Uvod u Alate za analizu zlonamjernog softvera

Prednosti upotrebe računala u službene i osobne svrhe su mnogobrojne, ali postoje i prijetnje od strane prijevara koje rade na mreži. Takve prijevare nazivaju kibernetički kriminalci. Oni kradu naš identitet i druge podatke stvarajući zlonamjerne programe koji se nazivaju zlonamjerni softver. Proces analize i utvrđivanja svrhe i funkcionalnosti zlonamjernog softvera naziva se analizom zlonamjernog softvera. Zlonamjerni softver sastoji se od zlonamjernih kodova koji se otkrivaju učinkovitim metodama, a analiza zlonamjernog softvera koristi se za razvoj tih metoda otkrivanja. Analiza zlonamjernog softvera također je neophodna za razvoj alata za uklanjanje zlonamjernog softvera nakon što su otkriveni zlonamjerni kodovi.

Alati za analizu zlonamjernog softvera

Neki od alata i tehnika analize zlonamjernog softvera navedeni su u nastavku:

1. PEiD

Cyber ​​kriminalci pokušavaju spakirati svoj zlonamjerni softver tako da je teško utvrditi i analizirati. Aplikacija koja se koristi za otkrivanje takvog pakiranog ili šifriranog zlonamjernog softvera je PEiD. Korisnički dB je tekstualna datoteka iz koje se učitavaju PE datoteke i PEiD može otkriti 470 oblika različitih potpisa u PE datotekama.

2. Walker zavisnosti

Moduli 32-bitnih i 64-bitnih prozora mogu se skenirati pomoću aplikacije koja se naziva Dependency walker. Funkcije modula koje se uvoze i izvoze mogu se nabrojati pomoću hodnika ovisnosti. Ovisnosti datoteka također se mogu prikazati pomoću hodalica ovisnosti i to smanjuje potrebni skup datoteka na minimum. Podaci sadržani u tim datotekama kao što su put datoteke, broj verzije itd. Također se mogu prikazati pomoću hodnika ovisnosti. Ovo je besplatna aplikacija.

3. Resursni haker

Resursi iz Windows binarnih datoteka mogu se izdvojiti pomoću aplikacije koja se zove Resource Hacker. Ekstrakcija, dodavanje, modifikacija resursa poput žica, slika itd. Može se obaviti pomoću resursa hakera. Ovo je besplatna aplikacija.

4. PEview

Zaglavlja datoteka prijenosnih izvršnih datoteka sastoje se od informacija zajedno s ostalim odjeljcima datoteke i tim podacima se može pristupiti pomoću aplikacije koja se zove PEview. Ovo je besplatna aplikacija.

5. FileAlyzer

FileAlyzer je također alat za pristup informacijama u zaglavima datoteka prijenosnih izvršnih datoteka zajedno s ostalim odjeljcima datoteke, ali FileAlyzer pruža više mogućnosti i funkcija u odnosu na PEview. Neke su značajke VirusTotal za analizu koji prihvaća zlonamjerni softver s kartice VirusTotal, a funkcije raspakiraju UPX i ostale datoteke upakirane.

6. SysAnalyzer Github Repo

Pomoću aplikacije koja se naziva SysAnalyzer nadziraju se različiti aspekti stanja sustava i stanja procesa. Ova se aplikacija koristi za analizu vremena izvođenja. Analitičari koriste SysAnalyzer o aktivnostima koje su izvršili binarni sustavi u sustavu.

7. Regshot 1.9.0

Regshot je uslužni program koji uspoređuje registar nakon što se promjene sustava izvrše s registrom prije nego što se sistem promijeni.

8. Wireshark

Analiza mrežnih paketa vrši se putem Wiresharka. Mrežni paketi se hvataju i prikazuju se podaci sadržani u paketima.

9. Robtexova internetska usluga

Analiza internetskih usluga, domena, strukture mreže provodi se putem Robtexovog internetskog servisnog alata.

10. VirusTotal

Analiza datoteka, URL-ova za otkrivanje virusa, crva itd. Vrši se korištenjem usluge VirusTotal.

11. Mobile-Sandbox

Analiza zlonamjernog softvera na pametnim telefonima operativnog sustava android provodi se pomoću mobilnog sandbox-a.

12. Malzilla

Zlonamjerne stranice istražuje program nazvan Malzilla. Koristeći malzillu, možemo odabrati našeg korisničkog agenta i preporučitelja, a malzilla može koristiti proxyje. Izvor iz kojeg su izvedene web stranice i HTTP zaglavlja prikazuje malzilla.

13. Nestabilnost

Artefakti u isparljivoj memoriji koji se nazivaju i RAM-a koji su digitalni, vade se pomoću okvira Volatilnost i to je zbirka alata.

14. APKTool

Androidove aplikacije mogu se obrnuti putem APKTool-a. Resursi se mogu dekodirati u izvornom obliku i mogu se obnoviti uz potrebne izmjene.

15. Dex2Jar

Izvršni format androida Dalvik može se čitati pomoću Dex2Jar. Upute za dex čitaju se u dex-ir formatu i mogu se promijeniti u ASM format.

16. Smali

Dalvik i Android-ova virtualna implementacija koristi dex format i može se sastaviti ili rastaviti pomoću Smali.

17. PeePDF

Štetne PDF datoteke mogu se prepoznati pomoću PeePDF alata napisanog na python jeziku.

18. Pijesak kukavice

Analiza sumnjivih datoteka može se automatizirati pomoću sanduka s kukavicama.

19. Droidbox

Primjene androida mogu se analizirati pomoću droidbox-a.

20. Malvasam

Baza podataka koja se sastoji od svih aktivnosti zlonamjernog softvera, koraci analize mogu se održavati pomoću alata za malwasm, a ovaj se alat temelji na kutiji s kukavicama.

21. Yara pravila

Razvrstavanje zlonamjernog softvera koji se temelji na tekstu ili binarnom obliku nakon što ih analizira alat Cuckoo vrši alat nazvan Yara. Opisi zlonamjernog softvera utemeljeni na uzorku napisani su pomoću Yare. Alat se naziva Yara Rules, jer se ovi opisi nazivaju pravila. Skraćenica Yara je još jedna rekurzivna kratica.

22. Googleov brzi odgovor (GRR)

Otisci stopala koje ostaju zlonamjerni softver na određenim radnim stanicama analiziraju Google Rapid Response Framework. Istraživači koji pripadaju sigurnosti jeli google razvili su ovaj okvir. Ciljni sustav sastoji se od agenta iz Google Rapid Response-a i agent komunicira s poslužiteljem. Nakon što su poslužitelj i agent raspoređeni, oni postaju klijenti GRR-a i pojednostavljuju istrage na svakom sustavu.

23. REMnux

Ovaj je alat dizajniran za preokret zlonamjernog softvera inženjera. Kombinira nekoliko alata u jedan za lako određivanje zlonamjernog softvera na temelju Windows i Linuxa. Koristi se za ispitivanje zlonamjernog softvera koji se temelji na pregledniku, provođenja forenzike na memoriji, analize raznih vrsta zlonamjernog softvera itd. Sumnjive se stavke također mogu izdvojiti i dekodirati pomoću REMnux-a.

25. Bro

Okvir bro je moćan i temelji se na mreži. Promet u mreži pretvara se u događaje i to zauzvrat može pokrenuti skripte. Bro je poput sustava za otkrivanje upada (IDS), ali njegove su funkcionalnosti bolje od IDS-a. Koristi se za provođenje forenzičkih ispitivanja, nadzor mreže itd.

Zaključak

Analiza zlonamjernog softvera igra važnu ulogu u izbjegavanju i utvrđivanju cyber napada. Stručnjaci za kibernetičku sigurnost koristili su ručnu analizu zlonamjernog softvera prije petnaestak godina i to je bio dugotrajan proces, ali sada stručnjaci za cybersecurity mogu analizirati životni ciklus zlonamjernog softvera pomoću alata za analizu zlonamjernog softvera i na taj način povećali inteligenciju prijetnji.

Preporučeni članak

Ovo je vodič za alate za analizu zlonamjernog softvera. Ovdje smo raspravljali o nekim najčešće korištenim alatima poput PEiD-a, Walker-a za ovisnost, Resurra hakera, itd. Također možete proći kroz ostale predložene članke da biste saznali više -

  1. Što nam treba beta testiranje?
  2. Uvod u alate za pokrivanje koda
  3. 10 najboljih alata za uspješno testiranje u oblaku
  4. 7 različitih IPS alata za prevenciju sustava

Kategorija:

Razvoj softvera