REMnux

REMnux jest dystrybucja open source Ubuntu oparte Linux specjalnie dla analityków szkodliwego oprogramowania, którzy szukają wolnego alternatywnego systemu operacyjnego Microsoft Windows, w celu ich reverse-engineering złośliwego oprogramowania.

Kluczowe funkcje obejmują możliwość zbadania złośliwego oprogramowania przeglądarki internetowej, zarządzanie komunikacją sieciową, dekodowania i ekstraktu z artefaktów, bada pliki dokumentów, badania Linux złośliwego oprogramowania, statycznie zbadać pliki PE, zbadanie właściwości plików i treści, procesu wiele próbek, badania zrzuty pamięci , a także edytować i przeglądać szeroki zakres plików.

System operacyjny można pobrać jako pojedynczy obraz Live DVD ISO, który obsługuje zarówno 32-bitowych i 64-bitowych platform sprzętowych i musi być zapisane na płytach DVD lub pamięci USB z 2 GB lub większej pojemności w celu uruchomienia go z BIOS na komputerze, a także archiwum urządzenie wirtualne (OVA) dla oprogramowania do wirtualizacji VirtualBox i VMware.

W hotelu znajduje się standardowy boot loader, które można znaleźć w wielu dystrybucjach Linuksa opartych na Ubuntu, pozwalając użytkownikowi uruchomić środowisko żyć z domyślnych opcji lub w trybie graficznym bezpiecznego zmuszając ramki VESA, wykonaj pamięci systemowej (RAM) badanie i uruchomić istniejący system operacyjny z pierwszego dysku.

Domyślnie Live CD został zaprojektowany, aby otworzyć emulator terminala z get-go. Wykorzystuje pulpitu Lightweight X11) Environment (LXDE z ciemną grafiką i jednego panelu znajduje się na dolnej krawędzi ekranu, z którego użytkownik może uzyskać dostęp do aplikacji lub interakcji z uruchomionymi programami.

Wśród preinstalowanych aplikacji na, możemy wspomnieć edytor SciTE tekstu, edytor szesnastkowy wxHexEditor, skaner sieciowy Wireshark, XMind narzędzie mapowania umysłu, SQLite przeglądarki bazy danych, przeglądarki Mozilla Firefox i LXMusic odtwarzacz muzyki.

Podsumowując, REMnux zdecydowanie nie jest to dystrybucja Linuksa dla zwykłego użytkownika. Jest on oparty na starszych, nieobsługiwanych wersji Ubuntu (11.10 - oniryczny Ocelot)., Ale zapewnia schludny kolekcję innych przydatnych funkcji, które pomogą analitycy szkodliwego oprogramowania do inżynierii wstecznej szkodliwego oprogramowania

Co nowego w tym wydaniu:

• Jestem podekscytowany, aby ogłosić wydanie v6 z dystrybucji REMnux, która pomaga analitycy badania złośliwego oprogramowania za pomocą darmowych narzędzi w środowisku Linux. REMnux v6 aktualizuje narzędzia, które były obecne w poprzednich rewizji dystrybucji i wprowadza kilka nowych. Ponadto wprowadza większych zmian architektonicznych za kulisami, aby umożliwić użytkownikom REMnux się łatwo zastosować przyszłych aktualizacji bez konieczności pobierania pełnego środowiska REMnux od podstaw.
• Pobierz REMnux v6:
• Najprostszym sposobem, aby pobrać najnowszą dystrybucję REMnux jest pobranie jej wirtualny plik urządzenia OVA, a następnie zaimportować je do ulubionej aplikacji do wirtualizacji, takich jak VMware Workstation i VirtualBox. Po uruchomieniu importowane maszyny wirtualnej uruchomić & quot; aktualizacja-remnux pełne & quot; dowodzić zaktualizować swoje oprogramowanie. Szczegółowe instrukcje można znaleźć REMnux instrukcje instalacji.
• Alternatywnie, można dodać distro REMnux do istniejącego systemu fizycznego lub wirtualnego, który jest uruchomiony kompatybilną wersję Ubuntu, w tym przesiać Workstation. Można to zrobić poprzez uruchomienie skryptu instalacyjnego REMnux w sposób opisany w dokumentacji.
• Po zainstalowaniu REMnux v6, będziesz w stanie uzyskać aktualizacje, uruchamiając & quot; update-remnux & quot; polecenie. Śledź stanowi REMnux na Twitter, Facebook i Google Plus otrzymać informację, gdy jego malware pakiety analizy są aktualizowane lub gdy nowe są dodawane do zestawu narzędzi.
• Narzędzia Dodano do REMnux v6:
• REMnux v6 zawiera następujące narzędzia, które nie były częścią dystrybucji we wcześniejszych wersjach.
• pedump, readpe.py: statycznie zbadanie właściwości pliku Windows PE
• VirusTotal-tools: Interakcja z bazy danych VirusTotal z linii poleceń
• Nginx: serwer WWW, która zastępuje Tiny HTTPD, który był obecny na REMnux wcześniej
• VolDiff: Porównaj kryminalistyki pamięci obrazów dostrzec zmiany za pomocą zmienność
• Artykuł redaktora: Edycja MKOl Yara, Snort i zasady OpenIOC, zastępując jego prekursora Yara Editor
• Rekall: kryminalistyki pamięci narzędzia i ramy
• m2elf: Załóż ELF pliku binarnego z szelkodu
• Yara Zasady: Podpisy na plamienie szkodliwe właściwości w plikach
• OfficeDissector MASTIFF wtyczki: Sprawdź na bazie plików XML pakietu Microsoft Office za pomocą Mastiff
• Docker: uruchamianie aplikacji jak pojedynczych pojemników na lokalnym komputerze,
• AndroGuard: Analizuj podejrzanych aplikacji Android
• vtTool: Określ malware nazwisko próbki męska zapytań VirusTotal
• oletools, libolecf: Analizuj pliki Microsoft Office OLE 2
• tcpflow: Zbadaj ruch sieciowy i wyrzeźbić plików przechwytywania PCAP
• passive.py: Wykonaj pasywne zapytania DNS za pomocą biblioteki PDNS
• CapTipper: Zbadać ruch sieciowy i wyrzeźbić plików przechwytywania PCAP
• oledump: Sprawdź podejrzanych plików pakietu Microsoft Office
• CFR: dekompilować podejrzanych plików klas Java
• update-remnux: Aktualizacja distro, unowocześnienie oprogramowania i instalacji nowo dodane narzędzia,
• REMnux v6 obejmuje również następujące biblioteki, które programiści mogą wykorzystać do budowy nowych narzędzi do analizy złośliwego oprogramowania i zadań.
• MKOl Scenariusz: biblioteka Pythona do tworzenia i edycji OpenIOC obiektów
• Cybox: biblioteka Pythona do parsowania, manipulowania i generowanie treści CybOX
• diStorm3, Capstone: biblioteki Pythona dla demontażu pliki binarne
• pylibemu: biblioteka Pythona dostępu libemu funkcji emulacji szelkod
• Yara biblioteka: biblioteka Pythona do identyfikacji i klasyfikacji próbek złośliwego oprogramowania
• olefile: biblioteka Pythona do odczytu / zapisu plików pakietu Microsoft Office OLE 2
• PyV8: Python otoki biblioteki dla silnika V8 JavaScript
• pyssdeep: Python otoki biblioteki dla ssdeep rozmytej narzędzie mieszający
• pyexiftool: Python otoki biblioteki dla ExifTool
• OfficeDissector: Python biblioteki do podejrzanych plików opartych na XML pakietu Microsoft Office
• PDNS: biblioteka Pythona do wykonywania biernych zapytań DNS
• Javassist: biblioteki Java, które pomaga w zbadaniu kodu bajtowego Java
• Na notowania malware narzędzi analitycznych dostępnych na REMnux, zobaczyć jego stronę dokumentacji, która zawiera arkusz kalkulacyjny i mapy myśli z narzędzi i oferuje kilka wskazówek użytkowania.
• Aktualizacja REMnux Architektura:
• Głównym celem wersji V6 REMnux, poza modernizacji i rozbudowy zestawu narzędzi, jest modernizacja fundament distro, jednocześnie zachowując znajomy wygląd. Osoby zaznajomione z wcześniejszych wersji REMnux powinien być w stanie korzystać ze środowiska, bez zmiany ich nawyków. Co najważniejsze, użytkownicy mogą odbierać REMnux v6 przyszłe aktualizacje do dystrybucji za pomocą & quot; update-remnux & quot; Skrypt bez pobrać zupełnie nową maszynę wirtualną, aby przeprowadzić aktualizację.
• Aby osiągnąć te cele, REMnux v6 jest oparty na Ubuntu 14.04 64-bit. Jest to popularny i stabilny system operacyjny, który będzie przez jakiś czas, bo to Long Term Support (LTS) rozwiązanie. Również REMnux teraz opiera się głównie na pakietach Debiana umieszczonych w repozytorium ułatwić dogodne aktualizacje.
• W rezultacie REMnux może być zainstalowany w każdym nowego lub istniejącego systemu Ubuntu 14.04 64-bit, bez względu czy jest to maszyna fizyczna lub wirtualna. Ta wersja ma być kompatybilny z przesiać Workstation, tak, że ludzie mogą zainstalować obie dystrybucje na tym samym systemie, jeśli chcą.

Co nowego w wersji 5.0:

• Najważniejsze aktualizacje do istniejących narzędzi i komponentów:
• System Rdzeń: Ulepszony przez składniki systemu operacyjnego Ubuntu i opakowań; wzrosła domyślne RAM urządzenia wirtualnego do 512 MB; zastąpione OpenJDK z Oracle Java 7 starcie.
• Analiza Pamięć:. Aktualizacja do wersji 2.2 Zmienność
• PDF analizy: Aktualizacja pdfid i pdf-parser, Origami, peepdf
• WWW analizy: Aktualizacja SWFTools, V8, libemu, NetworkMiner, Burp proxy, Wireshark, Firefox i jego dodatki
.
• Inne zmiany: Aktualizacja xorsearch, DensityScout, Pyew, pasywny-dns, ClamAV, capabilities.yara; zastąpione FreeMind z XMind
• Nowe narzędzia dodawane do REMnux:
• narzędzia Windows: Wino zainstalowana; Dodany OfficeMalScanner, Malzilla
• Analiza XOR: Dodany NoMoreXOR, brutexor, XORBruteForcer
• Analiza pliku PE: Dodano PEV, dism-to ExeScan, udis86 (udcli), autorule (/ usr / local / autorule), distool
• Inne analizy pliku: Dodano extract_swf.py, ExifTool, MASTIFF
• Inne dodatki: Dodano hack funkcje (/ usr / local / hack-funkcje), bulk_extractor, ProcDot

Co nowego w wersji 3.0:

• REMnux odbudowano być oparta na Ubuntu 11.10 do poprawy konserwacji , równocześnie zachowując wsteczną kompatybilność gdziekolwiek praktyczne.
• środowisko graficzne na REMnux zostało przeniesione do korzystania LXDE dla poprawy funkcjonalności, zachowując lekki charakter dystrybucji.
• Narzędzia do analizy malware'u dostępne w starszej wersji REMnux zostały zaktualizowane do najnowszych wersji, aby zapewnić stabilne do najnowszych funkcji i usprawnień. Najbardziej znaczące aktualizacje to:
• Zmienność Framework 2.0 dla kryminalistyki pamięci z najnowszych modułów malware i timeliner
• Origami Framework 1.2.3 do analizy pliku PDF, w tym pdfcop, pdfextract, pdfwalker, pdfsh, itp.
• REMnux zawiera kilka narzędzi do analizy złośliwego oprogramowania, które nie były obecne w starszych wersjach dystrybucji, w tym:
• analiza sieci: NetworkMiner, ngrep, pdnstool
• Analiza PDF: PDF X-Ray Lite (pdfxray_lite i swf_mastah), peepdf
• Analiza JavaScript: silnik Chrome JavaScript (k8), js-upiększyć
• Badanie plików: Hachoir (hachoir-podtekst, hachoir-metadane, hachoir-urwid), pyew, densityscout, findaes
• Inne: jd-gui, xxxswf.py, FreeMind xpdf, xortool