REMnux

REMnux 그들을 리버스 엔지니어링에 대한 악성 소프트웨어를 위해 특별히 마이크로 소프트 윈도우에 무료 대체 운영 체제를 찾고 있습니다 악성 코드 분석을 위해 설계된 리눅스의 오픈 소스 우분투 기반 배포판이다.

주요 기능은 웹 브라우저 악성 코드를 검사 할 수있는 능력, 네트워크 상호 작용, 해독 및 추출물 유물의 관리, 메모리 스냅 샷을 검토, 정적 PE 파일을 검사, 리눅스 악성 코드를 조사, 문서 파일을 검사 파일 속성 및 내용, 과정에 여러 샘플을 검사 포함 뿐만 아니라, 편집 파일의 광범위를 보려면.

운영체제는 32 비트 및 64 비트 하드웨어 플랫폼을 지원에서 부팅하기 위하여 2기가바이트 또는 더 높은 용량의 DVD 디스크 또는 USB 플래시 드라이브에 기록해야 하나의 라이브 DVD ISO 이미지로 다운로드 될 수있다 버추얼 박스와 VM웨어 가상화 소프트웨어에 대한 PC의 BIOS뿐만 아니라 가상 어플라이언스 아카이브 (OVA).

그것은 디폴트 옵션 또는 VESA 프레임 버퍼를 강제함으로써 안전한 그래픽 모드에서 실제 환경을 시작하기 위해 사용자로 하여금 우분투에 기초 리눅스 분포의 광범위에서 볼 수있는 표준 부트 로더를 갖추고, 시스템 메모리를 수행 (RAM) 검사하고, 제 1 디스크에서 기존 운영 시스템을 부팅.

기본적으로 라이브 CD를 얻을 - 이동에서 터미널 에뮬레이터를 열 수 있도록 설계되어있다. 또한 작품과 어두운 화면의 하단 가장자리로부터 사용자가 애플리케이션에 액세스하거나 실행중인 프로그램과 상호 작용. 수있는

사전 설치된 앱 중, 우리가 SciTE 텍스트 편집기, wxHexEditor의 16 진수 편집기, 와이어 샤크 네트워크 스캐너, XMind 마인드 매핑 도구, SQLite는 데이터베이스 브라우저, 모질라 파이어 폭스 웹 브라우저, 그리고 LXMusic 음악 플레이어를 언급 할 수 있습니다.

요약하면, REMnux 확실히 일반 사용자를위한 리눅스 배포판이 아닙니다. 그것은 우분투 (11.10 - Oneiric 오슬로)의 이전, 지원되지 않는 버전을 기준으로 작성되었습니다.하지만, 악성 코드 분석 악성 소프트웨어 리버스 엔지니어링하는 데 도움이 될 것입니다 다른 유용한 기능의 깔끔한 컬렉션을 제공합니다

이 릴리스의 새로운 기능 :

내가 애널리스트는 리눅스 환경에서 무료 유틸리티를 사용하여 악성 코드를 검사하는 데 도움이 REMnux 배포판의 V6 릴리스를 발표하게 된 것을 기쁘게 생각 해요. REMnux의 V6는 배포판의 이전 버전에 존재했던 도구를 업데이트하고 여러 가지 새로운 것들을 소개합니다. 또한, 배후 주요 아키텍처 변경이 REMnux 사용자가 쉽게 처음부터 전체 REMnux 환경을 다운로드하지 않고 향후 업데이트를 적용 할 수 있도록 구현한다.
REMnux의 V6를 가져옵니다 :
최신 REMnux 분포를 얻을 수있는 가장 간단한 방법은, 가상 어플라이언스의 OVA 파일을 다운로드 VM웨어 워크 스테이션 및 버추얼으로 좋아하는 가상화 응용 프로그램으로 가져올 것입니다. 가져온 가상 머신을 시작한 후, 실행 & quot; 갱신 remnux 전체 & quot; 자사의 소프트웨어를 업데이트하는 명령. 자세한 내용은 REMnux 설치 지침을 참조하십시오.
다른 방법으로는 SIFT 워크 스테이션을 포함 우분투의 호환되는 버전을 실행중인 기존의 물리적 또는 가상 시스템에 REMnux 배포판을 추가 할 수 있습니다. 문서에 설명 된대로 REMnux 설치 스크립트를 실행하여이 작업을 수행 할 수 있습니다.
갱신 remnux & quot; REMnux 버전 6을 설치 한 후, 당신은 & quot을 실행하여 업데이트를 다운로드 할 수 있습니다; 명령. 해당 악성 코드 분석 패키지가 업데이트 될 때 또는 새가 툴킷에 추가 될 때 알림을받을 트위터, 페이스 북과 구글 플러스에 REMnux 계정을 따릅니다.
도구 REMnux의 V6 추가 수 :
REMnux 버전 6은 이전 버전의 배포판의 일부가되어 있지 않은 다음과 같은 도구가 포함되어 있습니다.
pedump, readpe.py는 : 정적 윈도우 PE 파일의 속성을 확인
virustotal-도구 : 명령 줄에서 VirusTotal 데이터베이스와 상호 작용
Nginx에 : 이전 REMnux에 존재 작은 HTTPD를 대체 웹 서버,
VolDiff : 변동성을 이용하여 변화를 탐지하는 메모리 포렌식 이미지를 비교
, IOC든지, 스 노트와 OpenIOC 규칙을 편집의 전구체든지 편집기를 교체 : 편집기 규칙
리콜 : 메모리 포렌식 도구와 프레임 워크
m2elf는 : 쉘 코드에서 ELF 바이너리 파일을 만듭니다
든지 규칙 : 서명 파일에 악성 특성을 안보에 대한
OfficeDissector 마스티프 플러그인 : MASTIFF를 사용하여 마이크로 소프트 오피스 XML 기반의 파일을 검사
고정 표시기 : 로컬 호스트에 고립 된 컨테이너와 같은 응용 프로그램을 실행
AndroGuard : 의심스러운 안드로이드 응용 프로그램을 분석
vtTool : VirusTotal를 조회하여 시편의 악성 코드 가족의 이름을 확인합니다
oletools, libolecf : 마이크로 소프트 오피스 OLE2 파일을 분석
tcpflow : 네트워크 트래픽을 검사하고 PCAP 캡처 파일을 개척
passive.py : PDNS 라이브러리를 사용하여 수행 수동 DNS 조회
CapTipper은 : 네트워크 트래픽을 검사하고 PCAP 캡처 파일을 개척
oledump : 의심스러운 Microsoft Office 파일을 검사
CFR : 의심스러운 자바 클래스 파일을 디 컴파일
remnux 업데이트 : 새로 추가 된 도구를 자사의 소프트웨어를 업그레이드 및 설치, 배포판 업데이트
REMnux의 V6는 소프트웨어 개발자가 새로운 악성 코드 분석 도구와 작업을 건물에 사용할 수있는 다음 라이브러리가 포함되어 있습니다.
IOC 글쓴이 : 생성 및 편집 OpenIOC 개체에 대한 파이썬 라이브러리
Cybox : 구문 분석을위한 파이썬 라이브러리, 조작 및 CybOX 컨텐츠를 생성
diStorm3, 캡 스톤 : 바이너리 파일을 분해하기위한 파이썬 라이브러리
pylibemu : 쉘 코드 에뮬레이션 기능을 libemu에 액세스하기위한 파이썬 라이브러리
든지 라이브러리 : 파이썬 라이브러리를 확인하고 악성 코드 샘플을 분류하기
olefile는 : 파이썬 라이브러리는 마이크로 소프트 오피스 OLE2 파일을 읽기 / 쓰기
PyV8 : V8 자바 스크립트 엔진에 대한 파이썬 래퍼 라이브러리
pyssdeep : ssdeep 퍼지 해시 도구에 대한 파이썬 래퍼 라이브러리
pyexiftool : ExifTool 파이썬 래퍼 라이브러리
OfficeDissector : 의심스러운 마이크로 소프트 오피스 XML 기반의 파일에 대한 파이썬 라이브러리
PDNS : 수동 DNS 조회를 수행하기위한 파이썬 라이브러리
와 Javassist : 자바 라이브러리 자바 바이트 코드를 검사와 지원
REMnux에서 사용할 수있는 악성 코드 분석 유틸리티의 목록은, 스프레드 시트 및 도구의 마음지도를 포함하고 몇 가지 사용 팁을 제공 설명서 사이트를 참조하십시오.
업데이트 REMnux 아키텍처 :
업그레이드 및 도구 세트를 확장 넘어 REMnux의 V6 릴리스의 주요 목표는 익숙한 모양을 유지하면서 배포판의 기반을 현대화하고 느낄 것입니다. 이전 REMnux 자료에 익숙한 사람들은 자신의 습관을 조정하지 않고 환경을 사용할 수 있어야합니다. 갱신 remnux & quot; 가장 중요한 REMnux V6 사용자는 & quot를 사용하여 배포판 이후의 업데이트를받을 수 있습니다; 업그레이드를 수행 할 수있는 새로운 가상 머신을 다운로드 할 필요없이 스크립트.
이러한 목표를 달성하기 위해, REMnux의 V6는 우분투 14.04 64 비트를 기반으로합니다. 그것은 장기 지원 (LTS) 릴리스이기 때문에 그것은 잠시 동안 주위에있을 것입니다 인기와 안정적인 OS입니다. 또한, REMnux 이제 편리한 업데이트를 용이하게하기 위해 저장소에 호스팅 데비안 패키지에 크게 의존하고있다.
그 결과, REMnux는 물리적 또는 가상 컴퓨터의 여부에 관계없이, 우분투 14.04 64 비트를 실행하는 신규 또는 기존 시스템에 설치 될 수있다. 사람이 같은 시스템에 모두 분포를 설치할 수 있도록 그들이 원하는 경우이 릴리스는, SIFT 워크 스테이션과 호환되도록 설계되어있다.

버전 5.0의 새로운 기능 :

기존의 도구와 구성 요소에 대한 주요 업데이트 :
코어 시스템 : 업그레이드 된 기본 우분투 OS 구성 요소 및 패키지; 5백12메가바이트에 가상 어플라이언스의 증가 기본 RAM; 오라클 자바 7 런타임으로 오픈 JDK를 교체했다.
메모리 분석 : 버전 2.2로 업데이트 변동성.
PDF 분석 : 업데이트 pdfid 및 PDF 파서, 종이 접기, peepdf
웹 분석 : 업데이트 SWFTools, V8, libemu, NetworkMiner, 트림 프록시, 와이어 샤크, 파이어 폭스와 추가 기능.
기타 변경 사항 : 업데이트 xorsearch, DensityScout, Pyew, 수동-DNS, ClamAV를, capabilities.yara; XMind로 FreeMind 교체
새로운 도구는 REMnux에 추가 :
Windows 도구 : 설치 와인; 추가 OfficeMalScanner, Malzilla
XOR 분석 : XORBruteForcer 추가 NoMoreXOR, brutexor,
PE 파일 분석 : 추가 PEV, DISM-이, ExeScan, udis86 (udcli), autorule (은 / usr / local / autorule), distool
다른 파일 분석 : 추가 extract_swf.py, ExifTool, MASTIFF
기타 추가 : 추가 해킹-기능 (은 / usr / local / 해킹 - 기능), bulk_extractor, ProcDot

버전 3.0의 새로운 기능 :

REMnux는 어디든지 실제 이전 버전과의 호환성을 유지하면서, 유지 보수성을 향상시키기 위해 우분투 11.10를 기반으로하는 재건되었다.
REMnux의 데스크탑 환경은 분포의 가벼운 특성을 유지하면서, 개선 된 유용성 LXDE를 사용하여 마이그레이션되었습니다.
REMnux의 이전 버전에서 사용할 수있는 악성 코드 분석 툴은 최신 기능과 향상된 기능을 제공하는 최신 안정 버전으로 업그레이드되었습니다. 가장 중요한 업데이트는 다음과 같습니다 :
최신 악성 코드 및 timeliner 모듈과 메모리 포렌식에 대한 변동성 프레임 워크 2.0
등 pdfcop, pdfextract, pdfwalker, pdfsh 포함 PDF 분석을위한 종이 접기 프레임 워크 1.2.3
REMnux는 메일을 포함한 이전 버전에 존재하지 않는 몇 가지 악성 코드 분석 도구가 포함되어 있습니다 :
네트워크 분석 : NetworkMiner, 오는 Ngrep, pdnstool
PDF 분석 : PDF의 X 선 라이트 (pdfxray_lite 및 swf_mastah), peepdf
자바 스크립트 분석 : 크롬 자바 스크립트 엔진 (D8), JS는-아름답게
검사 파일 : Hachoir (hachoir - 서브, hach​​oir - 메타 데이터, hach​​oir-urwid), pyew, densityscout, findaes
기타 : JD-GUI, xxxswf.py, freemind, xpdf를 xortool