REMnux

REMnux là một phân phối mã nguồn mở Ubuntu dựa trên Linux được thiết kế đặc biệt cho các nhà phân tích phần mềm độc hại người đang tìm kiếm một hệ điều hành thay thế miễn phí cho Microsoft Windows, để cho họ để đảo ngược-kỹ thuật phần mềm độc hại.

Các tính năng chính bao gồm khả năng để kiểm tra trình duyệt web phần mềm độc hại, quản lý các tương tác mạng, đồ tạo tác giải mã và giải nén, kiểm tra các tập tin tài liệu, điều tra Linux phần mềm độc hại, tĩnh kiểm tra các tập tin PE, kiểm tra các thuộc tính tập tin và nội dung, quy trình nhiều mẫu, kiểm tra các bức ảnh chụp bộ nhớ , cũng như chỉnh sửa và xem một loạt các tập tin.

Các hệ điều hành có thể được tải về như là một hình ảnh DVD ISO sống duy nhất mà hỗ trợ cả 32-bit và 64-bit nền tảng phần cứng và phải được ghi trên đĩa DVD hoặc ổ đĩa flash USB 2GB hoặc cao hơn khả năng để khởi động nó từ BIOS của máy PC, cũng như một kho lưu trữ các thiết bị ảo (OVA) cho các phần mềm ảo hóa VirtualBox và VMware.

Nó có tính năng một bộ nạp khởi động chuẩn có thể được tìm thấy trên một loạt các bản phân phối Linux dựa trên Ubuntu, cho phép người dùng khởi động môi trường sống với các tùy chọn mặc định hoặc két sắt trong chế độ đồ họa bằng cách buộc các bộ đệm khung VESA, thực hiện một bộ nhớ hệ thống kiểm tra (RAM), và khởi động một hệ điều hành hiện tại từ đĩa đầu tiên.

Theo mặc định, Live CD được thiết kế để mở một mô phỏng thiết bị ngay từ đầu đi. Nó sử dụng Lightweight X11 Desktop Environment (LXDE) với một tác phẩm nghệ thuật đen tối và một bảng điều khiển duy nhất nằm trên cạnh dưới của màn hình, từ đó người dùng có thể truy cập vào các ứng dụng hoặc tương tác với các chương trình đang chạy.

Trong số các ứng dụng được cài đặt sẵn, chúng ta có thể đề cập đến trình soạn thảo văn bản SciTE, wxHexEditor soạn thảo hex, máy quét mạng Wireshark, XMind công cụ bản đồ tâm trí, trình duyệt cơ sở dữ liệu SQLite, trình duyệt web Mozilla Firefox, và máy nghe nhạc LXMusic.

Tổng hợp, REMnux chắc chắn không phải là một bản phân phối Linux cho người sử dụng thường xuyên. Nó được dựa trên một phiên bản được hỗ trợ cũ của Ubuntu (11.10 - Ocelot Oneiric)., Nhưng cung cấp một bộ sưu tập thú vị của tính năng hữu ích khác sẽ giúp các nhà phân tích phần mềm độc hại để đảo ngược-kỹ sư phần mềm độc hại

là gì mới trong phiên bản này:

• Tôi vui mừng thông báo việc phát hành v6 của distro REMnux, giúp các nhà phân tích kiểm tra phần mềm độc hại bằng cách sử dụng tiện ích miễn phí tại một môi trường Linux. REMnux v6 cập nhật những công cụ đã có mặt trong các phiên bản trước đó của các distro và giới thiệu một số những cái mới. Hơn nữa, nó thực hiện những thay đổi kiến ​​trúc chính đằng sau hậu trường để cho phép người dùng REMnux dễ dàng áp dụng bản cập nhật trong tương lai mà không cần phải tải về môi trường REMnux đầy đủ từ đầu.
• Nhận REMnux v6:
• Cách đơn giản nhất để có được sự phân bố REMnux mới nhất là để tải tập tin thiết bị OVA ảo của nó, sau đó nhập vào ứng dụng ảo hóa yêu thích của bạn chẳng hạn như VMware Workstation và VirtualBox. Sau khi khởi động máy ảo nhập khẩu, chạy các & quot; update-remnux toàn & quot; lệnh để cập nhật phần mềm của nó. Để được hướng dẫn chi tiết, vui lòng xem hướng dẫn cài đặt REMnux.
• Ngoài ra, bạn có thể thêm các distro REMnux đến một hệ thống vật lý hay ảo hiện đang chạy một phiên bản tương thích của Ubuntu, bao gồm SIFT Workstation. Bạn có thể thực hiện điều này bằng cách chạy các kịch bản cài đặt REMnux như được giải thích trong tài liệu.
• Sau khi cài đặt REMnux v6, bạn sẽ có thể để có được thông tin cập nhật bằng cách chạy & quot; update-remnux & quot; lệnh. Thực hiện theo REMnux tài khoản trên Twitter, Facebook và Google Plus để nhận thông báo khi các gói phân tích phần mềm độc hại của nó được cập nhật hoặc khi những người mới được bổ sung vào bộ công cụ.
• Tools Thêm vào REMnux v6:
• REMnux v6 bao gồm các công cụ sau đó đã không phải là một phần của phân phối trong phiên bản trước đó.
• pedump, readpe.py: Tĩnh kiểm tra thuộc tính của một file Windows PE
• VirusTotal tools: Tương tác với cơ sở dữ liệu VirusTotal từ dòng lệnh
• Nginx: máy chủ Web, mà thay thế Tiny HTTPD rằng đã có mặt trên REMnux trước
• VolDiff: So sánh pháp y bộ nhớ hình ảnh để phát hiện những thay đổi bằng cách sử dụng biến động
• Rule: chỉnh sửa các IOC Yara, Snort và quy tắc OpenIOC, thay thế tiền thân của nó Yara biên tập
• Rekall: pháp y Memory công cụ và khuôn khổ
• m2elf: Tạo một tập tin nhị phân ELF ra của shellcode
• Rules Yara: Chữ ký cho việc tìm kiếm các đặc tính độc hại trong các tập tin
• OfficeDissector mastiff plugins: Kiểm tra các tập tin Microsoft Office XML dựa trên sử dụng mastiff
• Docker: Chạy các ứng dụng như container bị cô lập trên máy chủ cục
• AndroGuard: Phân tích các ứng dụng Android đáng ngờ
• vtTool: Xác định tên gia đình phần mềm độc hại của mẫu vật bằng cách truy vấn VirusTotal
• oletools, libolecf: Phân tích các tập tin Microsoft Office OLE2
• tcpflow: Kiểm tra lưu lượng mạng và khắc các file capture pcap
• passive.py: Thực hiện tra cứu DNS thụ động bằng cách sử dụng thư viện pdns
• CapTipper: Kiểm tra lưu lượng mạng và khắc các file capture pcap
• oledump: Kiểm tra các tập tin Microsoft Office đáng ngờ
• CFR: dịch ngược file class Java đáng ngờ
• update-remnux: Cập nhật các distro, nâng cấp phần mềm và cài đặt công cụ mới được thêm
• REMnux v6 cũng bao gồm các thư viện sau đây, mà các nhà phát triển phần mềm có thể sử dụng để xây dựng các công cụ phân tích phần mềm độc hại mới và nhiệm vụ.
• IOC Writer: thư viện Python để tạo và chỉnh sửa các đối tượng OpenIOC
• Cybox: thư viện Python cho phân tích cú pháp, thao tác, và tạo ra nội dung CybOX
• diStorm3, Capstone: thư viện Python cho tháo tập tin nhị phân
• pylibemu: thư viện Python cho việc truy cập các chức năng thi đua shellcode libemu
• Yara Library: thư viện Python để xác định và phân loại mẫu phần mềm độc hại
• olefile: thư viện Python để đọc / ghi tập tin Microsoft Office OLE2
• PyV8: Python thư viện wrapper cho động cơ V8 JavaScript
• pyssdeep: Python thư viện wrapper cho ssdeep công cụ băm mờ
• pyexiftool: Python thư viện wrapper cho ExifTool
• OfficeDissector: Python thư viện để các tập tin Microsoft Office XML dựa trên nghi ngờ
• pdns: thư viện Python để thực hiện tra cứu DNS thụ động
• Javassist: thư viện Java hỗ trợ khách kiểm tra Java bytecode
• Đối với một danh sách các tiện ích phân tích phần mềm độc hại có trên REMnux, xem trang web tài liệu của mình, trong đó bao gồm một bảng tính và một bản đồ tâm trí của các công cụ và cung cấp một số mẹo sử dụng.
• Cập nhật REMnux Kiến trúc:
• Mục đích chính của việc phát hành v6 của REMnux, ngoài việc nâng cấp và mở rộng các công cụ thiết lập, là hiện đại hóa nền tảng của phân phối trong khi giữ lại giao diện quen thuộc. Những người quen thuộc với các phiên bản trước đó REMnux nên có thể sử dụng các môi trường mà không cần phải điều chỉnh những thói quen của họ. Quan trọng nhất, người dùng REMnux v6 có thể nhận được các bản cập nhật trong tương lai để các distro sử dụng & quot; update-remnux & quot; kịch bản mà không cần phải tải về một máy ảo hoàn toàn mới để thực hiện nâng cấp.
• Để thực hiện những mục tiêu, REMnux v6 dựa trên Ubuntu 14.04 64-bit. Đó là một hệ điều hành phổ biến và ổn định mà sẽ được khoảng một thời gian, bởi vì đó là một Long Term Support (LTS) phát hành. Ngoài ra, REMnux hiện nay dựa nhiều vào các gói Debian lưu trữ trong kho lưu trữ của mình để tạo điều kiện thuận tiện cập nhật.
• Kết quả là, REMnux có thể được cài đặt trên bất kỳ hệ thống mới hoặc hiện tại đang chạy Ubuntu 14.04 64-bit, bất kể cho dù đó là một máy vật lý hay ảo. Phiên bản này được thiết kế để tương thích với SIFT Workstation, để mọi người có thể cài đặt các bản phân phối trên cùng một hệ thống, nếu họ muốn.

là gì mới trong phiên bản 5.0:

• cập nhật chính vào các công cụ và thành phần hiện có:
• hệ thống Core: Nâng cấp các thành phần cơ bản hệ điều hành Ubuntu, bao bì; tăng RAM mặc định của thiết bị ảo đến 512MB; thay thế OpenJDK với Oracle Java 7 runtime.
• phân tích Memory:. Biến động cập nhật lên phiên bản 2.2
• PDF phân tích: Cập nhật pdfid và pdf-phân tích cú pháp, Origami, peepdf
• Web phân tích: Cập nhật SWFTools, V8, libemu, NetworkMiner, Burp Proxy, Wireshark, Firefox và add-ons của nó
.
• Các thay đổi khác: xorsearch Cập nhật, DensityScout, Pyew, thụ động-dns, ClamAV, capabilities.yara; thay thế FreeMind với XMind
• công cụ mới được thêm vào REMnux:
• công cụ Windows: Rượu cài đặt; gia tăng OfficeMalScanner, Malzilla
• phân tích XOR: Added NoMoreXOR, brutexor, XORBruteForcer
• phân tích file PE: Thêm pev, dism-này, ExeScan, udis86 (udcli), autorule (/ usr / local / autorule), distool
• phân tích file khác: Thêm extract_swf.py, ExifTool, Mastiff
• bổ sung khác: Thêm hack-chức năng (/ usr / local / hack-chức năng), bulk_extractor, ProcDot

là gì mới trong phiên bản 3.0:

• REMnux được xây dựng lại được dựa trên Ubuntu 11.10 để cải thiện khả năng bảo trì , trong khi duy trì tính tương thích ngược bất cứ nơi nào thực tế
.
• Các môi trường máy tính để bàn trên REMnux đã được chuyển sang sử dụng để cải thiện khả năng sử dụng LXDE, trong khi duy trì tính chất nhẹ của phân phối.
• Các công cụ phân tích phần mềm độc hại có sẵn trong các phiên bản trước đó của REMnux đã được nâng cấp lên các phiên bản ổn định mới nhất để cung cấp các tính năng mới nhất và cải tiến. Các bản cập nhật quan trọng nhất bao gồm:
• Volatility Framework 2.0 cho pháp y nhớ với các phần mềm độc hại và timeliner module mới nhất
• Origami Khung 1.2.3 để phân tích PDF, bao gồm pdfcop, pdfextract, pdfwalker, pdfsh, vv.
• REMnux bao gồm một số công cụ phân tích phần mềm độc hại mà không có mặt trong các phiên bản trước đó của phân phối, bao gồm:
• Mạng lưới phân tích: NetworkMiner, ngrep, pdnstool
• phân tích PDF: PDF X-Ray Lite (pdfxray_lite và swf_mastah), peepdf
• phân tích JavaScript: JavaScript engine Chrome (D8), js-đẹp
• Kiểm tra các tập tin: Hachoir (hachoir-tập tin phụ, hachoir-siêu dữ liệu, hachoir-urwid), pyew, densityscout, findaes
• khác: jd-gui, xxxswf.py, freemind, xpdf, xortool