Wprowadzenie do narzędzi do analizy złośliwego oprogramowania
Zalety korzystania z komputerów do celów oficjalnych i osobistych są liczne, ale istnieją również zagrożenia ze strony oszustów działających w Internecie. Takie oszustwa nazywane są cyberprzestępcami. Kradną naszą tożsamość i inne informacje, tworząc złośliwe programy zwane złośliwym oprogramowaniem. Proces analizy i określania celu oraz funkcjonalności złośliwego oprogramowania nazywa się analizą złośliwego oprogramowania. Złośliwe oprogramowanie składa się ze złośliwych kodów, które należy wykryć przy użyciu skutecznych metod, a do opracowania tych metod wykrywania wykorzystywana jest analiza złośliwego oprogramowania. Analiza złośliwego oprogramowania jest również niezbędna do opracowania narzędzi do usuwania złośliwego oprogramowania po wykryciu złośliwego kodu.
Narzędzia analizy złośliwego oprogramowania
Niektóre narzędzia i techniki analizy złośliwego oprogramowania są wymienione poniżej:
1. PEiD
Cyberprzestępcy próbują spakować swoje złośliwe oprogramowanie, aby trudno było je ustalić i przeanalizować. Aplikacja służąca do wykrywania takiego spakowanego lub zaszyfrowanego złośliwego oprogramowania to PEiD. Użytkownik dB to plik tekstowy, z którego ładowane są pliki PE, a PEiD może wykryć 470 form różnych podpisów w plikach PE.
2. Walker zależności
Moduły 32-bitowych i 64-bitowych okien można skanować za pomocą aplikacji o nazwie Dependency walker. Funkcje modułu, które są importowane i eksportowane, można wyświetlić za pomocą modułu Walker zależności. Zależności plików można również wyświetlać za pomocą modułu Walker zależności, co zmniejsza wymagany zestaw plików do minimum. Informacje zawarte w tych plikach, takie jak ścieżka pliku, numer wersji itp., Mogą być również wyświetlane za pomocą modułu Walker zależności. To jest darmowa aplikacja.
3. Haker zasobów
Zasoby z plików binarnych systemu Windows można wyodrębnić za pomocą aplikacji o nazwie Resource Hacker. Wyodrębnianie, dodawanie, modyfikowanie zasobów, takich jak ciągi znaków, obrazy itp., Można wykonywać przy użyciu hakera zasobów. To jest darmowa aplikacja.
4. PEview
Nagłówki plików przenośnych plików wykonywalnych składają się z informacji wraz z innymi sekcjami pliku, do których można uzyskać dostęp za pomocą aplikacji o nazwie PEview. To jest darmowa aplikacja.
5. FileAlyzer
FileAlyzer to także narzędzie do uzyskiwania dostępu do informacji w nagłówkach plików przenośnych plików wykonywalnych wraz z innymi sekcjami pliku, ale FileAlyzer zapewnia więcej funkcji i funkcji w porównaniu do PEview. Niektóre funkcje to VirusTotal do analizy akceptuje szkodliwe oprogramowanie z zakładki VirusTotal, a funkcje rozpakowują UPX i inne spakowane pliki.
6. SysAnalyzer Github Repo
Różne aspekty stanów systemu i stanów procesu są monitorowane za pomocą aplikacji o nazwie SysAnalyzer. Ta aplikacja służy do analizy środowiska wykonawczego. Działania podejmowane przez plik binarny w systemie są zgłaszane przez analityków za pomocą SysAnalyzer.
7. Regshot 1.9.0
Regshot to narzędzie, które porównuje rejestr po wprowadzeniu zmian systemowych z rejestrem przed zmianami systemowymi.
8. Wireshark
Analiza pakietów sieciowych odbywa się za pośrednictwem Wireshark. Pakiety sieciowe są przechwytywane i wyświetlane są dane zawarte w pakietach.
9. Usługa online Robtex
Analiza dostawców Internetu, domen, struktury sieci odbywa się za pomocą narzędzia serwisowego Robtex.
10. VirusTotal
Analiza plików, adresów URL do wykrywania wirusów, robaków itp. Odbywa się za pomocą usługi VirusTotal.
11. Mobile-Sandbox
Analiza złośliwego oprogramowania smartfonów z systemem operacyjnym Android odbywa się za pomocą piaskownicy mobilnej.
12. Malzilla
Szkodliwe strony są eksplorowane przez program o nazwie Malzilla. Korzystając z malzilli, możemy wybrać naszego klienta użytkownika i polecającego, a malzilla może korzystać z serwerów proxy. Źródło, z którego pochodzą strony i nagłówki HTTP, pokazuje malzilla.
13. Zmienność
Artefakty w pamięci ulotnej zwane również RAM-ami, które są cyfrowe, są wydobywane przy użyciu struktury Volatility i jest to zbiór narzędzi.
14. APKTool
Aplikacje na Androida można poddać inżynierii wstecznej za pomocą APKTool. Zasoby można zdekodować do ich oryginalnej postaci i można je odbudować z wymaganymi zmianami.
15. Dex2Jar
Format wykonywalny Androida Dalvik można odczytać za pomocą Dex2Jar. Instrukcje dex są odczytywane w formacie dex-ir i można je zmienić na format ASM.
16. Smali
Implementacja maszyn wirtualnych Dalvik i Android wykorzystuje format dex i może być montowana lub demontowana za pomocą Smali.
17. PeePDF
Szkodliwe pliki PDF można zidentyfikować za pomocą narzędzia PeePDF napisanego w języku python.
18. Piaskownica z kukułką
Podejrzaną analizę plików można zautomatyzować za pomocą piaskownicy z kukułką.
19. Droidbox
Aplikacje Androida można analizować za pomocą droidboksa.
20. Malwasm
Baza danych zawierająca wszystkie działania złośliwego oprogramowania, etapy analizy można utrzymywać za pomocą narzędzia malwasm, a narzędzie to jest oparte na piaskownicy z kukułką.
21. Zasady Yara
Klasyfikacji złośliwego oprogramowania opartego na tekście lub pliku binarnym po ich przeanalizowaniu przez narzędzie Kukułka dokonuje narzędzie o nazwie Yara. Opisy złośliwego oprogramowania oparte na wzorcach są pisane przy użyciu Yara. Narzędzie nazywa się Yara Rules, ponieważ te opisy nazywane są regułami. Skrót Yara to Yet Another Recursive Acronym.
22. Google Rapid Response (GRR)
Ślady pozostawione przez szkodliwe oprogramowanie na określonych stacjach roboczych są analizowane w ramach Google Rapid Response. Badacze należący do bezpieczeństwa jedli google, opracowali te ramy. System docelowy składa się z agenta z Google Rapid Response i agent wchodzi w interakcję z serwerem. Po wdrożeniu serwera i agenta stają się klientami GRR i ułatwiają badanie każdego systemu.
23. REMnux
To narzędzie służy do inżynierii wstecznej złośliwego oprogramowania. Łączy kilka narzędzi w jedno, aby łatwo zidentyfikować złośliwe oprogramowanie na podstawie systemu Windows i Linux. Służy do badania złośliwego oprogramowania opartego na przeglądarce, przeprowadzania analizy śledczej w pamięci, analizowania różnych rodzajów złośliwego oprogramowania itp. Podejrzane elementy można również wyodrębnić i odkodować za pomocą REMnux.
25. Bro
Struktura bro jest potężna i oparta na sieci. Ruch w sieci jest zamieniany na zdarzenia, które z kolei mogą wyzwalać skrypty. Bro jest jak system wykrywania włamań (IDS), ale jego funkcje są lepsze niż IDS. Służy do prowadzenia dochodzeń kryminalistycznych, monitorowania sieci itp.
Wniosek
Analiza złośliwego oprogramowania odgrywa ważną rolę w unikaniu i określaniu cyberataków. Eksperci ds. Cyberbezpieczeństwa wykonywali ręcznie analizę złośliwego oprogramowania przed piętnastoma latami i był to proces czasochłonny, ale teraz eksperci w dziedzinie cyberbezpieczeństwa mogą analizować cykl życia złośliwego oprogramowania za pomocą narzędzi do analizy złośliwego oprogramowania, zwiększając w ten sposób inteligencję zagrożeń.
Polecany artykuł
Jest to przewodnik po narzędziach do analizy złośliwego oprogramowania. Tutaj omawiamy niektóre z najczęściej używanych narzędzi, takich jak PEiD, Dependency Walker, Resource Hacker itp. Możesz również przejrzeć nasze inne sugerowane artykuły, aby dowiedzieć się więcej -
- Czego potrzebujemy w testach beta?
- Wprowadzenie do narzędzi pokrycia kodu
- 10 najlepszych narzędzi do testowania w chmurze
- 7 różnych narzędzi IPS do zapobiegania systemom