Η μόλυνση από κακόβουλο λογισμικό είναι εύκολη. Απλά πρέπει να ανοίξετε ένα ύποπτο αρχείο ή να επισκεφτείτε έναν κακόβουλο ιστότοπο και να χτυπήσετε, ο υπολογιστής σας έχει μολυνθεί. Από την άλλη πλευρά, η ανάλυση και αντίστροφη κακόβουλο λογισμικό είναι ένα πολύ δύσκολο έργο που μόνο οι ειδικοί μπορούν να κάνουν με εξειδικευμένα εργαλεία. Αν είστε ένας από εκείνους που είναι περίεργοι για το πώς λειτουργεί το κακόβουλο λογισμικό, υπάρχει ένα Linux distro που έρχεται με όλα τα απαραίτητα εργαλεία για να αναλύσετε κακόβουλα προγράμματα.

Το REMnux είναι μια ελαφριά διανομή Linux που σας επιτρέπει να πραγματοποιήσετε ανάλυση κακόβουλου λογισμικού ή ακόμα και να αναστρέψετε μηχανικά το κακόβουλο λογισμικό για να μάθετε πώς λειτουργεί.

Το REMnux χρησιμοποιείται καλύτερα σε απομονωμένο περιβάλλον, όπως εικονική μηχανή ή Live CD, έτσι ώστε το κακόβουλο λογισμικό να μην βλάψει το κύριο μηχάνημα. Έρχεται με τη μορφή OVF / OVA, όπου μπορείτε να εισάγετε εύκολα στην εικονική μηχανή σας όπως το VirtualBox ή το VMware. Υπάρχει επίσης μια εικόνα ISO, όπου μπορείτε να κάνετε εγγραφή σε ένα CD και να την εκκινήσετε στον υπολογιστή σας.

Το REMnux βασίζεται στο Ubuntu και έρχεται με επιφάνεια εργασίας LXDE, κυρίως λόγω του μικρού αποτυπώματος μνήμης. Κατά την πρώτη εκτέλεση, ίσως να μην γνωρίζετε τι είναι ικανό να κάνει το REMnux και ποιο είδος εργαλείων περιλαμβάνεται. Ο έλεγχος του μενού εφαρμογής δεν είναι χρήσιμος, καθώς τα περισσότερα εργαλεία βασίζονται στην γραμμή εντολών και δεν εμφανίζονται στο μενού. Ένας καλός τρόπος για να ξεκινήσετε είναι να περάσετε από τις "Συμβουλές REMnux" στην επιφάνεια εργασίας. Αυτό θα σας δώσει μια επισκόπηση του τι μπορεί να κάνει η REMnux και των οδηγιών για την πραγματοποίηση της ανάλυσης.

Πράγματα που μπορεί να κάνει το REMnux:

Αναλύστε το Malware δικτύου

Υπάρχουν διάφορα εργαλεία που σχετίζονται με το δίκτυο στο REMnux που σας επιτρέπουν να σαρώσετε εύκολα το δίκτυο για δραστηριότητες κακόβουλου λογισμικού. Το Wireshark είναι ένας αναλυτής πρωτοκόλλου δικτύου και είναι ιδανικό για την προβολή των δραστηριοτήτων του δικτύου σας σε μικροσκοπικό επίπεδο. Το Honeyd, το stunnel και το FakeDNS είναι χρήσιμα για τη δημιουργία εικονικών δοχείων για την προσομοίωση ενός άπειρου αριθμού δικτύων υπολογιστών και για τον καθορισμό της τέλειας δοκιμαστικής μονάδας για την ανίχνευση κακόβουλου λογισμικού.

Αναλύστε τον κακόβουλο ιστότοπο

Το πρόγραμμα περιήγησης Firefox στο REMnux έρχεται με πολλές χρήσιμες επεκτάσεις προεγκατεστημένες για να σας βοηθήσουν να αναλύσετε τον κακόβουλο ιστότοπο. Το Firebug, το javascript deobfuscator, τα δεδομένα παραβίασης και το switch των χρηστών είναι μερικά από αυτά που σας διευκολύνουν να ελέγξετε τη λειτουργία ενός κακόβουλου ιστότοπου.

Αναλύστε κακόβουλα αρχεία

Εάν διαθέτετε ένα αρχείο PDF ή ένα έγγραφο του Microsoft Office που υποπτεύεστε ότι έχει μολυνθεί, μπορείτε να σαρώσετε τα έγγραφα με εργαλεία όπως το PDF Walker, το pyOLEScanner κ.λπ. Υπάρχει επίσης το PEScanner και το SCTest για τη σάρωση εκτελέσιμων αρχείων και κελυφών.

Το Πλαίσιο Πλαίσιο Μεταβλητότητας Μνήμης περιλαμβάνεται επίσης στο REMnux και μπορεί να σας δώσει μια εικόνα της κατάστασης εκτέλεσης του συστήματος. Μπορεί να εντοπίσει κρυφές διεργασίες, να καταγράψει όλες τις διαδικασίες, να δείξει ένα κλειδί μητρώου ή ακόμα και να βρει και να εξαγάγει κακόβουλο λογισμικό.

συμπέρασμα

Το καλό για REMnux είναι ότι περιέχει τα περισσότερα από τα εργαλεία που χρειάζεστε για να αναλύσετε PDF, Flash, Javascript και άλλα κακόβουλα προγράμματα. Μπορείτε βεβαίως να εγκαταστήσετε αυτά τα εργαλεία στην τρέχουσα διανομή σας, αλλά αυτό θα απαιτήσει πολύ χρόνο και διαμόρφωση. Με το REMnux, απλά το ξεκινάτε και μπορείτε να το εκτελέσετε αμέσως. Ένα πράγμα όμως, REMnux δεν προορίζεται για όλους. Προετοιμαστείτε να βγάλετε τα χέρια σας βρώμικα, καθώς τα περισσότερα εργαλεία βασίζονται στην γραμμή εντολών.