Kỹ sư đảo ngược và phân tích phần mềm độc hại với REMnux
Bị nhiễm phần mềm độc hại thật dễ dàng. Bạn chỉ cần mở một tệp đáng ngờ hoặc truy cập một trang web độc hại và bùng nổ, máy tính của bạn bị nhiễm. Mặt khác, phân tích và đảo ngược phần mềm độc hại kỹ thuật là một nhiệm vụ khó khăn mà chỉ các chuyên gia mới có thể làm với các công cụ chuyên dụng. Nếu bạn là một trong những người tò mò về cách thức hoạt động của phần mềm độc hại, thì có một bản phân phối Linux đi kèm với tất cả các công cụ cần thiết để bạn phân tích phần mềm độc hại.
REMnux là một bản phân phối Linux nhẹ cho phép bạn thực hiện phân tích phần mềm độc hại hoặc thậm chí là thiết kế ngược phần mềm độc hại để tìm hiểu cách hoạt động của phần mềm độc hại.
REMnux là tốt nhất được sử dụng trong một môi trường bị cô lập, chẳng hạn như máy ảo hoặc Live CD, để các phần mềm độc hại sẽ không làm tổn hại đến máy chính. Nó có ở định dạng OVF / OVA, nơi bạn có thể dễ dàng nhập vào máy ảo của bạn như VirtualBox hoặc VMware. Ngoài ra còn có một hình ảnh ISO, nơi bạn có thể ghi vào một đĩa CD và khởi động nó trên máy tính của bạn.
REMnux dựa trên Ubuntu và nó đi kèm với máy tính để bàn LXDE, chủ yếu là do bộ nhớ nhỏ của nó. Trong lần chạy đầu tiên, bạn có thể không biết REMnux có khả năng làm gì và loại công cụ nào được bao gồm. Kiểm tra menu ứng dụng không hữu ích vì hầu hết các công cụ đều dựa trên dòng lệnh và không hiển thị trong menu. Một cách hay để bắt đầu là xem qua “Mẹo REMnux” trên màn hình nền. Điều này sẽ cung cấp cho bạn một cái nhìn tổng quan về những gì REMnux có thể làm và các hướng dẫn để thực hiện phân tích.
Những điều mà REMnux có thể làm:
Phân tích phần mềm độc hại mạng
Có một số công cụ liên quan đến mạng trong REMnux cho phép bạn dễ dàng quét mạng để tìm các hoạt động phần mềm độc hại. Wireshark là một bộ phân tích giao thức mạng và nó là hoàn hảo để xem các hoạt động mạng của bạn ở cấp độ vi mô. Honeyd, stunnel và FakeDNS rất hữu ích cho việc tạo các thùng chứa ảo để mô phỏng một số lượng vô hạn của mạng máy tính và thiết lập testbed hoàn hảo để phân tích phần mềm độc hại.
Phân tích trang web độc hại
Trình duyệt Firefox trong REMnux đi kèm với nhiều phần mở rộng hữu ích được cài đặt sẵn để giúp bạn phân tích trang web độc hại. Firebug, javascript deobfuscator, dữ liệu giả mạo và trình chuyển đổi tác nhân người dùng là một số trong số đó giúp bạn dễ dàng kiểm tra hoạt động của trang web độc hại.
Phân tích tệp độc hại
Nếu bạn có tệp PDF hoặc tài liệu Microsoft Office mà bạn nghi ngờ đã bị nhiễm, bạn có thể quét tài liệu bằng các công cụ như PDF Walker, pyOLEScanner vv. Cũng có PEScanner và SCTest để quét các tệp thi hành và shellcode.
Khung Forsenic Memory Volatility cũng được bao gồm trong REMnux và có thể cung cấp cho bạn một cái nhìn sâu sắc về trạng thái thời gian chạy của hệ thống. Nó có thể phát hiện các quá trình ẩn, liệt kê tất cả các quy trình, hiển thị khóa đăng ký hoặc thậm chí tìm và giải nén phần mềm độc hại.
Phần kết luận
Điều tốt về REMnux là nó chứa hầu hết các công cụ bạn cần để phân tích PDF, Flash, Javascript và các phần mềm độc hại khác. Tất nhiên bạn có thể cài đặt những công cụ này trên bản phân phối hiện tại của bạn, nhưng điều đó đòi hỏi rất nhiều thời gian và cấu hình. Với REMnux, bạn chỉ cần khởi động nó và bạn có thể chạy nó ngay lập tức. Một điều mặc dù, REMnux không có nghĩa là cho tất cả mọi người. Hãy chuẩn bị để có được bàn tay của bạn bẩn như hầu hết các công cụ được dựa trên dòng lệnh.