REMnux este o distribuție open source Ubuntu pe bază de Linux proiectate special pentru analiști malware care sunt în căutarea pentru un sistem gratuit de operare alternativă la Microsoft Windows, pentru ca acestea să reverse engineering software rău intenționat.
Caracteristici pe scurt
Caracteristicile cheie includ capacitatea de a examina malware browser web, managementul interacțiunilor de rețea, să decodeze și extract de artefacte, să examineze fișiere document, investiga malware Linux, examinează static fișiere PE, să examineze proprietățile și conținutul fișierului, procesa mai multe probe, să examineze instantanee de memorie , precum și pentru a edita și a vizualiza o gamă largă de fișiere.
Distribuit ca un DVD live și arhivă virtuală aparat
Sistemul de operare poate fi descărcat într-o singură live imagine DVD ISO care acceptă ambele platforme hardware pe 32 de biți și pe 64 de biți și trebuie să fie scris pe discuri DVD sau flash drive-uri USB de 2GB sau capacitate mai mare pentru a se porni de la BIOS-ul de pe un PC, precum și o arhivă dispozitiv virtual (OVA) pentru software-ul de virtualizare VirtualBox și VMware.
Acesta dispune de un încărcător de boot standard, care pot fi găsite pe o gamă largă de distribuții Linux bazate pe Ubuntu, permițând utilizatorului să înceapă mediul viu cu opțiunile implicite sau în modul de grafică de siguranță prin forțarea framebuffer VESA, efectua o memorie de sistem (RAM) de testare, și porniți un sistem de operare existent la primul disc.
Mediu minimal, rapid și productiv desktop powered by LXDE
În mod implicit, Live CD-ul este proiectat pentru a deschide un emulator de terminal de la get-go. Se folosește de Lightweight X11 Desktop mediu (LXDE), cu o opera de arta întuneric și un singur panou situat la marginea de jos a ecranului, de unde utilizatorul poate accesa aplicațiile sau interacționează cu programe de funcționare.
Printre aplicațiile preinstalate, putem menționa editor de text SciTE, wxHexEditor editor hex, scaner în rețea Wireshark, XMind instrument de cartografiere minte, browser-ul de baze de date SQLite, browser web Mozilla Firefox, și music player LXMusic.
Linia de fund
În concluzie, REMnux nu este cu siguranta o distribuție Linux pentru utilizator obișnuit. Ea se bazează pe o versiune mai veche, neacceptată de Ubuntu (11.10 - Ocelot oniric)., Dar oferă o colecție elegant de alte caracteristici utile, care va ajuta analiștii malware pentru a inversa-inginer software rău intenționat
Ce este nou în această versiune:
- Sunt incantata sa anunte lansarea V6 de distro REMnux, care ajuta analiștii examinează malware folosind Utilități gratis în un mediu Linux. REMnux V6 actualizează instrumentele care au fost prezente în revizuirile anterioare ale distro și introduce mai multe noi. În plus, pune în aplicare modificările arhitecturale majore din spatele scenei pentru a permite utilizatorilor să aplice cu ușurință REMnux actualizări viitoare, fără a fi nevoie să descărcați mediul complet REMnux de la zero.
- Obțineți REMnux V6:
- Cel mai simplu mod de a obține cele mai recente distribuția REMnux este de a descărca fișierul virtuale de aparat OVA, apoi importați-l în aplicația dumneavoastră de virtualizare, cum ar fi preferat VMware Workstation și VirtualBox. După pornirea mașinii virtuale importat, executați & quot; Actualizare remnux full & quot; comanda pentru a actualiza software-ul său. Pentru instrucțiuni detaliate, vă rugăm să consultați instrucțiunile de instalare REMnux.
- De asemenea, puteți adăuga distro REMnux la un sistem fizic sau virtual existente, care rulează o versiune compatibilă de Ubuntu, inclusiv SIFT Workstation. Puteți realiza acest lucru prin rularea script-ul de instalare REMnux cum este explicat în documentație.
- După instalarea REMnux v6, vei fi capabil de a obține actualizări prin rularea & quot; update-remnux & quot; comandă. Urmați REMnux conturi pe Twitter, Facebook și Google Plus pentru a primi notificări atunci când pachetele sale de analiză malware sunt actualizate sau atunci când noi sunt adăugate la setul de instrumente.
- Instrumente Adăugat la REMnux V6:
- REMnux V6 include următoarele instrumente care nu au fost o parte din distribuția în versiunile anterioare.
- pedump, readpe.py: să examineze static proprietăți ale unui fișier Windows PE
- VirusTotal-unelte: interacționa cu baza de date VirusTotal de la linia de comandă
- Nginx: server Web, care înlocuiește httpd Tiny, care a fost prezent pe REMnux mai devreme
- VolDiff: Compara memorie criminalistica imagini de la fața locului modificări utilizând Volatilitatea
- articolul Editor: Edit IOC Yara, Snort și normele OpenIOC, înlocuind precursorul său Yara Editor
- Rekall: memorie criminalistica instrument și cadru
- m2elf: Creați un fișier binar ELF din shellcode
- Regulamentul Yara: Semnăturile pentru spotting caracteristici malware în fișierele
- OfficeDissector MASTIFF plugin-uri: Examinați fișiere bazate pe XML Microsoft Office utilizând MASTIFF
- Docker: aplicații rula ca containere izolate pe gazdă locală
- AndroGuard: Analiza aplicații Android suspecte
- vtTool: Determinați numele de familie malware specimenului prin interogarea VirusTotal
- oletools, libolecf: analiza fișierele Microsoft Office OLE2
- tcpflow: Examinează traficul în rețea și sculpta fișiere de captare PCAP
- passive.py: Efectuați căutări DNS pasivă, utilizând biblioteca pdns
- CapTipper: Examinează traficul în rețea și tăia fișiere de captare PCAP
- oledump: Examinează fișiere Microsoft Office suspecte
- CFR: decompila fișierele de clasă Java suspecte
- update-remnux: Actualizați distro, actualizarea software-ul și instalarea instrumente adăugat recent
- REMnux V6 include, de asemenea următoarele biblioteci, care dezvoltatorii de software pot utiliza pentru construirea de noi instrumente de malware de analiză și sarcini.
- IOC Writer: biblioteca Python pentru crearea și editarea obiectelor OpenIOC
- Cybox: bibliotecă Python pentru parsarea, manipularea, și generarea de conținut CybOX
- diStorm3, Capstone: biblioteci Python pentru demontarea fișiere binare
- pylibemu: bibliotecă Python pentru accesarea libemu funcționa emulare shellcode
- Yara Library: bibliotecă Python să identifice și să clasifice mostre de malware
- olefile: bibliotecă Python pentru a citi / scrie fișiere Microsoft Office OLE2
- PyV8: bibliotecă înveliș Python pentru motorul V8 JavaScript
- pyssdeep: bibliotecă înveliș Python pentru ssdeep instrumentul hash neclare
- pyexiftool: bibliotecă înveliș Python pentru ExifTool
- OfficeDissector: bibliotecă Python pentru fișierele suspecte bazate pe XML Microsoft Office
- pdns: biblioteca Python pentru efectuarea căutări DNS pasive
- Javassist: bibliotecă Java care ajută cu examinarea Java bytecode
- Pentru o listă a malware utilitatile de analiza disponibile pe REMnux, a se vedea site-ul său de documentare, care include o foaie de calcul și o hartă minte de instrumente si ofera cateva sfaturi de utilizare.
- Actualizat REMnux Arhitectura:
- Un obiectiv major al eliberării V6 de REMnux, dincolo de modernizarea și extinderea setul instrument, este de a moderniza fundație distro de păstrând în același timp aspectul familiar și simt. Persoane familiare cu versiuni anterioare REMnux ar trebui să poată utiliza mediul fără a trebui să se adapteze obiceiurile lor. Cel mai important, utilizatorii REMnux v6 pot primi actualizări viitoare la distro folosind & quot; update-remnux & quot; script fără a fi nevoie sa descarcati o nouă mașină virtuală întreg pentru a efectua upgrade-uri.
- Pentru a realiza aceste obiective, REMnux V6 se bazează pe Ubuntu 14.04 pe 64 de biți. Este un sistem de operare popular și stabil, care va fi în jurul pentru un timp, pentru că este un Long Term Support (LTS) de presă. De asemenea, se bazează acum REMnux foarte mult pe pachetele Debian găzduite în depozit pentru a facilita actualizări convenabile.
- Ca rezultat, REMnux poate fi instalat pe orice sistem nou sau existent Ubuntu 14.04 pe 64 de biți, indiferent dacă este o mașină fizic sau virtual. Acest comunicat este conceput pentru a fi compatibil cu SIFT Workstation, astfel încât oamenii să poată instala ambele distribuții pe același sistem, dacă doresc.
Ce este nou în versiunea 5.0:
- actualizări cheie pentru instrumente și componente deja existente:
- sistemul central: modernizate care stau la baza sistemului de operare Ubuntu și componentele pachetelor; creșterea RAM implicit al aparatului virtuale la 512 MB; înlocuit OpenJDK cu Oracle Java 7 runtime.
- analiza Memorie:. Volatilitatea actualizat la versiunea 2.2
- PDF analiză: Actualizat pdfid și pdf-parser, Origami, peepdf
- Web de analiză: Actualizat SWFTools, V8, libemu, NetworkMiner, Burp proxy, Wireshark, Firefox și ei suplimente .
- Alte modificări: xorsearch Actualizat, DensityScout, Pyew, pasiv-dns, ClamAV, capabilities.yara; înlocuit FreeMind cu XMind
- Noi instrumente adaugă la REMnux:
- instrumente de Windows: Vin instalat; Adaugat OfficeMalScanner, Malzilla
- Analiza XOR: Adaugat NoMoreXOR, brutexor, XORBruteForcer
- analiză dosar PE: PEV a adaugat, dism-acest, ExeScan, udis86 (udcli), autorule (/ usr / local / autorule), distool
- Alte analiză dosar: extract_swf.py Adăugat, ExifTool, MASTIFF
- Alte completări: Adăugat hack-funcții (/ usr / / hack-funcții locale), bulk_extractor, ProcDot
Ce este nou în versiunea 3.0:
- REMnux fost reconstruit să se bazeze pe Ubuntu 11.10 pentru a îmbunătăți mentenabilitatea , menținând în același timp compatibilitate oriunde practice.
- Mediul desktop pe REMnux a fost migrat de a utiliza pentru o mai bună utilizare LXDE, menținând în același timp caracterul ușor de distribuție.
- malware instrumente de analiză disponibile în versiunea anterioară a REMnux au fost modernizate la cele mai recente versiuni stabile pentru a oferi cele mai recente caracteristici și îmbunătățiri. Cele mai importante actualizări includ:
- Cadru Volatilitatea 2.0 pentru memorie criminalistica cu cele mai recente modulele malware și timeliner
- Origami-cadru 1.2.3 pentru analiza PDF, inclusiv pdfcop, pdfextract, pdfwalker, pdfsh, etc.
- REMnux include mai multe instrumente de analiză malware, care nu au fost prezente în versiunile anterioare de distribuție, printre care:
- Analiza de rețea: NetworkMiner, ngrep, pdnstool
- analiza PDF: PDF-X Ray Lite (pdfxray_lite și swf_mastah), peepdf
- analiza de activarea JavaScript-: motor Chrome JavaScript (d8), JS-înfrumuseța
- Examinarea fisiere: Hachoir (hachoir-subfile, hachoir-metadate, hachoir-urwid), pyew, densityscout, findaes
- Alte: JD-GUI, xxxswf.py, FreeMind, xpdf, xortool
Comentariile nu a fost găsit