Bevezetés a malware elemző eszközökbe
A számítógépek hivatalos és személyes célokra történő használatának előnyei nagyobbak, de vannak fenyegetések az interneten működő csalásokkal is. Az ilyen csalásokat kiberbűnözőknek nevezik. Lopnak személyazonosságunkat és egyéb információinkat rosszindulatú programoknak nevezett rosszindulatú programok létrehozásával. A rosszindulatú programok elemzésének és céljának és funkcionalitásának meghatározásának folyamatát malware elemzésnek nevezzük. A rosszindulatú programok olyan rosszindulatú kódokból állnak, amelyeket hatékony módszerekkel kell felismerni, és a rosszindulatú programok elemzésével fejlesztik ezeket az észlelési módszereket. A rosszindulatú programok elemzése szintén elengedhetetlen a rosszindulatú programok eltávolító eszközeinek fejlesztéséhez, miután a kártékony programokat felfedezték.
Malware elemző eszközök
Néhány rosszindulatú program elemző eszköz és technika felsorolása az alábbiakban található:
1. PEID
A számítógépes bűnözők megpróbálják csomagolni a rosszindulatú programjukat, hogy nehéz legyen meghatározni és elemezni. Az ilyen csomagolt vagy titkosított rosszindulatú programok észlelésére a PEiD alkalmazás használható. A dB felhasználói szöveges fájl, ahonnan a PE fájlok betöltődnek, és a PEiD a 470 különféle aláírás formáját képes felismerni a PE fájlokban.
2. Függőség Walker
A 32 bites és a 64 bites Windows moduljait a Dependency walker nevű alkalmazás segítségével lehet szkennelni. A modul importált és exportált funkciói felsorolhatók a függőségi sétáló segítségével. A fájlfüggőségek egy függőségi sétáló segítségével is megjeleníthetők, és ez minimálisra csökkenti a szükséges fájlkészletet. Az ezekben a fájlokban található információk, például a fájl elérési útja, verziószáma stb. A függőségi sétáló segítségével is megjeleníthetők. Ez egy ingyenes alkalmazás.
3. Erőforrás-hacker
A Windows bináris fájlokból származó erőforrásokat az Resource Hacker nevű alkalmazás segítségével lehet kibontani. Az erőforrások, például karakterláncok, képek stb. Kibontása, hozzáadása és módosítása erőforrás-hacker segítségével végezhető el. Ez egy ingyenes alkalmazás.
4. PE nézet
A hordozható, futtatható fájlok fejlécei az információkból állnak, a fájl többi részével együtt, és ezek az információk elérhetőek a PEview nevű alkalmazás segítségével. Ez egy ingyenes alkalmazás.
5. FileAlyzer
A FileAlyzer egy eszköz a hordozható végrehajtható fájlok fájlfejlécében található információk eléréséhez, a fájl többi részével együtt, de a FileAlyzer a PEview-hoz képest több funkcióval és funkcióval rendelkezik. Néhány szolgáltatás a VirusTotal elemzéséhez elfogadja a VirusTotal lapon található rosszindulatú programokat, a funkciók pedig kicsomagolják az UPX és más csomagolt fájlokat.
6. A SysAnalyzer Github Repo
A rendszerállapotok és a folyamatállapotok különféle aspektusait a SysAnalyzer nevű alkalmazás segítségével figyeljük. Ez az alkalmazás futásidejű elemzésre szolgál. Az elemzők a SysAnalyzer használatával jelentik a rendszerben a binárisan végrehajtott műveletekről.
7. Regshot 1.9.0
A Regshot egy segédprogram, amely összehasonlítja a rendszerleíró adatbázist a rendszerváltozások elvégzése után a rendszerleíró adatbázismal, mielőtt a rendszer megváltozna.
8. Wireshark
A hálózati csomagok elemzését a Wireshark segítségével végezzük. A hálózati csomagokat elfogják, és a csomagokban található adatok megjelennek.
9. Robtex Online szolgáltatás
Az Internet Szolgáltatók, a Domainek és a hálózat szerkezetének elemzését a Robtex online szolgáltatási eszköz segítségével végezzük.
10. VirusTotal
A fájlok, a vírusok, férgek stb. Kimutatására szolgáló URL-ek elemzése a VirusTotal szolgáltatás használatával történik.
11. Mobil-Sandbox
Az android operációs rendszer okostelefonjainak malware elemzése mobil-sandbox segítségével történik.
12. Malzilla
A rosszindulatú oldalakat a Malzilla nevű program fedezi fel. A malzilla használatával kiválaszthatjuk a felhasználói ügynököt, az utaló és a malzilla pedig proxykat használhat. A weblapok és a HTTP fejlécek származtatásának forrását a malzilla mutatja.
13. Volatilitás
Az illékony memóriában elnevezett, digitális memória tárgyak, amelyek digitálisak, a Volatility keretrendszer segítségével kerülnek kinyerésre, és ez egy eszközgyűjtemény.
14. APKTool
Az Android alkalmazások visszafordíthatók az APKTool segítségével. Az erőforrások dekódolhatók az eredeti formájukhoz, és a szükséges változtatásokkal újraépíthetők.
15. Dex2Jar
Az android Dalvik futtatható formátuma a Dex2Jar használatával olvasható. A dex utasításokat dex-ir formátumban olvassa és ASM formátumra változtathatja.
16. Smali
A Dalvik és az Android virtuális gépének megvalósítása a dex formátumot használja, és összeállítható vagy terjeszthető a Smali segítségével.
17. PeePDF
A káros PDF fájlokat a Python nyelvű PeePDF eszköz segítségével lehet azonosítani.
18. Kakukk homokozó
A gyanús fájl elemzése a kakukk homokozóval automatizálható.
19. Droidbox
Az android alkalmazásokat droidbox segítségével elemezhetjük.
20. Malwasm
Az összes malware tevékenységből álló adatbázis, az elemzési lépések a malwasm eszköz használatával fenntarthatók, és ez az eszköz a kakukk homokozójára épül.
21. Yara szabályok
A szövegen alapuló vagy bináris rosszindulatú programok osztályozását a Kakukk eszköz elemzése után a Yara nevű eszköz végzi. A malware mintázat alapú leírása a Yara használatával készült. Az eszközt Yara-szabályoknak hívják, mert ezeket a leírásokat szabályoknak nevezik. A Yara rövidítése Egy újabb rekurzív betűszó.
22. Google gyorsreagálás (GRR)
A konkrét munkaállomásokon a rosszindulatú programok által elhagyott lábnyomokat a Google gyorsreagálási keretrendszere elemzi. A google biztonsághoz tartozó kutatók kidolgozták ezt a keretet. A célrendszer a Google Rapid Response ügynökéből áll, és az ügynök kölcsönhatásba lép a kiszolgálóval. A kiszolgáló és az ügynök telepítése után a GRR ügyfeleivé válnak, és megkönnyítik az egyes rendszerek vizsgálatát.
23. REMnux
Ezt az eszközt a rosszindulatú programok visszafordítására tervezték. Több eszközt egyesít egybe a Windows és a Linux alapú rosszindulatú programok könnyű meghatározásához. A böngészőn alapuló rosszindulatú programok kivizsgálására, a kriminalisztika elvégzésére a memóriában, a malware fajták elemzésére stb. A gyanús tárgyakat a REMnux segítségével is kibonthatják és dekódolhatják.
25. Bro
A tesó kerete erőteljes és hálózaton alapul. A hálózat forgalma eseményekké alakul, és ez viszont elindíthatja a szkripteket. A tesó olyan, mint egy behatolás-érzékelő rendszer (IDS), de működése jobb, mint az IDS. Kriminalisztikai vizsgálat elvégzésére, hálózatok megfigyelésére stb.
Következtetés
A rosszindulatú programok elemzése fontos szerepet játszik az internetes támadások elkerülésében és meghatározásában. A kiberbiztonsági szakértők tizenöt év elõtt manuálisan végezték el a rosszindulatú programok elemzését, és ez idõigényes folyamat volt, ám most a kiberbiztonsági szakértõk a malware elemzõ eszközökkel elemezhetik a rosszindulatú programok életciklusát, ezáltal növelve a veszélyek intelligenciáját.
Ajánlott cikk
Ez egy útmutató a Malware Analysis Tools-hoz. Itt tárgyaljuk a leggyakrabban használt eszközöket, például a PEiD, Dependency Walker, Resource Hacker stb. További információkért áttekintheti a többi javasolt cikket is -
- Mire van szükség béta tesztelésre?
- Bevezetés a kódfedezeti eszközökbe
- A tíz legjobb sikeres felhőtesztelő eszköz
- 7 Különböző IPS eszköz a rendszermegelőzéshez