Доступен (https://zeltser.com/remnux-v6-release-for-malware-analysis/) новый выпуск специализированного Linux-дистрибутива REMnux (https://remnux.org/), построенного на пакетной базе Ubuntu и предназначенного для изучения и обратного инжиниринга кода вредоносных программ. В процессе анализа REMnux позволяет обеспечить условия изолированного лабораторного окружения, в котором можно сэмулировать работу определенного атакуемого сетевого сервиса для изучения поведения вредоносного ПО в условиях приближенных к реальным. Другой областью применения REMnux является изучение свойств вредоносных вставок на web-сайтах, реализованных на JavaScript, Java или Flash.
Пользовательский интерфейс дистрибутива построен на базе LXDE. В качестве web-браузера поставляется Firefox с дополнениями NoScript, JavaScript Deobfuscator и Firebug. В комплект дистрибутива включена достаточно полная подборка инструментов для анализа вредоносного ПО, утилит для проведения обратного инжиниринга кода, программ для изучения модифицированных злоумышленниками PDF и офисных документов, средств мониторинга активности в системе. Размер загрузочного образа (http://sourceforge.net/projects/remnux/files/version6/) REMnux, сформированного для запуска (https://remnux.org/docs/distro/get/#download-the-remnux-virt... внутри систем виртуализации, составляет 2.1 Гб.В комплект входят следующие инструменты (https://remnux.org/docs/distro/tools/):
- Анализ вредоносных Flash-роликов: swftools (http://www.swftools.org/), flasm (http://www.nowrap.de/flasm.html), flare (http://www.nowrap.de/flare.html);- Анализ IRC-ботов: IRC-сервер Inspire IRCd (http://www.inspircd.org/)) и IRC-клиент (Irssi (http://www.irssi.org/));
- Мониторинг сетевой активности: Wireshark (http://www.wireshark.org/), Honeyd (http://www.honeyd.org/), INetSim (http://www.inetsim.org/), fakedns (http://code.activestate.com/recipes/491264-mini-fake-dns-ser... скрипты fakesmtp, NetCat;
- Приведение запутанного JavaScript кода в читаемый вид (deobfuscation): JavaScript Deobfuscator (https://addons.mozilla.org/en-US/firefox/addon/10345/), отладчик Rhino (http://www.mozilla.org/rhino/debugger.html), две модифицированные версии SpiderMonkey (http://www.mozilla.org/js/spidermonkey/), Windows Script Decoder (http://www.virtualconspiracy.com/index.php?page=scrdec/intro), Jsunpack-n (http://jsunpack.blogspot.com/2009/06/very-cool-javascript-de...
- Слежение за вредоносным ПО в лабораторных условиях: http-сервер TinyHTTPd (http://tinyhttpd.sourceforge.net/) и прокси Paros proxy (http://www.parosproxy.org/)
- Анализ shell-кода: gdb (http://www.gnu.org/software/gdb/), objdump (http://en.wikipedia.org/wiki/Objdump), Radare (http://radare.nopcode.org/) (hex editor+disassembler), shellcode2exe (http://zeltser.com/reverse-malware/convert-shellcode.html)
- Разбор защищенных исполняемых файлов: upx (http://www.upx.org/), packerid (http://handlers.dshield.org/jclausing/packerid.py), bytehist (http://www.cert.at/downloads/software/bytehist_en.html), xorsearch (http://blog.didierstevens.com/programs/xorsearch/), TRiD (http://mark0.net/soft-trid-e.html);
- Анализаторы PDF-файлов (http://zeltser.com/reverse-malware/analyzing-malicious-docum...: Didier's PDF tools (http://blog.didierstevens.com/programs/pdf-tools/), Origami framework (http://seclabs.org/origami/), Jsunpack-n (http://jsunpack.blogspot.com/2009/06/very-cool-javascript-de... pdftk (http://www.accesspdf.com/pdftk/);
- Исследование остаточного содержимого памяти: Volatility Framework (https://www.volatilesystems.com/default/volatility);
Новый выпуск примечателен переработкой архитектуры дистрибутива, добавлением утилиты update-remnux для обновления состава виртуального окружения, поставкой новых версий программ. В состав включена большая порция новых приложений и библиотек, полезных для анализа вредоносного ПО, в том числе средства для статического анализа исполняемых файлов Windows PE (pype (https://github.com/crackinglandia/pype32)), офисных файлов (OfficeDissector (https://github.com/grierforensics/officedissector/tree/maste... и OLE2 (oletool (https://github.com/libyal/libolecf), oledump (http://blog.didierstevens.com/programs/oledump-py/)), сравнения дампов памяти (VolDiff (https://github.com/aim4r/VolDiff)), анализа содержимого памяти (rekall (http://www.rekall-forensic.com/)), изучения трафика (tcpflow (https://github.com/simsong/tcpflow)), проверки Android-приложений (androguard (https://github.com/androguard/androguard)), декомпиляции Java-файлов (cfr (http://www.benf.org/other/cfr/)).
Добавлена возможность использования контейнеров Docker для дополнительной изоляции инструментов анализа вредоносного ПО. Для пользователей Ubuntu 14.04 подготовлен репозиторий пакетов (https://launchpad.net/~remnux/+archive/ubuntu/stable/+packag... из которого можно установить все специфичные для REMnux инструменты и утилиты, которые отсутствуют в штатных репозиториях Ubuntu.
URL: https://zeltser.com/remnux-v6-release-for-malware-analysis/
Новость: http://www.opennet.me/opennews/art.shtml?num=42393
судя по списку софта, оно предназначено для реверс-инжениринга любого софта, не только вредоносного. происки маркетолохов? или это разрабы шифруются от закона?
Зачем заниматься реверс инженирингом свободного ПО? Его исходный код итак всем известен!Да, всю бинарную проприетарщину и вирусную надо реверс инженирить, для поиска бекдоров и троянов.
> Его исходный код итак всем известен!exe, может быть собран не по коду, как кажется по исходнику
Я в своих системах всё сам собираю, чужими бинарями и блобами не пользуюсь.Да, для анализа проприетарщины это необходимо, а свободные программы проще пересобрать.
> Я в своих системах всё сам собираю, чужими бинарями и блобами не пользуюсь.
>а свободные программы проще пересобрать.Стесняюсь спросить, а исходники вычитываете? Полностью? А bios-ы и процессоры-южмосты как проверяете? Мне тоже надо!!
>...или это разрабы шифруются от закона?Как не стыдно ))
В данном случае они реально полезное для общества дело делают. Гораздо полезнне, чем законы о защите "интеллектуальной собственности".
А роликов с Лозинским из "От Винта" нарезали? :)
>анализа вредоносного ПО
>нет IDA proололо
В тексте новости ссылка на upx ведёт не туда. Совсем. Вероятнее всего, должна быть эта:
http://upx.sourceforge.net/
Я наверное что-то не понимаю, но что мешает вызвать apt-get install <список> и получить желаемое :-? Можете поменять apt-get на то, что больше по душе, это не меняет сути вопроса и не повод к холивару. Собственно некто, кто в состоянии осмысленно использовать указанный инструментарий, уж что-что а собрать себе за час-два рабочую станцию с нужной ф-ю может на раз-два.
Вот по теме ссылкаhttp://reverseengineering.stackexchange.com/questions/283/ar.../