Kenkėjiška programa

„Linux“ kenkėjiškų programų analizė

„Linux“ kenkėjiškų programų analizė
Kenkėjiška programa yra kenkėjiškas kodo fragmentas, siunčiamas siekiant pakenkti kompiuterio sistemai. Kenkėjiškos programos gali būti bet kokio tipo, tokios kaip rootkit, šnipinėjimo programos, reklaminės programos, virusai, kirminai ir kt., kuris slepiasi ir veikia fone bendraujant su savo vadovavimo ir valdymo sistema išoriniame tinkle. Šiais laikais dauguma kenkėjiškų programų yra tikslinės ir specialiai užprogramuotos apeiti tikslinės sistemos saugumo priemones. Štai kodėl pažangias kenkėjiškas programas gali būti labai sunku aptikti naudojant įprastus saugos sprendimus. Paprastai kenkėjiškos programos yra būdingos tikslui, o svarbus kenkėjiškos programos sukėlimo žingsnis yra jos infekcijos vektorius, t.e., kaip kenkėjiška programa pasieks taikinio paviršių. Pavyzdžiui, gali būti naudojamas nenusakomas USB atmintinė arba kenkėjiškos atsisiunčiamos nuorodos (naudojant socialinę inžineriją / sukčiavimą). Kenkėjiška programa turi sugebėti išnaudoti pažeidžiamumą, kad užkrėstų tikslinę sistemą. Daugeliu atvejų kenkėjiškos programos turi galimybę atlikti daugiau nei vieną funkciją; pavyzdžiui, kenkėjiškoje programoje gali būti kodas tam tikram pažeidžiamumui išnaudoti, taip pat gali būti naudinga apkrova ar programa, skirta bendrauti su atakuojančia mašina.

REMnux

Vadinamas kenkėjiškos kompiuterio programos išardymas, siekiant ištirti jos elgesį ir suprasti, ką ji iš tikrųjų veikia Kenkėjiškų programų atvirkštinė inžinerija. Norint nustatyti, ar vykdomajame faile yra kenkėjiškų programų, ar tai tik paprastas vykdomasis failas, ar sužinoti, ką vykdomasis failas iš tikrųjų veikia ir kokį poveikį jis daro sistemai, yra specialus „Linux“ paskirstymas, vadinamas REMnux. „REMnux“ yra lengvas, „Ubuntu“ pagrįstas platintojas, aprūpintas visais įrankiais ir scenarijais, reikalingais atlikti išsamią kenkėjiškos programos analizę tam tikrame faile ar programinės įrangos vykdomajame faile. REMnux yra aprūpintas nemokamais ir atviro kodo įrankiais, kurie gali būti naudojami tiriant visų tipų failus, įskaitant vykdomuosius. Kai kurie įrankiai REMnux gali būti naudojamas net tiriant neaiškų ar apgaulingą „JavaScript“ kodą ir „Flash“ programas.

Montavimas

REMnux gali būti paleistas bet kuriame „Linux“ pagrindu veikiančiame paskirstyme arba virtualioje dėžutėje, kurioje pagrindinė operacinė sistema yra „Linux“. Pirmasis žingsnis yra atsisiųsti REMnux platinimą iš savo oficialios svetainės, kurį galima padaryti įvedus šią komandą:

[apsaugotas el. paštu]: ~ $ wget https: // REMnux.org / remnux-cli

Būtinai patikrinkite, ar tai yra tas pats failas, kurio norėjote, palygindami SHA1 parašą. SHA1 parašą galima sukurti naudojant šią komandą:

[apsaugotas el. pašto adresas]: ~ $ sha256sum remnux-cli

Tada perkelkite jį į kitą katalogą, pavadintą „Remnux“ ir suteikti jai vykdomuosius leidimus naudojant „Chmod + x.“ Dabar paleiskite šią komandą, kad pradėtumėte diegimo procesą:

[apsaugotas el. paštas]: ~ $ mkdir remnux
[apsaugotas el. pašto adresas]: ~ $ cd remsux
[apsaugotas el. paštas]: ~ $ mv ... / remux-cli ./
[apsaugotas el. paštas]: ~ $ chmod + x remnux-cli
// Įdiekite „Remnux“
[apsaugotas el. pašto adresas]: ~ $ sudo install remnux

Iš naujo paleiskite sistemą ir galėsite naudoti naujai įdiegtą REMnux distro, kuriame yra visi įrankiai, skirti atvirkštinei inžinerijos procedūrai.

Kitas naudingas dalykas REMnux yra tai, kad galite naudoti populiarių vaizdų doko vaizdus REMnux įrankiai konkrečiai užduočiai atlikti, o ne įdiegti visą paskirstymą. Pavyzdžiui, RetDec įrankis naudojamas išardyti mašinos kodą ir jis įvedamas įvairiais failų formatais, pavyzdžiui, 32 bitų / 62 bitų exe failais, elf failais ir kt. Rekall yra dar vienas puikus įrankis, kuriame yra doko vaizdas, kurį galima naudoti kai kurioms naudingoms užduotims atlikti, pvz., atminties duomenims išgauti ir svarbiems duomenims gauti. Norėdami ištirti neaiškią „JavaScript“, įrankis vadinamas JSdetox taip pat gali būti naudojamas. Šių įrankių „Docker“ vaizdai yra REMnux saugykla „Docker Hub“.

Kenkėjiškų programų analizė

Tikrinamas duomenų srauto nenuspėjamumas Entropija. Nuoseklus duomenų baitų srautas, pavyzdžiui, visi nuliai arba visi, turi 0 Entropijos. Kita vertus, jei duomenys yra užšifruoti arba susideda iš alternatyvių bitų, jie turės didesnę entropijos vertę. Gerai užšifruotas duomenų paketas turi didesnę entropijos vertę nei įprastas duomenų paketas, nes šifruotų paketų bitų vertės yra nenuspėjamos ir keičiasi greičiau. Entropijos minimali vertė yra 0, o didžiausia - 8. Pagrindinis „Entropy“ naudojimas kenkėjiškų programų analizėje yra rasti kenkėjiškų programų vykdomuosiuose failuose. Jei vykdomajame faile yra kenkėjiškų kenkėjiškų programų, dažniausiai ji yra visiškai užšifruota, kad „AntiVirus“ negalėtų ištirti jos turinio. Tokio tipo failo entropijos lygis yra labai aukštas, palyginti su įprasta byla, kuri tyrėjui siunčia signalą apie kažką įtartino failo turinyje. Didelė entropijos reikšmė reiškia didelį duomenų srauto šifravimą, o tai akivaizdžiai rodo, kad kažkas netikro.

Šis naudingas įrankis sukurtas vienam tikslui: sistemoje rasti kenkėjiškų programų. Dažniausiai užpuolikai kenkėjišką programą apgaubia šifruotais duomenimis (arba užkoduoja / šifruoja), kad antivirusinė programinė įranga jų neaptiktų. „Density Scout“ nuskaito nurodytą failų sistemos kelią ir išspausdina kiekvieno failo entropijos reikšmes kiekviename kelyje (pradedant nuo didžiausio iki mažiausio). Didelė vertė sukels įtarimą tyrėjui ir jis toliau tirs bylą. Šis įrankis galimas „Linux“, „Windows“ ir „Mac“ operacinėms sistemoms. „Density Scout“ taip pat yra pagalbos meniu, kuriame pateikiamos įvairios jo teikiamos parinktys su tokia sintakse:

ubuntu @ ubuntu: ~ densityscout - h

„ByteHist“ yra labai naudinga priemonė generuojant grafiką ar histogramą pagal skirtingų failų duomenų šifravimo (entropijos) lygį. Tai dar labiau palengvina tyrėjo darbą, nes šis įrankis netgi paleidžia vykdomojo failo poskyrių histogramas. Tai reiškia, kad dabar tyrėjas gali lengvai sutelkti dėmesį į tą vietą, kur kyla įtarimas, tiesiog pažvelgęs į histogramą. Įprastos išvaizdos failo histograma visiškai skirtųsi nuo kenkėjiškos.

Anomalijų nustatymas

Kenkėjiškos programos gali būti paprastai supakuotos naudojant įvairias komunalines paslaugas, pvz UPX. Šios komunalinės paslaugos modifikuoja vykdomųjų failų antraštes. Kai kas nors bando atidaryti šiuos failus naudodamas derintuvą, modifikuotos antraštės sugadina derintuvą, kad tyrėjai negalėtų į tai žiūrėti. Šiems atvejams, Anomalijos nustatymas naudojami įrankiai.

„PE Scanner“ yra naudingas „Python“ scenarijus, naudojamas aptikti įtartinus TLS įrašus, netinkamas laiko žymes, sekcijas su įtartinais entropijos lygiais, skyrius su nulinio ilgio neapdorotais dydžiais ir kenkėjiškas programas, supakuotas į exe failus, be kitų funkcijų.

Kitas puikus įrankis nuskaityti exe ar dll failus dėl keisto elgesio yra EXE nuskaitymas. Šis įrankis patikrina vykdomųjų failų antraštės lauką, ar nėra įtartinų entropijos lygių, skyrių su nulio ilgio neapdorotais dydžiais, kontrolinės sumos skirtumus ir visus kitus netaisyklingus failų veiksmus. „EXE Scan“ turi puikių funkcijų, sukuria išsamią ataskaitą ir automatizuoja užduotis, o tai sutaupo daug laiko.

Neaiškios stygos

Užpuolikai gali naudoti a poslinkis būdas kenkėjiškų vykdomųjų failų eilutėms aptemdyti. Yra tam tikri kodavimo tipai, kurie gali būti naudojami apšmeižti. Pavyzdžiui, PŪTI kodavimas naudojamas visų simbolių (mažesnių ir didžiųjų abėcėlių) pasukimui tam tikru pozicijų skaičiumi. XOR kodavimas naudoja slaptą raktą arba slaptafrazę (pastovią) failui koduoti arba XOR. ROL koduoja failo baitus, pasukdami juos po tam tikro bitų skaičiaus. Yra daugybė įrankių, leidžiančių išgauti šias suglumintas eilutes iš pateikto failo.

XORsearch naudojamas ieškant turinio faile, kuris yra užkoduotas naudojant ROT, XOR ir ROL algoritmai. Tai sugriežtins visas vieno baito pagrindines vertes. Ilgesnėms reikšmėms šis įrankis užtruks daug laiko, todėl turite nurodyti ieškomą eilutę. Kai kurios naudingos eilutės, dažniausiai randamos kenkėjiškose programose, yra „http“(Dažniausiai URL slepiami kenkėjiškų programų kode), „Ši programa“ (daugeliu atvejų failo antraštė modifikuojama užrašant „Šios programos negalima paleisti DOS“). Suradę raktą, naudodamiesi juo galite iššifruoti visus baitus. „XORsearch“ sintaksė yra tokia:

ubuntu @ ubuntu: ~ xorsearch -s

  • brutexoras

Suradę raktus naudodami tokias programas kaip „xor“ paieška, „xor“ eilutės ir kt., galima naudoti puikų įrankį, vadinamą brutexoras bruteforce bet kokį failą eilutėms nenurodant nurodytos eilutės. Naudojant -f parinktį, galima pasirinkti visą failą. Pirmiausia failą galima priversti grubiai, o ištrauktos eilutės nukopijuojamos į kitą failą. Tada, peržiūrėjus ištrauktas eilutes, galima rasti raktą, o dabar, naudojant šį raktą, galima išgauti visas eilutes, užkoduotas naudojant tą raktą.

ubuntu @ ubuntu: ~ brutexor.py >> norite nukopijuoti ištrauktas eilutes>
ubuntu @ ubuntu: ~ brutexor.py -f -k

Artefaktų ir vertingų duomenų išskyrimas (ištrintas)

Analizuoti disko atvaizdus ir kietuosius diskus ir išgauti iš jų artefaktus bei vertingus duomenis naudojant įvairius įrankius, pvz Skalpelis, Pirmiausia, ir pan., pirmiausia reikia sukurti jų po truputį vaizdą, kad nebūtų prarasti duomenys. Norėdami sukurti šias vaizdų kopijas, yra įvairių įrankių.

  • dd

dd naudojamas teismo diske padaryti garso diską. Šis įrankis taip pat suteikia vientisumo patikrą, leidžiant palyginti vaizdo maišos su originaliu diskų įrenginiu. Dd įrankį galima naudoti taip:

ubuntu @ ubuntu: ~ dd jei = iš = bs = 512
if = šaltinio diskas (pvz., / dev / sda)
iš = paskirties vieta
bs = Bloko dydis (baitų skaičius, kurį reikia kopijuoti vienu metu)

  • dcfldd

„dcfldd“ yra dar viena priemonė, naudojama disko atvaizdavimui. Šis įrankis yra tarsi atnaujinta „dd“ programos versija. Tai suteikia daugiau galimybių nei dd, pavyzdžiui, maišos vaizdavimo metu. Galite ištirti dcfldd parinktis naudodami šią komandą:

ubuntu @ ubuntu: ~ dcfldd -h
Naudojimas: dcfldd [PASIRINKIMAS]…
bs = Baitai jėga ibs = Baitai ir obs = Baitai
conv = KEYWORDS konvertuoti failą pagal kableliais atskirtų raktinių žodžių sąrašą
count = BLOCKS kopijuoja tik BLOCKS įvesties blokus
ibs = Baitai vienu metu skaito baitus
if = FILE skaitoma iš FILE vietoj stdin
obs = Baitai rašo Baitus baitus vienu metu
iš = FILE rašykite FILE vietoj stdout
PASTABA: iš = FILE gali būti naudojamas kelis kartus rašant
išvesties į kelis failus vienu metu
iš: = COMMAND exec ir rašo išvestį, kad apdorotų COMMAND
praleisti = BLOKAI praleisti BLOKUS ibs dydžio blokus įvesties pradžioje
modelis = HEX kaip nurodytą įveskite nurodytą dvejetainį šabloną
textpattern = TEXT kaip įvestį naudokite pasikartojantį TEXT
errlog = FILE siųsti klaidos pranešimus į FILE, taip pat į stderr
hash = PAVADINIMAS arba md5, sha1, sha256, sha384 arba sha512
numatytasis algoritmas yra md5. Norėdami pasirinkti kelis
algoritmai, skirti vykdyti vienu metu, įveda pavadinimus
kableliais atskirtame sąraše
hashlog = FILE siųsti MD5 maišos išvestį į FILE vietoj stderr
jei naudojate kelis maišos algoritmus
gali nusiųsti kiekvieną į atskirą failą naudodami
pvz., konvencija ALGORITHMlog = FILE
md5log = FILE1, sha1log = FILE2 ir kt.
hashlog: = COMMAND exec ir rašo hashlog, kad apdorotų COMMAND
ALGORITHMlog: = COMMAND taip pat veikia taip pat
hashconv = [prieš | po] atlikti maišymą prieš arba po konversijų
maišos formatas = FORMATAS rodo kiekvieną maišos langą pagal FORMAT
maišos formato mini kalba aprašyta toliau
totalhash format = FORMAT rodyti bendrą maišos vertę pagal FORMAT
status = [įjungta | išjungta] rodyti nuolatinį būsenos pranešimą stderr
numatytoji būsena yra „įjungta“
statusinterval = N atnaujinti būsenos pranešimą kas N bloką
numatytoji vertė yra 256
vf = FILE patikrinkite, ar FILE atitinka nurodytą įvestį
verifylog = FILE siųsti tikrinimo rezultatus į FILE, o ne į stderr
verifylog: = COMMAND exec ir parašykite patikrinimo rezultatus, kad apdorotumėte COMMAND
--padėti parodyti šią pagalbą ir išeiti
--versija išvesties versija informacija ir išeiti

  • Pirmiausia

Svarbiausia naudojama iškirpti duomenis iš vaizdo failo naudojant metodą, vadinamą failų drožyba. Pagrindinis failų drožybos akcentas yra duomenų drožyba naudojant antraštes ir poraštes. Jo konfigūracijos faile yra kelios antraštės, kurias vartotojas gali redaguoti. Svarbiausia ištraukia antraštes ir palygina jas su konfigūracijos faile esančiomis. Jei jis sutampa, jis bus rodomas.

  • Skalpelis

„Scalpel“ yra dar viena priemonė, naudojama duomenims gauti ir duomenims išgauti, ir yra palyginti greitesnė nei „Foremost“. Skalpelis pažvelgia į užblokuotą duomenų saugojimo zoną ir pradeda atkurti ištrintus failus. Prieš naudojant šį įrankį, failų tipų eilutė turi būti nekomentuojama pašalinant # nuo norimos linijos. Skalpelis yra prieinamas tiek „Windows“, tiek „Linux“ operacinėms sistemoms ir yra laikomas labai naudingu atliekant teismo tyrimus.

  • Tūrinis ekstraktorius

Masinis ekstraktorius naudojamas funkcijoms išgauti, pvz., El. Pašto adresams, kreditinių kortelių numeriams, URL ir kt. Šiame įrankyje yra daugybė funkcijų, kurios suteikia nepaprastai greitą užduotis. Iš dalies sugadintų failų dekompresavimui naudojamas „Bulk Extractor“. Jis gali nuskaityti failus, tokius kaip JPG, PDF, Word dokumentai ir kt. Kita šio įrankio ypatybė yra ta, kad sukuriamos atkurtų failų tipų histogramos ir grafikai, todėl tyrėjams daug lengviau žiūrėti į norimas vietas ar dokumentus.

Analizuojami PDF failai

Visiškai užtaisytos kompiuterinės sistemos ir naujausios antivirusinės programos nebūtinai reiškia, kad sistema yra saugi. Kenkėjiškas kodas gali patekti į sistemą iš bet kur, įskaitant PDF failus, kenkėjiškus dokumentus ir kt. PDF failą paprastai sudaro antraštė, objektai, kryžminių nuorodų lentelė (norint rasti straipsnius) ir anonsas. „/ OpenAction“ ir „/ AA“ (papildomas veiksmas) užtikrina, kad turinys ar veikla veikia natūraliai. „/ Vardai“, „/„ AcroForm ““ ir „/ Veiksmas“ taip pat gali nurodyti ir išsiųsti turinį ar veiklą. „/ JavaScript“ nurodo paleisti „JavaScript“. "/Eiti į*" pakeičia rodinį į iš anksto nustatytą tikslą PDF viduje arba kitame PDF įraše. „/ Paleisti“ išsiunčia programą arba atidaro archyvą. „/ URI“ išteklius gauna pagal savo URL. „/ SubmitForm“ ir „/ GoToR“ gali siųsti informaciją į URL. „/„ RichMedia “ galima naudoti norint įdiegti „Flash“ PDF formatu. „/ ObjStm“ gali uždengti objektus objekto sraute. Žinokite, kad, pavyzdžiui, yra painiavos su šešiakampiais kodais, „/ JavaScript“ prieš „/ J # 61vaScript.“ Pdf failus galima tirti naudojant įvairius įrankius, siekiant nustatyti, ar juose yra kenkėjiškas „JavaScript“ ar „shellcode“.

  • pdfid.py

pdfid.py yra „Python“ scenarijus, naudojamas informacijai apie PDF ir jo antraštes gauti. Pažvelkime į atsitiktinį PDF analizavimą naudojant pdfid:

ubuntu @ ubuntu: ~ python pdfid.py kenksmingas.pdf
PDFiD 0.2.1 / home / ubuntu / Desktop / kenkėjiška.pdf
PDF antraštė:% PDF-1.7
obj 215
endobj 215
12 srautas
galinis srautas 12
xref 2
priekaba 2
startxref 2
/Puslapis 1
/ Šifruoti 0
/ ObjStm 2
/ JS 0
/ „JavaScript“ 2
/ AA 0
/ „OpenAction“ 0
/ „AcroForm 0“
/ JBIG2Decode 0
/ „RichMedia 0“
/ Paleisti 0
/ EmbeddedFile 0
/ XFA 0
/ Spalvos> 2 ^ 24 0

Čia galite pamatyti, kad PDF faile yra „JavaScript“ kodas, kuris dažniausiai naudojamas norint išnaudoti „Adobe Reader“.

  • peepdf

„peepdf“ yra viskas, ko reikia PDF failų analizei. Šis įrankis suteikia tyrėjui galimybę koduoti ir iššifruoti srautus, metaduomenų redagavimą, apvalkalo kodą, apvalkalo kodų vykdymą ir kenkėjišką „JavaScript“. „Peepdf“ turi daugelio pažeidžiamumų parašus. Vykdydamas jį su kenksmingu pdf failu, „peepdf“ atskleis visus žinomus pažeidžiamumus. „Peepdf“ yra „Python“ scenarijus ir jame pateikiamos įvairios galimybės analizuoti PDF. „Peepdf“ taip pat naudoja kenkėjiški programuotojai, norėdami pakuoti PDF failą su kenkėjiška „JavaScript“, vykdoma atidarant PDF failą. „Shellcode“ analizė, kenksmingo turinio išskyrimas, senų dokumentų versijų išskyrimas, objekto modifikavimas ir filtro modifikavimas yra tik keletas šio įrankio galimybių.

ubuntu @ ubuntu: ~ python peepdf.py kenksmingas.pdf
Failas: kenkėjiškas.pdf
MD5: 5b92c62181d238f4e94d98bd9cf0da8d
SHA1: 3c81d17f8c6fc0d5d18a3a1c110700a9c8076e90
SHA256: 2f2f159d1dc119dcf548a4cb94160f8c51372a9385ee60dc29e77ac9b5f34059
Dydis: 263069 baitai
Versija: 1.7
Dvejetainis: tiesa
Linijuotas: klaidingas
Šifruotas: klaidingas
Atnaujinimai: 1
Objektai: 1038
Srautai: 12
URI: 156
Komentarai: 0
Klaidos: 2
Srautai (12): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1036, 1038]
„Xref“ srautai (1): [1038]
Objektų srautai (2): [204, 705]
Koduota (11): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1038]
Objektai su URI (156): [11, 12, 13, 14, 15, 16, 24, 27, 28, 29, 30, 31, 32, 33,
34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53,
54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73,
74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93,
94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110,
111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 122, 123, 124, 125, 126,
127, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142,
143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158,
159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175]
 
Įtartini elementai: / Vardai (1): [200]

Gegutės smėlio dėžė

„Sandboxing“ yra naudojamas nepatikrintų ar nepatikimų programų elgsenai tikrinti saugioje, tikroviškoje aplinkoje. Įdėję failą Gegutės smėlio dėžė, per kelias minutes ši priemonė atskleis visą svarbią informaciją ir elgesį. Malwaresas yra pagrindinis užpuolikų ginklas ir Gegutė yra geriausia gynyba, kokią tik gali turėti. Šiais laikais nepakanka vien žinoti, kad kenkėjiška programa patenka į sistemą, ir ją pašalinti, o geras saugumo analitikas turi išanalizuoti ir pažvelgti į programos elgesį, kad nustatytų poveikį operacinei sistemai, visam jos kontekstui ir pagrindiniams tikslams.

Montavimas

Gegutę galima įdiegti „Windows“, „Mac“ ar „Linux“ operacinėse sistemose, atsisiųsdami šį įrankį per oficialią svetainę: https: // cuckoosandbox.org /

Kad gegutė veiktų sklandžiai, reikia įdiegti kelis „Python“ modulius ir bibliotekas. Tai galima padaryti naudojant šias komandas:

ubuntu @ ubuntu: ~ sudo apt-get install python python-pip
python-dev mongodb postgresql libpq-dev

Kad Gegutė galėtų parodyti išvestį, atskleidžiančią programos elgseną tinkle, reikalingas paketų kvapas, pvz., „Tcpdump“, kurį galima įdiegti naudojant šią komandą:

ubuntu @ ubuntu: ~ sudo apt-get install tcpdump

Norėdami suteikti „Python“ programuotojo SSL funkcionalumą klientams ir serveriams įdiegti, galima naudoti m2crypto:

ubuntu @ ubuntu: ~ sudo apt-get install m2crypto

Naudojimas

Gegutė analizuoja įvairius failų tipus, įskaitant PDF failus, „Word“ dokumentus, vykdomuosius failus ir kt. Naudojant naujausią versiją, naudojant šį įrankį galima analizuoti net svetaines. Gegutė taip pat gali atsisakyti tinklo srauto arba nukreipti jį per VPN. Šis įrankis netgi panaikina tinklo srautą arba SSL įgalintą tinklo srautą ir tai galima dar kartą išanalizuoti. PHP scenarijus, URL, HTML failus, „Visual Basic“ scenarijus, „ZIP“, „dll“ failus ir beveik bet kokio kito tipo failus galima analizuoti naudojant „Cuckoo Sandbox“.

Norėdami naudoti Gegutę, turite pateikti pavyzdį ir išanalizuoti jo poveikį bei elgesį.

Norėdami pateikti dvejetainius failus, naudokite šią komandą:

Pateikti # gegutė

Norėdami pateikti URL, naudokite šią komandą:

Pateikti # gegutė

Norėdami nustatyti analizės skirtąjį laiką, naudokite šią komandą:

# gegutės pateikimo skirtasis laikas = 60 metų

Norėdami nustatyti didesnę duotojo dvejetainio failo ypatybę, naudokite šią komandą:

# gegutė pateikia - 5 prioritetas

Pagrindinė Gegutės sintaksė yra tokia:

# gegutė pateikti --package exe --options argumentai = dosometask

Baigus analizę, kataloge galima pamatyti daugybę failų „CWD / saugykla / analizė“ pateiktų mėginių analizės rezultatus. Šiame kataloge yra šie failai:

  • Analizė.žurnalas: Apima proceso rezultatus analizės metu, pvz., Vykdymo laiko klaidos, failų kūrimas ir kt.
  • Atmintis.išpilti: Turi visą atminties sąvartyno analizę.
  • Dump.pcap: Yra tinklo dump, sukurtas tcpdump.
  • Failai: Turi kiekvieną failą, kurį kenkėjiška programa veikė arba paveikė.
  • Dump_sorted.pcap: Sudėtyje yra lengvai suprantama sąvartyno forma.„Pcap“ failas, skirtas TCP srautui ieškoti.
  • Žurnalai: Turi visus sukurtus žurnalus.
  • Kadrai: Yra darbalaukio momentinės nuotraukos apdorojant kenkėjiškas programas arba tuo metu, kai kenkėjiškos programos veikė „Cuckoo“ sistemoje.
  • Tlsmaster.txt: Turi TLS pagrindines paslaptis, užfiksuotas vykdant kenkėjišką programą.

Išvada

Yra įprasta manyti, kad „Linux“ nėra virusų arba kad galimybė gauti kenkėjiškų programų šioje OS yra labai reta. Daugiau nei pusė interneto serverių yra pagrįsti „Linux“ arba „Unix“. Tiek daug „Linux“ sistemų, aptarnaujančių svetaines ir kitą interneto srautą, užpuolikai mato didelį „Linux“ kenkėjiškų programų atakos vektorių. Taigi, net ir kasdien naudoti „AntiVirus“ variklius nepakaktų. Norėdami apsisaugoti nuo kenkėjiškų programų grėsmių, yra daugybė antivirusinių ir galinių saugos sprendimų. Bet rankiniu būdu analizuoti kenkėjišką programą, „REMnux“ ir „Gegutės smėlio dėžė“ yra geriausi galimi variantai. „REMnux“ siūlo platų įrankių asortimentą lengvoje, lengvai montuojamoje paskirstymo sistemoje, kuris būtų puikus bet kuriam teismo ekspertui analizuojant visų tipų kenkėjiškus failus, susijusius su kenkėjiškomis programomis. Kai kurie labai naudingi įrankiai jau yra išsamiai aprašyti, tačiau tai dar ne viskas, ką turi „REMnux“, tai tik ledkalnio viršūnė. Kai kurie naudingiausi REMnux paskirstymo sistemos įrankiai yra šie:

Norint suprasti įtartinos, nepatikimos ar trečiosios šalies programos elgesį, šis įrankis turi būti paleistas saugioje, tikroviškoje aplinkoje, pavyzdžiui, Gegutės smėlio dėžė, kad nebūtų padaryta žala pagrindinei operacinei sistemai.

Tinklo valdiklių ir sistemos grūdinimo metodų naudojimas suteikia papildomą sistemos apsaugos lygį. Reagavimo į įvykius ar skaitmeninės kriminalistikos tyrimo metodikos taip pat turi būti nuolat atnaujinamos, siekiant įveikti kenkėjiškų programų grėsmes jūsų sistemai.

Žaidimai Kaip įdiegti ir žaisti „Doom“ sistemoje „Linux“
Kaip įdiegti ir žaisti „Doom“ sistemoje „Linux“
Įvadas į Doom „Doom“ serija atsirado 90-aisiais, išleidus originalų „Doom“. Tai buvo tiesioginis hitas, o nuo to laiko žaidimų serija gavo daugybę apd...
Žaidimai „Vulkan“, skirta „Linux“ vartotojams
„Vulkan“, skirta „Linux“ vartotojams
Kiekvienos naujos kartos grafikos plokštės matome, kaip žaidimų kūrėjai peržengia grafinės ištikimybės ribas ir artėja prie fotorealizmo. Nepaisant vi...
Žaidimai „OpenTTD“ ir „Simutrans“
„OpenTTD“ ir „Simutrans“
Sukurti savo transporto modeliavimą gali būti smagu, atpalaiduojanti ir be galo viliojanti. Štai kodėl jūs turite įsitikinti, kad išbandėte kuo daugia...