REMnux

REMnux является открытым исходным кодом Ubuntu на основе распределения Linux разработан специально для вредоносных аналитиков, которые ищут свободной альтернативной операционной системы на Microsoft Windows, для того, чтобы им обратного проектирования вредоносного программного обеспечения.

Основные характеристики включают в себя возможность изучить веб-браузер вредоносное ПО, управление сетевыми взаимодействиями, декодирования и экстракт артефактов, изучить файлы документов, расследовать Linux вредоносного ПО, статически изучить PE файлы, проверять свойства файла и содержимое, процесс несколько образцов, изучать снимки памяти , а также можно просматривать и редактировать широкий спектр файлов.

Операционная система может быть загружена как один Live DVD ISO образ, который поддерживает как 32-битные, так и 64-разрядные аппаратные платформы и должны быть написаны на DVD диски или флэш-накопители USB 2 ГБ или более высокой емкостью, чтобы загрузить его из В BIOS персонального компьютера, а также архив виртуальное устройство (OVA) для виртуализации VirtualBox программного обеспечения и VMware.

Это имеет стандартный загрузчик, который можно найти в широком диапазоне дистрибутивов, основанных на Ubuntu, что позволяет пользователю начать жить среду с параметрами по умолчанию или в безопасном режиме графики, заставляя фреймбуфер VESA, выполните системную память тест (ОЗУ), и загрузить существующую операционную систему с первого диска.

По умолчанию Live CD спроектирован, чтобы открыть эмулятор терминала с самого начала идти. Он использует Lightweight X11 Desktop Environment (LXDE) с темно-искусства и одной панели, расположенной на нижней кромке экрана, откуда пользователь может получить доступ к приложениям или взаимодействовать с запущенными программами.

Среди предустановленных приложений, мы можем отметить, SciTE текстовый редактор, шестнадцатеричный редактор wxHexEditor, Wireshark сетевого сканера, XMind инструмент отображения ума, SQLite браузер базы данных, Mozilla Firefox веб-браузер, и LXMusic музыкальный проигрыватель.

Подводя итог, REMnux, безусловно, не дистрибутив для обычного пользователя. Он основан на старом неподдерживаемой версии Ubuntu (11.10 - Грез Оцелот)., Но обеспечивает аккуратный сбор других полезных функций, которые помогут вредоносных аналитики обратного инженера вредоносного программного обеспечения

Что нового В этом выпуске:

• Я взволнован, чтобы объявить о v6 выпуск дистрибутива REMnux, который поможет аналитикам изучить вредоносных программ с помощью утилиты в бесплатные среда Linux. REMnux V6 обновляет средства, которые присутствовали в предыдущих пересмотров дистрибутива и вводит несколько новых. Кроме того, он реализует основные архитектурные изменения за кулисами, чтобы позволить пользователям REMnux легко применять будущие обновления без необходимости загружать полную среду REMnux с нуля.
• Получить REMnux v6:
• Самый простой способ, чтобы получить последнюю распределение REMnux это загрузить свой виртуальный файл прибор OVA, а затем импортировать его в ваше любимое приложение для виртуализации, такие как VMware Workstation и VirtualBox. После запуска виртуальной машины импортного, запустите & Quot; обновление-remnux полный и Quot; Команда для обновления своего программного обеспечения. Для получения подробных инструкций, смотрите инструкции по установке REMnux.
• Кроме того, вы можете добавить дистрибутив REMnux к существующей физической или виртуальной системе, которая работает совместимая версия Ubuntu, в том числе SIFT Workstation. Вы можете сделать это, запустив установочный скрипт REMnux, как описано в документации.
• После установки REMnux v6, вы сможете получать обновления, запустив & Quot; ДОПОЛНЕНО remnux & Quot; Команда. Следуйте REMnux счета на Twitter, Facebook и Google Plus, чтобы получать уведомления, когда его вредоносных пакетов анализа обновляются или когда новые будут добавлены в инструментарий.
• инструменты, добавленные REMnux v6:
• REMnux v6 включает в себя следующие инструменты, которые не были частью распределения в более ранних версиях.
• pedump, readpe.py: Статически изучить свойства файла Windows PE
• VirusTotal-инструменты: Взаимодействовать с базой данных VirusTotal из командной строки
• Nginx: веб-сервер, который заменяет Крошечные HTTPD, который присутствовал на REMnux ранее
• VolDiff: Сравнение судебной экспертизы памяти изображения, чтобы определить изменения, используя Волатильность
• Правило редактор: Редактировать МОК Yara, Snort и правила OpenIOC, заменив его предшественник Яра редактор
• Rekall: судебно-медицинской экспертизы памяти инструмента и рамки
• m2elf: Создание ELF двоичный файл из шеллкоде
• Yara Правила: Подписи для выявления вредоносных характеристики в файлах
• OfficeDissector MASTIFF плагины: Изучить Microsoft Office файлы XML на основе, используя мастиф
• Докер: Запуск приложений как отдельных контейнеров на локальном хосте
• AndroGuard: Анализ подозрительных приложений для Android
• vtTool: Определить вредоносных фамилию образца путем запроса VirusTotal
• oletools, libolecf: Анализ Microsoft Office OLE2 файлы
• tcpflow: Изучить сетевой трафик и вырезать файлы захвата PCAP
• passive.py: Выполните пассивные поиски DNS, используя библиотеку PDNS
• CapTipper: Изучить сетевой трафик и вырезать файлы захвата PCAP
• oledump: Исследуйте подозрительные файлы Microsoft Office
• CFR: Декомпилировать подозрительные файлы класса Java
• Обновление-remnux: Обновление дистрибутива, обновления программного обеспечения и установки вновь добавленных инструменты
• REMnux V6 также включает в себя следующие библиотеки, которые разработчики программного обеспечения могут использовать для построения новых инструментов и задачи анализа вредоносного.
• МОК Писатель: библиотека Python для создания и редактирования объектов OpenIOC
• Cybox: библиотека Python для разбора, манипулирования и генерации контента CybOX
• diStorm3, Capstone: Python библиотеки для разборки двоичные файлы
• pylibemu: библиотека Python для доступа к libemu функциональность эмуляции Шеллкод
• Яра Библиотека: библиотека Python для идентификации и классификации образцов вредоносных программ
• olefile: библиотека Python для чтения / записи Microsoft Office OLE2 файлы
• PyV8: библиотека обертка Питона для двигателя V8 JavaScript
• pyssdeep: библиотека обертка Питона для ssdeep нечеткой инструмент хэширования
• pyexiftool: библиотека обертка Питона для ExifTool
• OfficeDissector: библиотека Python для подозрительных файлов Microsoft Office XML на основе
• PDNS: библиотека Python для выполнения операций поиска DNS пассивные
• Javassist: библиотека Java, который помогает с изучения Java байт-код
• В список вредоносных утилит, доступных на анализ REMnux, увидеть его сайт документации, которая включает в себя таблицы и ум карту инструментов и предлагает несколько советов по использованию.
• Обновлено REMnux Архитектура:
• Основной целью v6 выпуска REMnux, за модернизацию и расширение набора инструментов, чтобы модернизировать основу дистрибутива, сохраняя привычный вид и чувствовать. Люди, знакомые с более ранними версиями REMnux должны быть в состоянии использовать среду без необходимости настраивать свои привычки. Самое главное, пользователи REMnux v6 может получить будущие обновления дистрибутива с помощью & Quot; ДОПОЛНЕНО remnux & Quot; Сценарий без скачать всю новую виртуальную машину для выполнения обновления.
• Для достижения этих целей, REMnux v6 основана на Ubuntu 14.04 64-бит. Это популярный и стабильный ОС, будет примерно на некоторое время, потому что это долгий срок поддержкой (LTS) релиз. Кроме того, в настоящее время REMnux опирается на упаковках Debian размещенные в хранилище, чтобы облегчить удобные обновления.
• В результате, REMnux может быть установлен на любой новой или имеющейся системе под управлением Ubuntu 14.04 64-бит, это независимо от того, это физическая или виртуальная машина. Этот релиз предназначен, чтобы быть совместимым с плотно Workstation, так что люди могут установить обе распределения на той же системе, если они того пожелают.

Что нового в версии 5.0:

• Основные обновления существующих инструментов и компонентов:
• Основной система: Модернизированный основных компонентов ОС Ubuntu и пакетов; увеличилась по умолчанию ОЗУ виртуального устройства на 512; заменить OpenJDK с Oracle Java 7 выполнения.
• Анализ памяти:. Обновлено Волатильность до версии 2.2
• PDF анализ: Обновлено pdfid и PDF-парсер, оригами, peepdf
• анализ Веб: Обновлено SWFTools, V8, libemu, NetworkMiner, Отрыжка прокси, Wireshark, Firefox и его Дополнения
.
• Другие изменения: Обновлено xorsearch, DensityScout, Pyew, пассивно-DNS, ClamAV, capabilities.yara; заменить FreeMind с XMind
• Новые инструменты, добавленные в REMnux:
• Окна инструментов: Установленная Вино; Добавлено OfficeMalScanner, Malzilla
• Анализ XOR: Добавлено NoMoreXOR, brutexor, XORBruteForcer
• Анализ ЧП файла: Добавлена ​​пэВ DISM-это, ExeScan, udis86 (udcli), автоправило (/ USR / местные / автоправило), distool
• Другое анализа файла: Добавлена ​​extract_swf.py, ExifTool, MASTIFF
• Другие дополнения: Добавлена ​​рубить функции (/ USR / местные / рубить функции), bulk_extractor, ProcDot

Что нового в версии 3.0:

• REMnux был восстановлен должна быть основана на Ubuntu 11.10, чтобы улучшить ремонтопригодность , при сохранении обратной совместимости, когда это целесообразно.
• среда рабочего стола на REMnux был перенесен использовать LXDE для улучшения юзабилити, сохраняя легкий характер распределения.
• Вредоносная программа инструменты анализа, доступные в более ранней версии REMnux были обновлены до последних стабильных версий, чтобы обеспечить самые последние функции и усовершенствования. Наиболее значительные обновления включают в себя:
• Волатильность Framework 2.0 для судебно-медицинской экспертизы памяти с последними вредоносных программ и модулей TimeLiner
• Оригами рамки 1.2.3 для анализа PDF, в том числе pdfcop, pdfextract, pdfwalker, pdfsh, и др.
• REMnux включает в себя несколько инструментов анализа вредоносного, которые не присутствовали в более ранних версиях распределения, в том числе:
• Сетевой анализ: NetworkMiner, ngrep, pdnstool
• PDF анализ: PDF X-Ray Lite (pdfxray_lite и swf_mastah), peepdf
• Анализ JavaScript: двигатель Хром JavaScript (D8), JS-украсить
• Изучение файлов: Hachoir (hachoir-субфайл, hachoir-метаданные, hachoir-urwid), pyew, densityscout, findaes
• Прочее: JD-GUI, xxxswf.py, FreeMind, Xpdf, xortool