REMnux

REMnux je distribuce open source Ubuntu na bázi Linuxu speciálně navržen pro malware analytiků, kteří hledají volné alternativní operační systém Microsoft Windows, aby pro ně reverzní inženýrství škodlivý software.

Mezi klíčové funkce patří možnost prozkoumat webový prohlížeč malware, správu síťových interakcí, dekódovat a extrakt artefaktů, prozkoumat soubory dokumentů, vyšetřovat Linux malware, staticky zkoumat PE soubory, zkoumat vlastnosti a obsah souboru, zpracovat více vzorků, zkoumat paměti snímků , jakož i pro úpravu a zobrazit celou řadu souborů.

Operační systém můžete stáhnout jako jediné živé DVD ISO obraz, který podporuje jak 32-bit a 64-bitové hardwarové platformy a musí být napsán na discích DVD nebo USB flash disky 2 GB nebo vyšší kapacitou, aby ji nabootovat z BIOS na PC, stejně jako archiv Virtual Appliance (OVA) pro virtualizačního softwaru VirtualBox a VMware.

K dispozici je standardní boot loader, který lze nalézt na širokou škálu linuxových distribucí založených na Ubuntu, což umožňuje uživateli start živé prostředí s výchozími možnostmi nebo v nouzovém grafickém režimu tím, že nutí VESA framebuffer, provést systémové paměti (RAM) test, a zavést stávající operační systém z prvního disku.

Ve výchozím nastavení je Live CD je navržen tak, aby otevřít emulátor terminálu od samého začátku. Používá Lightweight X11 Desktop Environment (LXDE) s tmavou umělecká díla a jeden panel se nachází na dolním okraji obrazovky, z nichž může uživatel přístup k aplikacím nebo interakci s probíhající programy.

Mezi předinstalovaných aplikací, můžeme zmínit SciTE textového editoru, wxHexEditor hex editor, Wireshark síťový skener, XMind mapování mysli nástroj, SQLite databáze prohlížeč, webový prohlížeč Mozilla Firefox, a LXMusic hudební přehrávač.

Shrneme-li, REMnux rozhodně není linuxová distribuce pro běžného uživatele. Je založen na starší, nepodporované verze Ubuntu (11.10 - Oneiric Ocelot)., Ale přináší elegantní kolekci dalších užitečných funkcí, které vám pomohou malware analytici uskutečnit zpětné inženýrství na škodlivý software

Co je nového v této verzi:

• Jsem nadšený, oznamuje vydání v6 REMnux distro, který pomáhá analytici zkoumat malware pomocí bezplatné nástroje v v prostředí systému Linux. REMnux v6 aktualizuje nástroje, které byly obsaženy v dřívějších revizích distro a zavádí několik nových. Kromě toho zavádí významné změny v architektuře v zákulisí, aby uživatelům REMnux snadno aplikovat budoucí aktualizace, aniž by museli stáhnout plnou REMnux prostředí od nuly.
• Získat REMnux v6:
• Nejjednodušší způsob, jak získat nejnovější distribuce REMnux je stáhnout svůj virtuální zařízení vajíček soubor, pak jej importovat do vašeho oblíbeného virtualizačního aplikace, jako je VMware Workstation a VirtualBox. Po spuštění importované virtuálního počítače, spusťte & quot, update-remnux full & quot; Příkaz k aktualizaci svého softwaru. Podrobné pokyny naleznete v návodu k instalaci REMnux.
• Případně můžete přidat REMnux distro na existující fyzického nebo virtuálního systému, který je systémem kompatibilní verzi Ubuntu, včetně prosít Workstation. Tuto operaci lze provést spuštěním instalační skript REMnux, jak je vysvětleno v dokumentaci.
• Po instalaci REMnux V6, budete mít možnost získat aktualizace spuštěním & quot; update-remnux & quot; příkaz. Postupujte REMnux účtů na Twitteru, Facebooku a Google Plus, přijímat oznámení, když jsou jeho malware analýza balíčky aktualizovat nebo jsou-li nové přidány do výbavy.
• Nástroje Přidáno do REMnux V6:
• REMnux v6 obsahuje následující nástroje, které nebyly součástí distribuce v dřívějších verzích.,
• pedump, readpe.py: Staticky zkoumat vlastnosti souboru Windows PE
• VirusTotal nářadí: Pracovat s databází VirusTotal z příkazového řádku
• Nginx: Web server, který nahrazuje Tiny HTTPD, který byl přítomen na REMnux dříve
• VolDiff: porovnejte paměti forenzní obrazy na místě změny pomocí Volatilita
• Pravidlo Editor: Upravit IOC Yara, Snort a pravidel OpenIOC, nahrazovat jeho předchůdce Yara Editor
• Rekall: Paměť forenzní nástroj a rámec
• m2elf: Vytvořit ELF binární soubor z shell kód
• Yara Pravidla: Podpisy pro nanášení škodlivých vlastností v souborech
• OfficeDissector MASTIFF pluginy: Zkontrolujte soubory Microsoft Office XML-based pomocí mastif
• Docker: spouštět aplikace, jako izolované nádoby na lokálním počítači
• AndroGuard: Analýza podezřelých aplikací pro Android
• vtTool: Zjistěte, malware příjmení na preparát lidové dotazem VirusTotal
• oletools, libolecf: Analýza Microsoft Office OLE2 soubory
• tcpflow: Zkontrolujte síťový provoz a vyřezat zachytit PCAP soubory
• passive.py: Provést pasivní vyhledávání DNS pomocí knihovny PDNS
• CapTipper: Prověřit síťový provoz a vyřezat nahranými soubory PCAP
• oledump: Zkontrolujte podezřelé soubory Microsoft Office
• CFR: Dekompilovat podezřelé soubory Java tříd
• update-remnux: Aktualizace distro, upgrade svého softwaru a instalace nově přidané nástroje
• REMnux v6 také zahrnuje následující knihovny, které vývojáři softwaru mohou využít pro budování nových malware nástroje a úkoly analýzy.
• IOC Scénář: Python knihovna pro vytváření a editaci OpenIOC objektů
• Cybox: Python knihovna pro analýzu, manipulaci a generování obsahu CybOX
• diStorm3, Capstone: Python knihovny pro demontáž binární soubory
• pylibemu: Python knihovna pro přístup libemu funkce emulace shellcode
• Yara knihovna: Python knihovna pro identifikaci a klasifikovat vzorky malware
• olefile: Python knihovna pro čtení / zápis Microsoft Office OLE2 soubory
• PyV8: Python wrapper knihovna pro motor V8 JavaScript
• pyssdeep: Python wrapper knihovna pro ssdeep Fuzzy hash nástroj
• pyexiftool: Python wrapper knihovna pro ExifTool
• OfficeDissector: Python knihovna podezřelé soubory Microsoft Office XML
• PDNS: Python knihovna pro provádění pasivního vyhledávání DNS
• Javassist: Java knihovna, která pomáhá s zkoumání Java bytecode
• Pro výpis malware analytických nástrojů dostupných na REMnux, vidět jeho dokumentace stránky, která obsahuje tabulku a mapu mysli nástrojů a nabízí několik tipů pro použití.
• Aktualizováno REMnux Architecture:
• Hlavním cílem uvolnění v6 REMnux, za modernizaci a rozšíření sada nástrojů, je modernizovat nadaci distro je při zachování známé vzhled a pocit. Lidé obeznámení s předchozími REMnux verzích by měl být schopen používat životního prostředí, aniž by museli přizpůsobit své zvyky. A co je nejdůležitější, mohou uživatelé REMnux v6 dostávat budoucí aktualizace na distro pomocí & quot; update-remnux & quot; skript, aniž byste museli stahovat celý nový virtuální stroj k provedení aktualizace.
• K dosažení těchto cílů, REMnux v6 je založen na Ubuntu 14.04 64-bit. Je to populární a stabilní operační systém, který bude nějakou dobu, protože je to Long Term Support (LTS) propuštění. Také REMnux nyní značné míry opírá o balíků hostovány ve svém úložišti usnadnit pohodlné aktualizace.
• V důsledku, REMnux může být instalován na každého nového či stávajícího systému, který běží Ubuntu 14.04 64-bit, bez ohledu na to, zda se jedná o fyzické nebo virtuální stroj. Toto vydání je navržena tak, aby byl kompatibilní s prosít Workstation, aby si lidé mohli nainstalovat oba rozdělení do stejného systému, pokud si to přejí.

Co je nového ve verzi 5.0:

• Klíčové aktualizace stávajících nástrojů a komponent:
• Systém Core: Modernizované podkladových Ubuntu OS komponenty a balíků; zvýšená výchozí RAM virtuálního spotřebiče na 512 MB; nahradil OpenJDK s Oracle Java 7 běhu.
• analýza Paměť:. Aktualizováno Volatilita na verzi 2.2
• PDF analýza: Aktualizováno pdfid a PDF-parser, Origami, peepdf
• Web analýza: Aktualizováno SWFTools, V8, libemu, NetworkMiner, Burp proxy, Wireshark, Firefox a jeho add-ons
.
• Další změny: Aktualizováno xorsearch, DensityScout, Pyew, pasivní-dns, ClamAV, capabilities.yara; nahradil FreeMind s XMind
• Nové nástroje přidány do REMnux:
• Okna nástroje: Instalovaný Wine; přidanou OfficeMalScanner, Malzilla
• analýza XOR: Přidáno NoMoreXOR, brutexor, XORBruteForcer
• analýza souboru PE: Přidáno PEV, dism-to, ExeScan, udis86 (udcli), autorule (/ usr / local / autorule), distool
• Další analýza souboru: Přidáno extract_swf.py, ExifTool, MASTIFF
• Další doplňky: Přidané Ocasky funkce (/ usr / local / hack-funkce), bulk_extractor, ProcDot

Co je nového ve verzi 3.0:

• REMnux byl přestavěn být založený na Ubuntu 11.10 s cílem zlepšit udržovatelnost , při zachování zpětné kompatibility a to pokud možno.
• Desktopové prostředí na REMnux byl migrován k použití LXDE pro lepší použitelnost, při zachování lehké povahu distribuce.
• Malware nástroje jsou k dispozici v dřívější verzi REMnux analýzy byly modernizovány na nejnovější stabilní verze poskytovat nejnovější funkce a vylepšení. Mezi nejvýznamnější aktualizace zahrnují:
• Volatilita Framework 2.0 pro forenzní paměti s nejnovějšími malware a timeliner moduly
• Origami Framework 1.2.3 pro analýzu PDF, včetně pdfcop, pdfextract, pdfwalker, pdfsh, atd.
• REMnux obsahuje několik malwaru analytických nástrojů, které nebyly přítomny v dřívějších verzích distribuce, včetně:
• Síťová analýza: NetworkMiner, ngrep, pdnstool
• analýza PDF: PDF X-Ray Lite (pdfxray_lite a swf_mastah), peepdf
• JavaScript analýza: engine Chrome JavaScript (D8), js-zkrášlit
• Zkoumání souborů: Hachoir (hachoir-subfile, hachoir-metadata, hachoir-urwid), pyew, densityscout, findaes
• Ostatní: jd-gui, xxxswf.py, FreeMind, xpdf, xortool