REMnux

REMnux คือการกระจายแหล่งที่มาเปิดอูบุนตูที่ใช้ลินุกซ์ได้รับการออกแบบมาโดยเฉพาะสำหรับนักวิเคราะห์มัลแวร์ที่กำลังมองหาระบบปฏิบัติการทางเลือกที่สามารถใช้ Microsoft Windows ในการสั่งซื้อสำหรับพวกเขาที่จะกลับวิศวกรรมซอฟต์แวร์ที่เป็นอันตราย.

คุณสมบัติที่สำคัญ ได้แก่ ความสามารถในการตรวจสอบมัลแวร์เว็บเบราเซอร์การจัดการของการสื่อสารเครือข่ายการถอดรหัสและสิ่งประดิษฐ์สารสกัดตรวจสอบไฟล์เอกสารการตรวจสอบมัลแวร์ลินุกซ์แบบคงที่ตรวจสอบไฟล์ PE, ตรวจสอบคุณสมบัติของไฟล์และเนื้อหากระบวนการหลายตัวอย่างตรวจสอบภาพรวมของหน่วยความจำ เช่นเดียวกับการแก้ไขและดูหลากหลายของไฟล์.

ระบบปฏิบัติการที่สามารถดาวน์โหลดได้เป็นหนึ่งเดียวสดภาพ DVD ISO ที่สนับสนุนทั้ง 32 บิตและแพลตฟอร์มฮาร์ดแวร์ 64 บิตและจะต้องมีการเขียนลงบนแผ่น DVD หรือ USB แฟลชไดรฟ์ของ 2GB หรือความจุที่สูงขึ้นในการที่จะบูตได้จาก BIOS ของเครื่องคอมพิวเตอร์เช่นเดียวกับที่เก็บเครื่องเสมือน (OVA) สำหรับ VirtualBox และ VMware ซอฟต์แวร์เสมือนจริง.

นอกจากนี้ยังมีบูตมาตรฐานที่สามารถพบได้ในช่วงกว้างของลินุกซ์ขึ้นอยู่กับอูบุนตูที่ช่วยให้ผู้ใช้สามารถเริ่มต้นสภาพแวดล้อมที่อยู่กับตัวเลือกเริ่มต้นหรือในโหมดกราฟิกที่ปลอดภัยโดยการบังคับให้ framebuffer VESA ดำเนินการของหน่วยความจำระบบ (RAM) การทดสอบและการบูตระบบปฏิบัติการที่มีอยู่จากดิสก์แรก.

โดยค่าเริ่มต้นอยู่ซีดีถูกออกแบบให้เปิดจำลอง terminal จากที่ได้รับไป จะใช้น้ำหนักเบา X11 สภาพแวดล้อมเดสก์ทอป (LXDE) กับงานศิลปะที่มืดและแผงเดียวที่ตั้งอยู่บนขอบด้านล่างของหน้าจอจากการที่ผู้ใช้สามารถเข้าถึงการใช้งานหรือการโต้ตอบกับโปรแกรมที่กำลังทำงาน.

ในหมู่ปพลิเคชันที่ติดตั้งที่เราสามารถพูดถึงโปรแกรมแก้ไขข้อความ SciTE แก้ไข hex wxHexEditor สแกนเนอร์เครือข่าย Wireshark, XMind ใจเครื่องมือการทำแผนที่, เบราว์เซอร์ฐานข้อมูล SQLite, Mozilla Firefox เว็บเบราเซอร์และเครื่องเล่นเพลง LXMusic.

ข้อสรุปขึ้น REMnux แน่นอนไม่กระจาย Linux สำหรับผู้ใช้ทั่วไป มันขึ้นอยู่กับรุ่นเก่ารุ่นที่ได้รับการสนับสนุนของอูบุนตู (11.10 - oneiric แมวป่า). แต่ให้คอลเลกชันเรียบร้อยของคุณสมบัติที่มีประโยชน์อื่น ๆ ที่จะช่วยให้นักวิเคราะห์มัลแวร์ที่จะย้อนกลับวิศวกรซอฟต์แวร์ที่เป็นอันตราย

มีอะไรใหม่ ในข่าวประชาสัมพันธ์ฉบับนี้

• ฉันตื่นเต้นที่จะประกาศการเปิดตัวของ v6 REMnux distro ซึ่งจะช่วยให้นักวิเคราะห์ตรวจสอบมัลแวร์โดยใช้สาธารณูปโภคฟรี สภาพแวดล้อมลินุกซ์ REMnux v6 ปรับปรุงเครื่องมือที่ถูกนำเสนอในการแก้ไขก่อนหน้าของ distro และแนะนำคนใหม่ ๆ นอกจากนี้ยังดำเนินการเปลี่ยนแปลงสถาปัตยกรรมที่สำคัญเบื้องหลังเพื่อให้ผู้ใช้ REMnux ได้อย่างง่ายดายใช้การปรับปรุงในอนาคตโดยไม่ต้องดาวน์โหลดสภาพแวดล้อม REMnux เต็มรูปแบบจากรอยขีดข่วน.
• รับ REMnux v6:
• วิธีที่ง่ายที่สุดที่จะได้รับการกระจาย REMnux ล่าสุดคือการดาวน์โหลดเครื่องเสมือนไฟล์ไข่แล้วนำเข้าในการประยุกต์ใช้การทำงานแบบเสมือนที่คุณชื่นชอบเช่น VMware Workstation และ VirtualBox หลังจากที่เริ่มต้นเครื่องเสมือนที่นำเข้ามาเรียกใช้ & quot; อัพเดท remnux เต็ม & quot; คำสั่งในการปรับปรุงซอฟแวร์ สำหรับรายละเอียดโปรดดูคำแนะนำการติดตั้ง REMnux.
• หรือคุณสามารถเพิ่ม distro REMnux กับระบบทางกายภาพหรือเสมือนที่มีอยู่ที่ทำงานรุ่นที่รองรับการ Ubuntu รวมทั้งร่อน Workstation คุณสามารถทำได้โดยใช้สคริปต์การติดตั้ง REMnux ที่อธิบายไว้ในเอกสาร.
• หลังจากติดตั้ง v6 REMnux คุณจะสามารถที่จะได้รับการปรับปรุงโดยใช้ & quot; อัพเดท remnux & quot; คำสั่ง ติดตาม REMnux บัญชีบน Twitter, Facebook และ Google Plus จะได้รับการแจ้งเตือนเมื่อแพ็กเกจการวิเคราะห์มัลแวร์ที่มีการปรับปรุงหรือเมื่อคนใหม่ที่มีการเพิ่มชุดเครื่องมือ.
• เครื่องมือเพิ่ม REMnux v6:
• REMnux v6 มีเครื่องมือต่อไปนี้ที่ยังไม่ได้รับส่วนหนึ่งของการจัดจำหน่ายในรุ่นก่อนหน้านี้.
• pedump, readpe.py: Statically ตรวจสอบคุณสมบัติของแฟ้ม Windows PE
• VirusTotal เครื่องมือ: โต้ตอบกับฐานข้อมูล VirusTotal จากบรรทัดคำสั่ง
• Nginx: เว็บเซิร์ฟเวอร์ซึ่งแทนที่ HTTPD เล็ก ๆ ที่มีอยู่ใน REMnux ก่อนหน้านี้
• VolDiff: เปรียบเทียบภาพนิติหน่วยความจำที่จะจุดเปลี่ยนแปลงโดยใช้ความผันผวน
• กฎ Editor: แก้ไข IOC Yara, Snort และกฎระเบียบ OpenIOC เปลี่ยนสารตั้งต้นของ Yara บรรณาธิการ
• Rekall: เครื่องมือนิติหน่วยความจำและกรอบ
• m2elf: สร้างแฟ้มไบนารีเอลฟ์ออกจาก shellcode
• Yara กฎ: ลายเซ็นสำหรับการจำลักษณะที่เป็นอันตรายในไฟล์
• OfficeDissector Mastiff ปลั๊กอิน: ตรวจสอบไฟล์ Microsoft Office ที่ใช้ XML ใช้ Mastiff
• หาง: การใช้งานที่เรียกใช้เป็นภาชนะบรรจุแยกในพื้นที่ท้องถิ่น
• AndroGuard: วิเคราะห์การใช้งาน Android ที่น่าสงสัย
• vtTool: ตรวจสอบชื่อครอบครัวตัวอย่างมัลแวร์โดยการสอบถาม VirusTotal
• oletools, libolecf: วิเคราะห์ไฟล์ Microsoft Office OLE2
• tcpflow: ตรวจสอบเครือข่ายการจราจรและการแกะสลักไฟล์จับ PCAP
• passive.py: ดำเนินการค้นหา DNS เรื่อย ๆ ใช้ห้องสมุด pdns ก
• CapTipper: ตรวจสอบเครือข่ายการจราจรและการแกะสลักไฟล์จับ PCAP
• oledump: ตรวจสอบไฟล์ที่น่าสงสัยของ Microsoft Office
• CFR: แยกไฟล์ Java ระดับที่น่าสงสัย
• อัพเดท remnux: ปรับปรุง distro การอัพเกรดซอฟต์แวร์และการติดตั้งเครื่องมือเพิ่มเข้าไปใหม่
• REMnux v6 ยังรวมถึงห้องสมุดต่อไปนี้ซึ่งนักพัฒนาซอฟต์แวร์สามารถใช้สำหรับการสร้างเครื่องมือในการวิเคราะห์มัลแวร์ใหม่และงาน.
• IOC เขียน: ห้องสมุดหลามสำหรับการสร้างและแก้ไขวัตถุ OpenIOC
• Cybox: ห้องสมุดหลามสำหรับการแยก, การจัดการและการสร้างเนื้อหา CybOX
• diStorm3, Capstone: ห้องสมุดหลามสำหรับแยกไฟล์ไบนารี
• pylibemu: ห้องสมุดหลามสำหรับการเข้าถึงฟังก์ชั่นการจำลอง shellcode libemu
• Yara ห้องสมุด: ห้องสมุดหลามในการระบุและจำแนกตัวอย่างมัลแวร์
• olefile: ห้องสมุดหลามการอ่าน / เขียนไฟล์ Microsoft Office OLE2
• PyV8: ห้องสมุดห่องูใหญ่สำหรับเครื่องยนต์ V8 JavaScript
• pyssdeep: ห้องสมุดห่องูใหญ่สำหรับ ssdeep เครื่องมือคร่ำเครียดเลือน
• pyexiftool: ห้องสมุดห่องูใหญ่สำหรับ ExifTool
• OfficeDissector: ห้องสมุดหลามกับ Microsoft Office ที่น่าสงสัยไฟล์ที่ใช้ XML
• pdns: ห้องสมุดหลามสำหรับการดำเนินการค้นหา DNS เรื่อย ๆ
• Javassist: Java ห้องสมุดที่ช่วยให้มีการตรวจสอบ Java bytecode
• สำหรับรายชื่อของสาธารณูปโภควิเคราะห์มัลแวร์ที่มีอยู่บน REMnux ให้ดูที่เว็บไซต์เอกสารประกอบซึ่งรวมถึงสเปรดชีทและแผนที่ความคิดของเครื่องมือและมีเคล็ดลับการใช้งานบางอย่าง.
• การปรับปรุง REMnux สถาปัตยกรรม:
• เป้าหมายหลักของการปล่อย v6 ของ REMnux เกินกว่าการยกระดับและขยายชุดเครื่องมือที่ทันสมัย​​เป็นรากฐาน distro ในขณะที่ยังคงรักษารูปลักษณ์และความรู้สึกที่คุ้นเคย คนที่คุ้นเคยกับรุ่นก่อนหน้านี้ REMnux ควรจะสามารถใช้สภาพแวดล้อมโดยไม่ต้องมีการปรับพฤติกรรมของพวกเขา สิ่งสำคัญที่สุดคือผู้ใช้ REMnux v6 สามารถได้รับการปรับปรุงในอนาคตที่จะ distro ใช้ & quot; อัพเดท remnux & quot; สคริปต์โดยไม่ต้องดาวน์โหลดเครื่องเสมือนใหม่ทั้งหมดเพื่อดำเนินการอัพเกรด.
• เพื่อให้บรรลุวัตถุประสงค์เหล่านี้ REMnux v6 จะขึ้นอยู่กับอูบุนตู 14.04 64 บิต มันเป็นระบบปฏิบัติการที่เป็นที่นิยมและมีเสถียรภาพที่จะเป็นรอบสำหรับขณะเพราะมันสนับสนุนระยะยาว (LTS) ปล่อย นอกจากนี้ในขณะนี้ REMnux อาศัยอย่างหนักในแพคเกจ Debian เป็นเจ้าภาพในพื้นที่เก็บข้อมูลเพื่ออำนวยความสะดวกการปรับปรุงสิ่งอำนวยความสะดวก.
• เป็นผลให้ REMnux สามารถติดตั้งบนระบบใหม่หรือที่มีอยู่ใช้ Ubuntu 14.04 64 บิตโดยไม่คำนึงถึงไม่ว่าจะเป็นเครื่องกายภาพหรือเสมือน รุ่นนี้ถูกออกแบบมาให้เข้ากันได้กับเวิร์คสเตชั่ร่อนเพื่อให้ผู้คนสามารถติดตั้งกระจายทั้งบนระบบเดียวกันหากพวกเขาต้องการ.

มีอะไรใหม่ ในรุ่น 5.0:

• การปรับปรุงที่สำคัญในการเครื่องมือที่มีอยู่และส่วนประกอบ:
• ระบบหลัก: เพิ่มส่วนประกอบพื้นฐานของระบบปฏิบัติการอูบุนตูและแพคเกจ; แรมเริ่มต้นที่เพิ่มขึ้นของเครื่องเสมือน 512MB; แทนที่ OpenJDK กับ Oracle Java 7 รันไทม์.
• การวิเคราะห์หน่วยความจำ:. ความผันผวนของการปรับปรุงเพื่อรุ่น 2.2
• การวิเคราะห์รูปแบบไฟล์ PDF: อัปเดต pdfid และรูปแบบไฟล์ PDF parser, Origami, peepdf
• การวิเคราะห์เว็บ: อัปเดต SWFTools, V8, libemu, NetworkMiner, เรอพร็อกซี Wireshark, Firefox และ add-on ของ
.
• การเปลี่ยนแปลงอื่น ๆ : อัปเดต xorsearch, DensityScout, Pyew, เรื่อย ๆ -DNS, ClamAV, capabilities.yara; แทนที่ด้วย FreeMind XMind
• เครื่องมือใหม่ ๆ เพิ่มเข้ามาใน REMnux:
• เครื่องมือของ Windows: ติดตั้งไวน์; เพิ่ม OfficeMalScanner, Malzilla
• วิเคราะห์แฮคเกอร์: เพิ่ม NoMoreXOR, brutexor, XORBruteForcer
• PE การวิเคราะห์ไฟล์: เพิ่ม PEV, dism-นี้ ExeScan, udis86 (udcli) autorule (/ usr / local / autorule) distool
• การวิเคราะห์ไฟล์อื่น ๆ : เพิ่ม extract_swf.py, ExifTool, Mastiff
• เพิ่มเติมอื่น ๆ : ฟังก์ชั่นที่เพิ่มเข้ามาสับ (/ usr / local / สับฟังก์ชั่น) bulk_extractor, ProcDot

มีอะไรใหม่ ในรุ่น 3.0:

• REMnux ถูกสร้างขึ้นใหม่ให้เป็นไปตาม Ubuntu 11.10 เพื่อปรับปรุงการบำรุงรักษา ขณะที่ยังคงทำงานร่วมกันหลังที่ใดก็ตามในทางปฏิบัติ.
• สภาพแวดล้อมเดสก์ทอปใน REMnux ได้รับการอพยพไปใช้สำหรับการใช้งาน LXDE ที่ดีขึ้นในขณะที่รักษาธรรมชาติที่มีน้ำหนักเบาของการกระจาย.
• เครื่องมือในการวิเคราะห์มัลแวร์ที่มีอยู่ในรุ่นก่อนหน้าของ REMnux ได้รับการอัพเกรดให้เป็นรุ่นเสถียรล่าสุดเพื่อให้คุณสมบัติใหม่และการปรับปรุง การปรับปรุงอย่างมีนัยสำคัญมากที่สุด ได้แก่
• กรอบความผันผวน 2.0 สำหรับนิติหน่วยความจำที่มีมัลแวร์ใหม่ล่าสุดและโมดูล timeliner
• Origami กรอบ 1.2.3 สำหรับการวิเคราะห์รูปแบบไฟล์ PDF รวมทั้ง pdfcop, pdfextract, pdfwalker, pdfsh ฯลฯ .
• REMnux รวมถึงเครื่องมือในการวิเคราะห์มัลแวร์หลายอย่างที่ไม่ได้อยู่ในรุ่นก่อนหน้าของการจัดจำหน่ายรวมไปถึง:
• การวิเคราะห์เครือข่าย: NetworkMiner, ngrep, pdnstool
• การวิเคราะห์รูปแบบไฟล์ PDF: PDF X-Ray Lite (pdfxray_lite และ swf_mastah) peepdf
• วิเคราะห์ JavaScript: เครื่องยนต์ Chrome JavaScript (D8) js-สวยงาม
• การตรวจสอบไฟล์: Hachoir (hachoir-subfile, hach​​oir-เม hach​​oir-urwid) pyew, densityscout, findaes
• อื่น ๆ : JD-กุย xxxswf.py, FreeMind, xpdf, xortool