Reverse Engineering und Malware-Analyse mit REMnux

Es ist einfach, sich mit Malware zu infizieren. Sie müssen lediglich eine verdächtige Datei öffnen oder eine bösartige Website besuchen, um Ihren Computer zu infizieren. Auf der anderen Seite sind Malware-Analyse und Reverse Engineering eine sehr schwierige Aufgabe, die nur Experten mit speziellen Tools durchführen können. Wenn Sie neugierig auf die Funktionsweise von Malware sind, gibt es eine Linux-Distribution, die alle Tools enthält, die Sie zum Analysieren von Malware benötigen.

ist eine leichte Linux-Distribution, mit der Sie Malware-Analysen durchführen oder sogar Malware entschlüsseln können, um herauszufinden, wie sie funktioniert.

REMnux wird am besten in einer isolierten Umgebung wie einer virtuellen Maschine oder einer Live-CD verwendet, damit die Malware die Hauptmaschine nicht beschädigt. Es kommt im OVF / OVA-Format, wo Sie einfach in Ihre virtuelle Maschine wie VirtualBox oder VMware importieren können. Es gibt auch ein ISO-Image, das Sie auf eine CD brennen und auf Ihrem Computer booten können.

REMnux basiert auf Ubuntu und kommt mit dem LXDE-Desktop, vor allem wegen seines geringen Speicherplatzes. Bei der ersten Ausführung haben Sie möglicherweise keine Ahnung, wozu REMnux fähig ist und welche Tools enthalten sind. Auch die Steuerung des Anwendungsmenüs ist nicht sinnvoll, da die meisten Tools befehlszeilenbasiert sind und nicht im Menü erscheinen. Ein guter Anfang ist das Lesen der "REMnux-Tipps" auf dem Desktop. Dadurch erhalten Sie einen Überblick über die Möglichkeiten von REMnux und Anweisungen zur Durchführung der Analyse.

Reverse Engineering und Malware-Analyse mit REMnux

Dinge, die REMnux tun kann:

Auf Netzwerk-Malware scannen

Es gibt mehrere netzwerkbezogene Tools in REMnux, mit denen Sie Ihr Netzwerk einfach auf Malware-Aktivitäten scannen können. Wireshark ist ein Netzwerkprotokollanalysator und eignet sich perfekt, um Netzwerkaktivitäten auf mikroskopischer Ebene anzuzeigen. Honeyd, stunnel und FakeDNS sind nützlich, um virtuelle Container zu erstellen, die eine unendliche Anzahl von Computernetzwerken simulieren und die perfekte Testumgebung für die Malware-Analyse bilden.

Reverse Engineering und Malware-Analyse mit REMnux

Scannen Sie eine bösartige Website

Der Firefox-Browser in REMnux wird mit vielen nützlichen vorinstallierten Erweiterungen geliefert, die Ihnen beim Scannen bösartiger Websites helfen. Firebug, Javascript-Debugger, Datenmanipulation und User-Agent-Switching sind einige davon, die es einfacher machen, den Betrieb einer bösartigen Site zu kontrollieren.

Reverse Engineering und Malware-Analyse mit REMnux

Auf bösartige Dateien scannen

Wenn Sie eine PDF-Datei oder ein Microsoft Office-Dokument haben, von dem Sie vermuten, dass es infiziert ist, können Sie die Dokumente mit Tools wie PDF Walker, pyOLEScanner usw. scannen. Es gibt auch PEScanner und SCTest zum Scannen von ausführbaren Dateien und Shell-Code.

Das Forsenisches Framework für Volatilitätsspeicher Es ist auch in REMnux enthalten und kann Ihnen eine Vorstellung vom Systemlaufzeitstatus geben. Es kann versteckte Prozesse erkennen, alle Prozesse auflisten, einen Registrierungsschlüssel anzeigen oder sogar Malware finden und extrahieren.

Abschluss

Das Gute an REMnux ist, dass es die meisten Tools enthält, die zum Analysieren von PDF, Flash, Javascript und anderen Schadprogrammen benötigt werden. Natürlich können Sie diese Tools auf Ihrer aktuellen Distribution installieren, aber dies erfordert viel Zeit und Konfiguration. Mit REMnux müssen Sie es nur starten und können es sofort ausführen. Eine Sache ist, dass REMnux nicht jedermanns Sache ist. Seien Sie darauf vorbereitet, sich die Hände schmutzig zu machen, da die meisten Tools befehlszeilenbasiert sind.

Index
  1. Dinge, die REMnux tun kann:
    1. Auf Netzwerk-Malware scannen
    2. Scannen Sie eine bösartige Website
    3. Auf bösartige Dateien scannen
  2. Abschluss

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Go up