучение свойств вредоносных вставок на web-сайтах, реализованных на JavaScript, Java или Flash.

Пользовательский интерфейс дистрибутива построен на базе LXDE. В качестве web-браузера поставляется Firefox с дополнениями NoScript, JavaScript Deobfuscator и Firebug. В комплект дистрибутива включена достаточно полная подборка инструментов для анализа вредоносного ПО, утилит для проведения обратного инжиниринга кода, программ для изучения модифицированных злоумышленниками PDF и офисных документов, средств мониторинга активности в системе. Размер загрузочного образа REMnux, сформированного для запуска внутри систем виртуализации, составляет 2.1 Гб.

В комплект входят следующие инструменты:

Анализ вредоносных Flash-роликов: swftools, flasm, flare;
Анализ IRC-ботов: IRC-сервер Inspire IRCd) и IRC-клиент (Irssi);
Мониторинг сетевой активности: Wireshark, Honeyd, INetSim, fakedns, скрипты fakesmtp, NetCat;
Приведение запутанного JavaScript кода в читаемый вид (deobfuscation): JavaScript Deobfuscator, отладчик Rhino, две модифицированные версии SpiderMonkey, Windows Script Decoder, Jsunpack-n;
Слежение за вредоносным ПО в лабораторных условиях: http-сервер TinyHTTPd и прокси Paros proxy
Анализ shell-кода: gdb, objdump, Radare (hex editor+disassembler), shellcode2exe
Разбор защищенных исполняемых файлов: upx, packerid, bytehist, xorsearch, TRiD;
Анализаторы PDF-файлов: Didier's PDF tools, Origami framework, Jsunpack-n, pdftk;
Исследование остаточного содержимого памяти: Volatility Framework;

Новый выпуск примечателен переработкой архитектуры дистрибутива, добавлением утилиты update-remnux для обновления состава виртуального окружения, поставкой новых версий программ. В состав включена большая порция новых приложений и библиотек, полезных для анализа вредоносного ПО, в том числе средства для статического анализа исполняемых файлов Windows PE (pype), офисных файлов (OfficeDissector) и OLE2 (oletool, oledump), сравнения дампов памяти (VolDiff), анализа содержимого памяти (rekall), изучения трафика (tcpflow), проверки Android-приложений (androguard), декомпиляции Java-файлов (cfr).

Добавлена возможность использования контейнеров Docker для дополнительной изоляции инструментов анализа вредоносного ПО. Для пользователей Ubuntu 14.04 подготовлен репозиторий пакетов, из которого можно установить все специфичные для REMnux инструменты и утилиты, которые отсутствуют в штатных репозиториях Ubuntu.

исправить +5 +/–

Главная ссылка к новости (https://zeltser.com/remnux-v6-...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/42393-remnux

Ключевые слова: remnux

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (12)

1.1, Нанобот (ok), 11:20, 09/06/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
судя по списку софта, оно предназначено для реверс-инжениринга любого софта, не только вредоносного. происки маркетолохов? или это разрабы шифруются от закона?

2.5, Аноним (-), 17:54, 09/06/2015 [^] [^^] [^^^] [ответить]	+/–
Зачем заниматься реверс инженирингом свободного ПО? Его исходный код итак всем известен! Да, всю бинарную проприетарщину и вирусную надо реверс инженирить, для поиска бекдоров и троянов.

3.9, IMHO (?), 22:06, 09/06/2015 [^] [^^] [^^^] [ответить]	+/–
> Его исходный код итак всем известен! exe, может быть собран не по коду, как кажется по исходнику

4.10, Аноним (-), 11:07, 10/06/2015 [^] [^^] [^^^] [ответить]	+/–
Я в своих системах всё сам собираю, чужими бинарями и блобами не пользуюсь. Да, для анализа проприетарщины это необходимо, а свободные программы проще пересобрать.

5.11, Andrey Mitrofanov (?), 12:32, 10/06/2015 [^] [^^] [^^^] [ответить]	+/–
> Я в своих системах всё сам собираю, чужими бинарями и блобами не пользуюсь. >а свободные программы проще пересобрать. Стесняюсь спросить, а исходники вычитываете? Полностью? А bios-ы и процессоры-южмосты как проверяете? Мне тоже надо!!

1.2, Аноним (-), 11:43, 09/06/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>...или это разрабы шифруются от закона? Как не стыдно ))

2.6, Аноним (-), 19:29, 09/06/2015 [^] [^^] [^^^] [ответить]	+/–
В данном случае они реально полезное для общества дело делают. Гораздо полезнне, чем законы о защите "интеллектуальной собственности".

1.3, бедный буратино (ok), 12:35, 09/06/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А роликов с Лозинским из "От Винта" нарезали? :)

1.4, Аноним (-), 12:41, 09/06/2015 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
>анализа вредоносного ПО >нет IDA pro ололо

1.7, Аноним (-), 21:25, 09/06/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
В тексте новости ссылка на upx ведёт не туда. Совсем. Вероятнее всего, должна быть эта: http://upx.sourceforge.net/

1.8, klalafuda (?), 21:39, 09/06/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я наверное что-то не понимаю, но что мешает вызвать apt-get install <список> и получить желаемое :-? Можете поменять apt-get на то, что больше по душе, это не меняет сути вопроса и не повод к холивару. Собственно некто, кто в состоянии осмысленно использовать указанный инструментарий, уж что-что а собрать себе за час-два рабочую станцию с нужной ф-ю может на раз-два.

1.12, Аноним (-), 17:44, 10/06/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вот по теме ссылка http://reverseengineering.stackexchange.com/questions/283/are-there-ready-to-

Добавить комментарий

Текст: