At blive smittet af malware er nemt. Du skal bare åbne en mistænkelig fil, eller besøge et ondsindet websted, og boom, din computer er inficeret. På den anden side er analyse og omvendt malware en meget vanskelig opgave, som kun eksperter kan gøre med specialiserede værktøjer. Hvis du er en af ​​dem, der er nysgerrige efter, hvordan malware virker, er der en Linux distro, der leveres med alle de nødvendige værktøjer til at analysere malware.

REMnux er en letvægts Linux distribution, der giver dig mulighed for at udføre malware analyse, eller endda omdanne malware til at finde ud af, hvordan det virker.

REMnux bruges bedst i et isoleret miljø, som f.eks. Virtuel maskine eller live cd, så malware ikke vil skade hovedmaskinen. Den kommer i OVF / OVA formatet, hvor du nemt kan importere til din virtuelle maskine som VirtualBox eller VMware. Der er også et ISO-billede, hvor du kan brænde ind i en cd og starte den op på din computer.

REMnux er baseret på Ubuntu, og det leveres med LXDE desktop, hovedsagelig på grund af dets lille hukommelsesfodaftryk. I første omgang kan du ikke have nogen idé om, hvad REMnux er i stand til at gøre, og hvilken type værktøjer der er inkluderet. Det er ikke nyttigt at tjekke programmenuen, da de fleste af værktøjerne er kommandolinjebaserede og ikke vises i menuen. En god måde at komme i gang på er at gå gennem "REMnux Tips" på skrivebordet. Dette giver dig et overblik over, hvad REMnux kan gøre og vejledningen til at udføre analysen.

Ting, som REMnux kan gøre:

Analyser malware til netværket

Der er flere netværksrelaterede værktøjer i REMnux, som gør det nemt at scanne netværket til malware-aktiviteter. Wireshark er en netværksprotokolanalysator, og den er perfekt til visning af dine netværksaktiviteter på et mikroskopisk niveau. Honeyd, stunnel og FakeDNS er nyttige til at skabe virtuelle beholdere for at simulere et uendeligt antal computernetværk og sætte den perfekte testbed til malware analyse.

Analyser ondsindet website

Firefox-browseren i REMnux leveres med mange nyttige udvidelser, som er forudinstalleret til at hjælpe dig med at analysere skadelig hjemmeside. Firebug, javascript deobfuscator, tamper data og bruger agent switcher er nogle af dem, der gør det nemt for dig at tjekke arbejdet på et ondsindet websted.

Analyser ondsindede filer

Hvis du har en PDF-fil eller et Microsoft Office-dokument, som du mistanke om var inficeret, kan du scanne dokumenterne med værktøjer som PDF Walker, pyOLEScanner osv. Der er også PEScanner og SCTest til scanning af eksekverbare filer og shellcode.

Volatilitets Memory Forsenic Framework er også inkluderet i REMnux og kan give dig et indblik i systemets runtime-tilstand. Det kan få øje på skjulte processer, liste alle processer, vise en registreringsdatabasenøgle eller endda finde og udpakke malware.

Konklusion

Det gode ved REMnux er, at det indeholder de fleste af de værktøjer, du har brug for til at analysere PDF, Flash, Javascript og andre malware. Du kan selvfølgelig installere disse værktøjer på din nuværende distro, men det kræver meget tid og konfiguration. Med REMnux starter du bare den op, og du kan køre den med det samme. En ting er dog ikke REMnux beregnet til alle. Vær forberedt på at få dine hænder beskidte, da de fleste værktøjer er kommandolinjebaserede.