Úvod do nástrojov na analýzu škodlivého softvéru
Výhody používania počítačov na úradné a osobné účely sú veľké, ale podvody, ktoré pôsobia online, existujú aj hrozby. Takéto podvody sa nazývajú počítačoví zločinci. Kradnú našu identitu a ďalšie informácie vytváraním škodlivých programov nazývaných malware. Proces analýzy a určenia účelu a funkčnosti škodlivého softvéru sa nazýva analýza škodlivého softvéru. Škodlivý softvér pozostáva zo škodlivých kódov, ktoré sa majú zistiť pomocou účinných metód, a na vývoj týchto metód sa používa analýza škodlivého softvéru. Analýza škodlivého softvéru je tiež nevyhnutná na vývoj nástrojov na odstránenie škodlivého softvéru po zistení škodlivých kódov.
Nástroje na analýzu škodlivého softvéru
Niektoré nástroje a techniky na analýzu škodlivého softvéru sú uvedené nižšie:
1. PEiD
Počítačoví zločinci sa snažia zabaliť svoj malware tak, aby bolo ťažké ho určiť a analyzovať. Aplikácia, ktorá sa používa na detekciu takéhoto zabaleného alebo šifrovaného škodlivého softvéru, je PEiD. Užívateľ dB je textový súbor, z ktorého sa načítajú súbory PE a PEiD dokáže zistiť 470 foriem rôznych podpisov v súboroch PE.
2. Dependency Walker
Moduly 32-bitových a 64-bitových okien je možné skenovať pomocou aplikácie s názvom Dependency Walker. Funkcie modulu, ktoré sa importujú a exportujú, sa dajú vypísať pomocou nástroja na vyhľadávanie závislostí. Závislosti súborov je možné zobraziť aj pomocou prehliadača závislostí, čím sa minimalizuje požadovaná množina súborov. Informácie obsiahnuté v týchto súboroch, ako sú cesta k súboru, číslo verzie atď., Sa dajú zobraziť aj pomocou nástroja na vyhľadávanie závislostí. Toto je bezplatná aplikácia.
3. Hacker zdrojov
Prostriedky z binárnych súborov systému Windows je možné extrahovať pomocou aplikácie s názvom Resource Hacker. Extrakcia, pridávanie, modifikácia zdrojov, ako sú reťazce, obrázky atď., Sa môže vykonávať pomocou hackera zdrojov. Toto je bezplatná aplikácia.
4. PEview
Hlavičky súborov prenosných spustiteľných súborov pozostávajú z informácií spolu s ostatnými časťami súboru a k týmto informáciám sa dá dostať pomocou aplikácie nazývanej PEview. Toto je bezplatná aplikácia.
5. FileAlyzer
FileAlyzer je tiež nástrojom na prístup k informáciám v hlavičkách súborov prenosných spustiteľných súborov spolu s ostatnými časťami súboru, ale FileAlyzer poskytuje viac funkcií a funkcií v porovnaní s programom PEview. Niektoré z funkcií sú VirusTotal pre analýzu akceptuje malware z karty VirusTotal a funkcie rozbaľujú UPX a ďalšie súbory, ktoré sú zabalené.
6. SysAnalyzer Github Repo
Rôzne aspekty stavov systému a stavov procesu sa monitorujú pomocou aplikácie s názvom SysAnalyzer. Táto aplikácia sa používa na runtime analýzu. Činnosti vykonané binárnym systémom v systéme hlásia analytici používajúci program SysAnalyzer.
7. Záznam 1.9.0
Regshot je nástroj, ktorý porovnáva register po vykonaní systémových zmien s registrom pred systémovými zmenami.
8. Wireshark
Analýza sieťových paketov sa vykonáva cez Wireshark. Sieťové pakety sa zachytia a zobrazia sa údaje obsiahnuté v paketoch.
9. Online služba Robtex
Analýza poskytovateľov internetu, domén, štruktúry siete sa vykonáva pomocou online servisného nástroja Robtex.
10. VirusTotal
Analýza súborov, URL na detekciu vírusov, červov atď. Sa vykonáva pomocou služby VirusTotal.
11. Mobile-Sandbox
Analýza škodlivého softvéru smartfónov s operačným systémom Android sa vykonáva pomocou mobilného telefónu.
12. Malzilla
Škodlivé stránky preskúmava program s názvom Malzilla. Pomocou malzilly si môžeme vybrať nášho používateľského agenta a sprostredkovateľa a malzilla môže používať proxy servery. Zdroj, z ktorého sú webové stránky a hlavičky HTTP odvodené, je uvedený pomocou malzilly.
13. Prchavosť
Artefakty v volatilnej pamäti, ktoré sa nazývajú RAM a ktoré sú digitálne, sa extrahujú pomocou rámca Volatility a jedná sa o súbor nástrojov.
14. APKTool
Aplikácie pre Android je možné spätne upravovať pomocou nástroja APKTool. Prostriedky je možné dekódovať do ich pôvodnej podoby a je ich možné obnoviť pomocou požadovaných zmien.
15. Dex2Jar
Spustiteľný formát Android Dalvik je možné prečítať pomocou Dex2Jar. Inštrukcie dex sa čítajú vo formáte dex-ir a môžu sa zmeniť na formát ASM.
16. Smali
Implementácia virtuálneho stroja Dalvik a Android používa formát dex a dá sa zostaviť alebo rozobrať pomocou Smali.
17. PeePDF
Škodlivé súbory PDF možno identifikovať pomocou nástroja PeePDF napísaného v jazyku python.
18. Kukučkové pieskovisko
Analýza podozrivých súborov môže byť automatizovaná pomocou karantény s kukučkou.
19. Droidbox
Aplikácie Androidu je možné analyzovať pomocou droidboxu.
20. Malwasm
Databáza pozostávajúca zo všetkých aktivít škodlivého softvéru, kroky analýzy je možné udržiavať pomocou nástroja na odstránenie malwaru a tento nástroj je založený na karanténe s kukačkou.
21. Pravidlá Yara
Klasifikácia škodlivého softvéru, ktorý je založený na texte alebo binárnom jazyku po ich analýze nástrojom Cuckoo, sa vykonáva pomocou nástroja s názvom Yara. Popisy škodlivého softvéru založené na vzore sú napísané pomocou Yara. Tento nástroj sa nazýva pravidlá Yara, pretože tieto popisy sa nazývajú pravidlá. Skratka Yara je ešte ďalšou rekurzívnou skratkou.
22. Rýchla odozva Google (GRR)
Stopy zanechané malvérom na konkrétnych pracovných staniciach sú analyzované pomocou rámca Google Rapid Response. Vedci, ktorí patria do bezpečnostnej siete google, vyvinuli tento rámec. Cieľový systém pozostáva z agenta zo služby Google Rapid Response a agent interaguje so serverom. Po nasadení servera a agenta sa stanú klientmi GRR a uľahčujú vyšetrovania každého systému.
23. REMnux
Tento nástroj je určený na reverznú analýzu škodlivého softvéru. Kombinuje niekoľko nástrojov do jedného, aby sa dalo ľahko určiť malware založený na systéme Windows a Linux. Používa sa na vyšetrovanie škodlivého softvéru, ktorý je založený na prehliadači, na vykonanie súdneho vyšetrovania v pamäti, na analýzu rôznych druhov škodlivého softvéru atď. Podozrivé položky sa dajú extrahovať a dekódovať aj pomocou REMnux.
25. Bro
Rámec bro je silný a je založený na sieti. Prevádzka v sieti sa prevádza na udalosti, ktoré zase môžu spúšťať skripty. Bro je ako systém detekcie narušenia (IDS), ale jeho funkcie sú lepšie ako IDS. Používa sa na vykonávanie forenzného vyšetrovania, monitorovanie sietí atď.
záver
Analýza škodlivého softvéru zohráva dôležitú úlohu pri predchádzaní kybernetickým útokom a ich určovaní. Experti v oblasti kybernetickej bezpečnosti používali manuálne na vykonanie analýzy škodlivého softvéru pred pätnástimi rokmi a bol to časovo náročný proces, ale teraz môžu odborníci v kybernetickej bezpečnosti analyzovať životný cyklus škodlivého softvéru pomocou nástrojov na analýzu škodlivého softvéru, čím zvyšujú inteligenciu hrozieb.
Odporúčaný článok
Toto je príručka k nástrojom na analýzu malwaru. Tu diskutujeme o najbežnejšie používaných nástrojoch, ako sú PEiD, Dependency Walker, Resource Hacker atď. Ďalšie informácie nájdete aj v ďalších navrhovaných článkoch -
- Čo potrebujeme na testovanie verzie beta?
- Úvod do nástrojov na pokrytie kódu
- Top 10 úspešných nástrojov na testovanie v cloude
- 7 rôznych nástrojov IPS na prevenciu systému