Въведение в инструментите за анализ на злонамерен софтуер
Предимствата на използването на компютри за официални и лични цели са много, но има и заплахи от измамите, опериращи онлайн. Такива измами се наричат киберпрестъпници. Те открадват нашата идентичност и друга информация, като създават злонамерени програми, наречени злонамерен софтуер. Процесът на анализ и определяне на целта и функционалността на зловредния софтуер се нарича анализ на зловреден софтуер. Зловредният софтуер се състои от злонамерени кодове, които трябва да бъдат открити с помощта на ефективни методи и анализ на злонамерен софтуер се използва за разработване на тези методи за откриване. Анализът на зловреден софтуер също е от съществено значение за разработването на инструменти за премахване на злонамерен софтуер след откриване на злонамерени кодове.
Инструменти за анализ на злонамерен софтуер
Някои от инструментите и техниките за анализ на злонамерен софтуер са изброени по-долу:
1. PEiD
Киберпрестъпниците се опитват да опаковат своя злонамерен софтуер, така че да е трудно да се определи и анализира. Приложение, което се използва за откриване на такъв опакован или криптиран злонамерен софтуер, е PEiD. Потребител dB е текстов файл, от който се зареждат PE файловете и 470 форми на различни подписи в PE файловете могат да бъдат открити от PEiD.
2. Проходилка на зависимостта
Модулите на 32-битовите и 64-битовите прозорци могат да бъдат сканирани с помощта на приложение, наречено Dependency walker. Функциите на модула, които се импортират и експортират, могат да бъдат изброени с помощта на проходилка на зависимост. Файловите зависимости могат да се показват и с помощта на проходилка на зависимости и това намалява необходимия набор от файлове до минимум. Информацията, съдържаща се в тези файлове като пътека на файла, номер на версията и т.н., също може да бъде показана с помощта на проходилка на зависимостта. Това е безплатно приложение.
3. Ресурсен хакер
Ресурсите от двоичните файлове на Windows могат да бъдат извлечени с помощта на приложение, наречено Resource Hacker. Извличането, добавянето, модифицирането на ресурси като низове, изображения и т.н. може да се извърши с помощта на хакер за ресурси. Това е безплатно приложение.
4. PEview
Файловите заглавки на преносими изпълними файлове се състоят от информация, заедно с другите раздели на файла, и тази информация може да бъде достъпна с помощта на приложение, наречено PEview. Това е безплатно приложение.
5. FileAlyzer
FileAlyzer също е инструмент за достъп до информацията в заглавките на файлове на преносими изпълними файлове, заедно с другите раздели на файла, но FileAlyzer предоставя повече функции и функции в сравнение с PEview. Някои от функциите са VirusTotal за анализ приема зловредния софтуер от раздела VirusTotal, а функциите разпаковат UPX и други файлове, които са опаковани.
6. SysAnalyzer Github Repo
Различните аспекти на състоянията на системата и състоянията на процесите се наблюдават с помощта на приложение, наречено SysAnalyzer. Това приложение се използва за анализ на време на изпълнение. Действията, предприети от двоичния файл в системата, се отчитат от анализаторите, използващи SysAnalyzer.
7. Regshot 1.9.0
Regshot е помощна програма, която сравнява регистъра, след като системните промени са направени с системния регистър, преди системата да се промени.
8. Wireshark
Анализът на мрежовите пакети се извършва чрез Wireshark. Мрежовите пакети се улавят и данните, съдържащи се в пакетите, се показват.
9. Онлайн услуга на Robtex
Анализът на интернет доставчици, домейни, структура на мрежата се извършва с помощта на онлайн услугата Robtex.
10. VirusTotal
Анализ на файлове, URL адреси за откриване на вируси, червеи и т.н. се прави с помощта на услугата VirusTotal.
11. Mobile-Sandbox
Анализът на зловреден софтуер на смартфоните на операционната система android се извършва с помощта на мобилен пясъчник.
12. Малцила
Зловредните страници се изследват от програма, наречена Malzilla. Използвайки malzilla, можем да изберем нашия потребителски агент и референт, а malzilla може да използва прокси. Източникът, от който са извлечени уеб страниците и HTTP заглавките, е показан от malzilla.
13. Нестабилност
Артефактите в летливата памет също наречени RAM, които са цифрови, се извличат с помощта на Volatility Framework и това е колекция от инструменти.
14. APKTool
Приложенията за Android могат да бъдат конструирани обратно чрез APKTool. Ресурсите могат да бъдат декодирани до първоначалния им вид и могат да бъдат възстановени с необходимите промени.
15. Dex2Jar
Изпълнимият формат на Android Dalvik може да се чете с помощта на Dex2Jar. Инструкциите за dex се четат във формат dex-ir и могат да бъдат променени в ASM формат.
16. Смали
Реализацията на виртуална машина на Dalvik и Android използва dex формат и той може да бъде сглобен или разглобен с помощта на Smali.
17. PeePDF
Вредните PDF файлове могат да бъдат идентифицирани с помощта на инструмента PeePDF, написан на python език.
18. Пясъчник за кукувици
Анализът на подозрителни файлове може да бъде автоматизиран с помощта на пясъчната кукувица.
19. Droidbox
Приложенията на android могат да бъдат анализирани с помощта на droidbox.
20. Малвазъм
Базата данни, състояща се от всички дейности, свързани със злонамерен софтуер, стъпките на анализа могат да се поддържат с помощта на инструмента за злонамерен софтуер и този инструмент се основава на кукувичната кутия.
21. Правила на Yara
Класификацията на злонамерен софтуер, която се основава на текст или двоичен файл, след като те са анализирани от инструмента Кукувица, се извършва от инструмента, наречен Yara. Описания на зловреден софтуер на базата на модели се пишат с помощта на Yara. Инструментът се нарича Yara Rules, защото тези описания се наричат правила. Съкращението на Yara е още една рекурсивна съкращение.
22. Google Rapid Response (GRR)
Отпечатъците, оставени от злонамерен софтуер на конкретни работни станции, се анализират от рамката на Google Rapid Response. Изследователите, принадлежащи към сигурността, ядоха Google, разработиха тази рамка. Целевата система се състои от агент от Google Rapid Response и агентът взаимодейства със сървъра. След разполагането на сървъра и агента те стават клиенти на GRR и улесняват разследванията на всяка система.
23. REMnux
Този инструмент е предназначен да обърне инженерния зловреден софтуер. Той комбинира няколко инструмента в едно за лесно определяне на зловредния софтуер въз основа на Windows и Linux. Използва се за проучване на злонамерения софтуер, който се основава на браузър, провеждане на криминалистични данни върху паметта, анализ на разновидности на зловреден софтуер и др. Подозрителните елементи могат също да бъдат извлечени и декодирани с помощта на REMnux.
25. Брато
Рамката на bro е мощна и се основава на мрежа. Трафикът в мрежата се преобразува в събития и това от своя страна може да задейства скриптове. Bro е като система за откриване на проникване (IDS), но функционалностите му са по-добри от IDS. Използва се за провеждане на криминалистически разследвания, мониторинг на мрежи и др.
заключение
Анализът на зловреден софтуер играе важна роля за избягване и определяне на кибератаки. Експертите по киберсигурност използваха ръчния анализ на зловреден софтуер ръчно преди петнадесет години и това беше отнемащ време процес, но сега експертите по киберсигурност могат да анализират жизнения цикъл на злонамерен софтуер, използвайки инструменти за анализ на зловреден софтуер, като по този начин увеличават интелигентността на заплахите.
Препоръчителен член
Това е ръководство за инструменти за анализ на злонамерен софтуер. Тук обсъждаме някои от най-често използваните инструменти като PEiD, Walker Dependpendation, Resource Hacker и др. Можете също да разгледате и другите ни предложени статии, за да научите повече -
- За какво ни е необходимо бета тестване?
- Въведение в инструментите за покритие на код
- Топ 10 успешни инструмента за тестване в облак
- 7 различни IPS инструменти за превенция на системата