Uvod v orodja za analizo zlonamerne programske opreme
Prednosti uporabe računalnikov v službene in osebne namene je veliko, vendar obstajajo grožnje tudi zaradi goljufij, ki delujejo na spletu. Take goljufije se imenujejo kibernetski kriminalci. Ukradejo našo identiteto in druge podatke z ustvarjanjem zlonamernih programov, imenovanih zlonamerna programska oprema. Proces analize in določitve namena in funkcionalnosti zlonamerne programske opreme imenujemo analiza zlonamerne programske opreme. Zlonamerna programska oprema je sestavljena iz zlonamernih kod, ki jih je treba odkriti z učinkovitimi metodami, za razvoj teh metod pa se uporablja analiza zlonamerne programske opreme. Analiza zlonamerne programske opreme je prav tako bistvena za razvoj orodij za odstranjevanje zlonamerne programske opreme po odkritju zlonamernih kod.
Orodja za analizo zlonamerne programske opreme
Nekatera orodja in tehnike za analizo zlonamerne programske opreme so navedena spodaj:
1. PEiD
Kibernetski kriminalci poskušajo pakirati svojo zlonamerno programsko opremo, da jo je težko določiti in analizirati. Aplikacija, ki se uporablja za odkrivanje tako pakirane ali šifrirane zlonamerne programske opreme, je PEiD. Uporabnik dB je besedilna datoteka, iz katere se naložijo datoteke PE in PEiD zazna 470 obrazcev različnih podpisov v datotekah PE.
2. Hodnik odvisnosti
Module 32-bitnih in 64-bitnih oken lahko skenirate s pomočjo aplikacije, imenovane Dependency walker. Funkcije modula, ki jih uvažate in izvažate, je mogoče navesti s pomočjo sprehajalnika odvisnosti. Odvisnosti datotek se lahko prikažejo tudi s pomočjo sprehajalnika odvisnosti, kar zmanjša potreben nabor datotek na minimum. Podatki, ki jih vsebujejo te datoteke, kot so pot datoteke, številka različice itd., Se lahko prikažejo tudi s pomočjo sprehajalca odvisnosti. To je brezplačna aplikacija.
3. Viri za vire
Sredstva iz okenskih binarnih datotek lahko črpate s pomočjo aplikacije, imenovane Resource Hacker. Ekstrakcijo, dodajanje, spreminjanje virov, kot so strune, slike itd., Je mogoče izvesti s pomočjo hekerja za vire. To je brezplačna aplikacija.
4. PEview
Glave datotek prenosnih izvedljivih datotek sestavljajo informacije skupaj z drugimi deli datoteke in do teh informacij lahko dostopate s pomočjo aplikacije, imenovane PEview. To je brezplačna aplikacija.
5. FileAlyzer
FileAlyzer je tudi orodje za dostop do informacij v glavah datotek prenosnih izvršljivih datotek skupaj z drugimi deli datoteke, vendar FileAlyzer ponuja več funkcij in funkcij v primerjavi s PEview. Nekatere funkcije so, da VirusTotal za analizo sprejema zlonamerno programsko opremo z zavihka VirusTotal, funkcije pa razpakirajo UPX in druge datoteke, ki so pakirane.
6. SysAnalyzer Github Repo
Z uporabo aplikacije, imenovane SysAnalyzer, se spremljajo različni vidiki stanj sistema in stanja procesov. Ta aplikacija se uporablja za analizo izvajanja. Analitiki poročajo o ukrepih, ki jih binarni sistem izvaja v sistemu, s pomočjo sistema SysAnalyzer.
7. Regshot 1.9.0
Regshot je pripomoček, ki primerja register po sistemskih spremembah z registrom, preden se sistem spremeni.
8. Žice
Analiza mrežnih paketov poteka prek Wiresharka. Omrežni paketi so zajeti in podatki, ki jih vsebujejo paketi, so prikazani.
9. Spletna storitev Robtex
Analiza internetnih ponudnikov, domen, strukture omrežja se izvaja s pomočjo spletnega orodja Robtex.
10. VirusTotal
Analiza datotek, URL-jev za odkrivanje virusov, črvov itd. Se opravi s storitvijo VirusTotal.
11. Mobile-peskovnik
Analiza zlonamerne programske opreme v pametnih telefonih operacijskega sistema android se opravi z mobilnim peskovnikom.
12. Malzilla
Zlonamerne strani raziskuje program z imenom Malzilla. S pomočjo malzille lahko izberemo svojega uporabniškega agenta in napotitelja, malzilla pa lahko uporabi pooblaščenca. Vir, iz katerega izhajajo spletne strani in glave HTTP, prikazuje malzilla.
13. nestanovitnost
Artefakti v hlapnem pomnilniku, imenovani tudi RAM, ki so digitalni, se pridobivajo s pomočjo volatilnega okvira in je zbirka orodij.
14. APKTool
Aplikacije za Android je možno z obratno zasnovo uporabiti s programom APKTool. Viri se lahko dekodirajo v prvotni obliki in jih lahko obnovijo z zahtevanimi spremembami.
15. Dex2Jar
Izvedljiv format android Dalvik je mogoče brati z uporabo Dex2Jar. Navodila za dex berejo v obliki dex-ir in jih je mogoče spremeniti v obliko ASM.
16. Smali
Implementacija virtualnega računalnika Dalvik in Android uporablja format dex in ga je mogoče sestaviti ali razstaviti s pomočjo Smali.
17. PeePDF
Škodljive datoteke PDF je mogoče prepoznati z orodjem PeePDF, napisanim v jeziku python.
18. Pesek za kukavice
Analizo sumljivih datotek je mogoče avtomatizirati s peskovnikom za kukavice.
19. Droidbox
Aplikacije androida je mogoče analizirati s pomočjo droidbox-a.
20. Malwasm
Baza podatkov, sestavljena iz vseh dejavnosti zlonamerne programske opreme, lahko korake analize vzdržujete z orodjem za zlonamerno programsko opremo in to orodje temelji na peskovniku za kukavice.
21. Pravila Yara
Razvrstitev zlonamerne programske opreme, ki temelji na besedilu ali dvojiški datoteki, potem ko jih analizira orodje Cuckoo, opravi orodje Yara. Opisi zlonamerne programske opreme na podlagi vzorcev so napisani z uporabo Yare. Orodje se imenuje Yara Rules, ker se ti opisi imenujejo pravila. Kratica Yara je še ena rekurzivna kratica.
22. Googlov hitri odziv (GRR)
Odtise, ki jih pušča zlonamerna programska oprema na določenih delovnih postajah, analizira okvir Google Rapid Response. Raziskovalci, ki pripadajo varnostnemu jedlu google, so razvili ta okvir. Ciljni sistem je sestavljen iz agenta Google Rapid Response in agent komunicira s strežnikom. Po namestitvi strežnika in agenta postanejo odjemalci GRR in olajša preiskave na vsakem sistemu.
23. REMnux
To orodje je zasnovano za povrnitev programske opreme inženirjev. Združuje več orodij v eno za enostavno določitev zlonamerne programske opreme na osnovi Windows in Linuxa. Uporablja se za raziskovanje zlonamerne programske opreme, ki temelji na brskalniku, vodenje forenzičnih pomnilnikov, analiziranje različic zlonamerne programske opreme itd. Sumljive predmete je mogoče izvleči in dekodirati tudi z uporabo REMnux.
25. Bro
Okvir bro je močan in temelji na mreži. Promet v omrežju se pretvori v dogodke, kar lahko sproži skripte. Bro je kot sistem za zaznavanje vdorov (IDS), vendar so njegove funkcionalnosti boljše od IDS. Uporablja se za izvajanje forenzičnih preiskav, spremljanje omrežij itd.
Zaključek
Analiza zlonamerne programske opreme igra pomembno vlogo pri preprečevanju in določanju kibernetskih napadov. Strokovnjaki za kibernetsko varnost so pred petnajstimi leti ročno opravljali analizo zlonamerne programske opreme, kar je dolgotrajen postopek, zdaj pa lahko strokovnjaki za kibernetsko varnost analizirajo življenjski cikel zlonamerne programske opreme z orodji za analizo zlonamerne programske opreme in s tem povečajo obveščanje o grožnjah.
Priporočeni članek
To je vodnik za orodja za analizo zlonamerne programske opreme. Tukaj razpravljamo o nekaterih najpogosteje uporabljanih orodjih, kot so PEiD, Walker za odvisnosti, hekerji za resurse itd. Če želite izvedeti več, lahko preberete tudi druge predloge.
- Kaj potrebujemo beta testiranje?
- Uvod v orodja za zajetje kode
- Najboljših 10 orodij za uspešno testiranje v oblaku
- 7 različnih orodij IPS za preprečevanje sistema