Úvod do nástrojů pro analýzu malwaru
Výhody používání počítačů pro oficiální a osobní účely jsou spousty, ale podvody, které fungují online, existují také hrozby. Takové podvody se nazývají kybernetičtí zločinci. Kradou naši identitu a další informace vytvářením škodlivých programů zvaných malware. Proces analýzy a určení účelu a funkčnosti malwaru se nazývá analýza malwaru. Malware se skládá ze škodlivých kódů, které mají být detekovány pomocí efektivních metod, a malware analýza se používá k vývoji těchto detekčních metod. Analýza malwaru je také nezbytná pro vývoj nástrojů pro odstranění malwaru poté, co byly detekovány škodlivé kódy.
Nástroje pro analýzu malwaru
Níže jsou uvedeny některé nástroje a techniky analýzy malwaru:
1. PEiD
Počítačoví zločinci se snaží zabalit svůj malware tak, aby bylo obtížné jej určit a analyzovat. Aplikace, která se používá k detekci takového zabaleného nebo šifrovaného malwaru, je PEiD. Uživatel dB je textový soubor, ze kterého jsou načteny soubory PE a PEiD detekuje 470 forem různých podpisů v souborech PE.
2. Závislost Walker
Moduly 32bitových a 64bitových oken lze skenovat pomocí aplikace zvané Dependency Walker. Funkce modulu, které jsou importovány a exportovány, lze vypsat pomocí Walker závislostí. Závislosti souborů lze také zobrazit pomocí ovladače závislostí, což snižuje potřebnou sadu souborů na minimum. Informace obsažené v těchto souborech, jako je cesta k souboru, číslo verze atd., Lze také zobrazit pomocí závislostního chodce. Toto je bezplatná aplikace.
3. Zdroj Hacker
Prostředky z binárních souborů systému Windows lze extrahovat pomocí aplikace zvané Resource Hacker. Extrakce, přidání, modifikace zdrojů, jako jsou řetězce, obrázky atd., Lze provést pomocí hackerů zdrojů. Toto je bezplatná aplikace.
4. PEview
Záhlaví souborů přenosných spustitelných souborů sestává z informací spolu s ostatními částmi souboru a tyto informace jsou přístupné pomocí aplikace zvané PEview. Toto je bezplatná aplikace.
5. FileAlyzer
FileAlyzer je také nástrojem pro přístup k informacím v záhlaví souborů přenosných spustitelných souborů spolu s ostatními částmi souboru, ale FileAlyzer poskytuje více funkcí a funkcí ve srovnání s PEview. Některé z funkcí jsou VirusTotal pro analýzu přijímá malware z karty VirusTotal a funkce rozbalují UPX a další soubory, které jsou zabaleny.
6. SysAnalyzer Github Repo
Různé aspekty stavů systému a stavů procesů jsou sledovány pomocí aplikace zvané SysAnalyzer. Tato aplikace se používá pro runtime analýzu. Činnosti provedené binárním systémem v systému hlásí analytici používající program SysAnalyzer.
7. Regshot 1.9.0
Regshot je nástroj, který porovnává registr po provedení systémových změn s registrem před změnami systému.
8. Wireshark
Analýza síťových paketů se provádí pomocí Wireshark. Síťové pakety jsou zachyceny a jsou zobrazena data obsažená v paketech.
9. Online služba Robtex
Analýza poskytovatelů internetu, domén, struktury sítě se provádí pomocí online servisního nástroje Robtex.
10. VirusTotal
Analýza souborů, URL pro detekci virů, červů atd. Se provádí pomocí služby VirusTotal.
11. Mobilní karanténa
Analýza malwaru smartphonů s operačním systémem Android se provádí pomocí mobilní karantény.
12. Malzilla
Škodlivé stránky prozkoumává program s názvem Malzilla. Pomocí malzilly můžeme vybrat náš uživatelský agent a referrer a malzilla může používat proxy servery. Zdroj, ze kterého jsou webové stránky a záhlaví HTTP odvozeny, je zobrazen malzilla.
13. Volatilita
Artefakty v těkavé paměti nazývané také RAM, které jsou digitální, jsou extrahovány pomocí rámce Volatility a jedná se o soubor nástrojů.
14. APKTool
Aplikace pro Android lze zpětně upravovat pomocí APKTool. Prostředky lze dekódovat do jejich původní podoby a lze je znovu vytvořit s požadovanými změnami.
15. Dex2Jar
Spustitelný formát Android Dalvik lze číst pomocí Dex2Jar. Instrukce dex jsou čteny ve formátu dex-ir a lze je změnit na formát ASM.
16. Smali
Implementace virtuálního stroje Dalvik a Android používá formát dex a lze jej pomocí Smali sestavit nebo rozebrat.
17. PeePDF
Škodlivé soubory PDF lze identifikovat pomocí nástroje PeePDF psaného v jazyce python.
18. Kukačka s pískem
Analýza podezřelých souborů může být automatizována pomocí kukačkového pískoviště.
19. Droidbox
Aplikace androidu lze analyzovat pomocí droidboxu.
20. Malwasm
Databáze sestávající ze všech malware aktivit, analytické kroky mohou být udržovány pomocí nástroje malwasm a tento nástroj je založen na kukačkovém karanténě.
21. Pravidla Yara
Klasifikaci malwaru, která je založena na textu nebo binárním formátu poté, co byly analyzovány pomocí nástroje Cuckoo, provádí nástroj nazývaný Yara. Popisy škodlivého softwaru založené na vzorech jsou psány pomocí Yara. Tento nástroj se nazývá pravidla Yara, protože tyto popisy se nazývají pravidla. Zkratka Yara je ještě další rekurzivní zkratka.
22. Rychlá reakce Google (GRR)
Stopy zanechané malwarem na konkrétních pracovních stanicích jsou analyzovány rámcem Google Rapid Response. Vědci patřící do zabezpečení společnosti google vyvinuli tento rámec. Cílový systém sestává z agenta z Google Rapid Response a agent interaguje se serverem. Po nasazení serveru a agenta se stávají klienty GRR a usnadňují vyšetřování v každém systému.
23. REMnux
Tento nástroj je navržen tak, aby zvrátil malware malware. Kombinuje několik nástrojů do jednoho, aby bylo možné snadno určit malware založený na systému Windows a Linux. Používá se k prozkoumání malwaru, který je založen na prohlížeči, provádění forenzní analýzy v paměti, analyzování různých typů malwaru atd. Podezřelé položky lze také extrahovat a dekódovat pomocí REMnuxu.
25. Bro
Rámec bro je silný a je založen na síti. Provoz v síti je převeden na události a to zase může spouštět skripty. Bro je jako systém detekce narušení (IDS), ale jeho funkce jsou lepší než IDS. Používá se pro provádění forenzního vyšetřování, monitorování sítí atd.
Závěr
Analýza malwaru hraje důležitou roli při vyhýbání se a určování kybernetických útoků. Experti na kybernetickou bezpečnost používali manuálně provádět analýzu malwaru před patnácti lety a byl to časově náročný proces, ale nyní mohou odborníci na kybernetickou bezpečnost analyzovat životní cyklus malwaru pomocí nástrojů pro analýzu malwaru, čímž zvyšují inteligenci hrozeb.
Doporučený článek
Toto je průvodce nástroji pro analýzu malwaru. Zde diskutujeme některé z nejčastěji používaných nástrojů, jako jsou PEiD, Dependency Walker, Resource Hacker atd. Další informace naleznete také v našich dalších navrhovaných článcích -
- Co potřebujeme testování beta verze?
- Úvod do nástrojů pro krytí kódu
- Top 10 úspěšných nástrojů pro testování v cloudu
- 7 různých nástrojů IPS pro prevenci systému