Introducere în Instrumentele de analiză malware
Avantajele utilizării calculatoarelor în scopuri oficiale și personale sunt numeroase, dar există și amenințări din partea fraudelor care operează online. Astfel de fraude sunt numite criminalități informatice. Ne fură identitatea și alte informații prin crearea de programe rău intenționate numite malware. Procesul de analiză și determinare a scopului și funcționalității malware este denumit analiză malware. Programele malware conțin coduri dăunătoare care urmează să fie detectate folosind metode eficiente, iar analiza malware este utilizată pentru a dezvolta aceste metode de detectare. Analiza malware este, de asemenea, esențială pentru a dezvolta instrumente de eliminare a malware după ce au fost detectate codurile dăunătoare.
Instrumente de analiză malware
Unele dintre instrumentele și tehnicile de analiză malware sunt enumerate mai jos:
1. PEiD
Ciberneticii încearcă să-și împacheteze malware-ul, astfel încât este dificil de determinat și de analizat. O aplicație care este utilizată pentru a detecta un astfel de malware ambalat sau criptat este PEiD. User dB este un fișier text din care sunt încărcate fișierele PE și 470 de forme de semnături diferite în fișiere PE pot fi detectate de PEiD.
2. Walker de dependență
Modulele de ferestre pe 32 de biți și pe 64 de biți pot fi scanate folosind o aplicație numită Dependency walker. Funcțiile modulului care sunt importate și exportate pot fi enumerate cu ajutorul dependenței. Dependențele de fișiere pot fi de asemenea afișate folosind un instrument de dependență și acest lucru reduce setul necesar de fișiere la minimum. Informațiile conținute în aceste fișiere, cum ar fi calea fișierului, numărul versiunii, etc. Aceasta este o aplicație gratuită.
3. Hacker de resurse
Resursele din binarele Windows pot fi extrase folosind o aplicație numită Resource Hacker. Extragerea, adăugarea, modificarea resurselor precum șiruri de caractere, imagini etc. se pot face folosind hackerul de resurse. Aceasta este o aplicație gratuită.
4. PEview
Antetele fișierelor de fișiere executabile portabile constau din informații împreună cu celelalte secțiuni ale fișierului și aceste informații pot fi accesate folosind o aplicație numită PEview. Aceasta este o aplicație gratuită.
5. FileAlyzer
FileAlyzer este, de asemenea, un instrument pentru a accesa informațiile din antetele fișierelor fișierelor executabile portabile împreună cu celelalte secțiuni ale fișierului, dar FileAlyzer oferă mai multe funcții și funcții în comparație cu PEview. Unele dintre caracteristicile sunt VirusTotal pentru analiză acceptă programele malware din fila VirusTotal, iar funcțiile sunt de ambalare UPX și alte fișiere care sunt ambalate.
6. SysAnalyzer Github Repo
Diferitele aspecte ale stărilor sistemului și ale proceselor sunt monitorizate prin utilizarea unei aplicații numite SysAnalyzer. Această aplicație este utilizată pentru analiza runtime. Acțiunile întreprinse de binar asupra sistemului sunt raportate de către analiști folosind SysAnalyzer.
7. Regshot 1.9.0
Regshot este un utilitar care compară registrul după ce modificările sistemului sunt făcute cu registrul înainte de schimbarea sistemului.
8. Wireshark
Analiza pachetelor de rețea se face prin Wireshark. Pachetele de rețea sunt capturate și datele conținute în pachete sunt afișate.
9. Serviciul Robtex Online
Analiza furnizorilor de internet, domenii, structura rețelei se face folosind instrumentul de servicii online Robtex.
10. VirusTotal
Analiza fișierelor, adresele URL pentru detectarea virușilor, viermilor etc. se face folosind serviciul VirusTotal.
11. Mobile-Sandbox
Analiza malware a smartphone-urilor sistemului de operare Android se face folosind sandbox-ul mobil.
12. Malzilla
Paginile dăunătoare sunt explorate de un program numit Malzilla. Folosind malzilla, putem alege agentul nostru de utilizatori, iar referitorul și malzilla pot folosi proxies. Sursa de la care provin paginile web și anteturile HTTP este arătată de malzilla.
13. Volatilitate
Artifactele din memoria volatilă numite și RAM, care sunt digitale, sunt extrase folosind cadrul Volatility și reprezintă o colecție de instrumente.
14. APKTool
Aplicațiile Android pot fi proiectate invers cu APKTool. Resursele pot fi decodificate în forma lor originală și pot fi reconstruite cu modificările necesare.
15. Dex2Jar
Formatul executabil Android Dalvik poate fi citit folosind Dex2Jar. Instrucțiunile dex sunt citite în format dex-ir și pot fi schimbate în format ASM.
16. Smali
Implementarea mașinii virtuale Dalvik și Android folosește formatul dex și poate fi asamblat sau dezasamblat folosind Smali.
17. PeePDF
Fișierele PDF dăunătoare pot fi identificate folosind instrumentul PeePDF scris în limbaj python.
18. Cutiuta cu nisip cu cuc
Analiza fișierului suspect poate fi automatizată folosind cutia de nisip cu cuc.
19. Droidbox
Aplicațiile Android pot fi analizate folosind droidbox.
20. Malwasm
Baza de date constând din toate activitățile malware, etapele de analiză pot fi menținute folosind instrumentul malwasm și acest instrument se bazează pe cutia de nisip cu cuc.
21. Reguli Yara
Clasificarea programelor malware care se bazează pe text sau binar după ce sunt analizate de instrumentul Cuckoo se face de către instrumentul numit Yara. Descrierile bazate pe pattern-uri de malware sunt scrise folosind Yara. Instrumentul se numește Yara Rules, deoarece aceste descrieri se numesc reguli. Prescurtarea lui Yara este încă un acronim recurent.
22. Răspuns rapid Google (GRR)
Amprentele lăsate în urmă de malware în anumite stații de lucru sunt analizate prin cadrul Google Rapid Response. Cercetătorii aparținând securității au mâncat google au dezvoltat acest cadru. Sistemul țintă este format dintr-un agent de la Google Rapid Response, iar agentul interacționează cu serverul. După ce serverul și agentul sunt dislocate, devin clienții GRR și facilitează investigațiile pe fiecare sistem.
23. REMnux
Acest instrument este conceput pentru a inversa malware-ul de inginer. Acesta combină mai multe instrumente într-unul pentru a determina cu ușurință malware-ul bazat pe Windows și Linux. Este folosit pentru a investiga malware-ul care se bazează pe un browser, pentru a efectua criminalistică în memorie, pentru a analiza varietăți de programe malware etc.
25. Bro
Cadrul bro este puternic și se bazează pe o rețea. Traficul din rețea este transformat în evenimente și, la rândul său, poate declanșa scripturile. Bro este ca un sistem de detectare a intruziunilor (IDS), dar funcționalitățile sale sunt mai bune decât IDS. Este utilizat pentru efectuarea investigațiilor medico-legale, monitorizarea rețelelor etc.
Concluzie
Analiza programelor malware joacă un rol important în evitarea și determinarea atacurilor cibernetice. Experții în domeniul cibersecurității obișnuiau să efectueze analiza malware-ului manual înainte de cincisprezece ani și a fost un proces care consumă timp, dar acum experții în securitate cibernetică pot analiza ciclul de viață al malware-ului folosind instrumente de analiză malware, sporind astfel inteligența amenințărilor.
Articol recomandat
Acesta este un ghid pentru Instrumentele de analiză malware. Aici discutăm unele dintre cele mai utilizate instrumente precum PEiD, Dependency Walker, Resource Hacker, etc. Puteți parcurge și alte articole sugerate pentru a afla mai multe -
- Ce avem nevoie de testare beta?
- Introducere în Instrumentele de acoperire a codurilor
- Top 10 instrumente de succes de testare în cloud
- 7 Instrumente IPS diferite pentru prevenirea sistemului