Introduksjon til verktøy for analyse av skadelig programvare
Fordelene ved å bruke datamaskiner til offisielle og personlige formål er mange, men det er også trusler fra bedrageriene som opererer online. Slike svindel kalles nettkriminelle. De stjeler identiteten vår og annen informasjon ved å lage skadelige programmer kalt malware. Prosessen med å analysere og bestemme formålet og funksjonaliteten til skadelig programvare kalles malware-analyse. Malware består av ondsinnede koder som skal oppdages ved hjelp av effektive metoder, og malware-analyse brukes til å utvikle disse oppdagelsesmetodene. Malware-analyse er også viktig for å utvikle verktøy for fjerning av skadelig programvare etter at ondsinnede koder er blitt oppdaget.
Verktøy for analyse av skadelig programvare
Noen av verktøyene og teknikkene for malware-analyse er listet nedenfor:
1. PEiD
Cybercriminals prøver å pakke skadelig programvare slik at det er vanskelig å bestemme og analysere. Et program som brukes til å oppdage slik pakket eller kryptert malware er PEiD. Bruker dB er en tekstfil som PE-filene er lastet fra og 470 former med forskjellige signaturer i PE-filene kan oppdages av PEiD.
2. Avhengighet Walker
Modulene til 32-biters og 64-biters vinduer kan skannes ved hjelp av et program som heter Dependency walker. Modulens funksjoner som importeres og eksporteres kan listes ut ved hjelp av avhengighetsvandrer. Filavhengighetene kan også vises ved bruk av en avhengighetsvandrer, og dette reduserer det nødvendige settet med filer til et minimum. Informasjonen som finnes i disse filene, for eksempel filsti, versjonsnummer, etc. kan også vises ved hjelp av avhengighetsvandrer. Dette er en gratis applikasjon.
3. Ressurshacker
Ressursene fra windows binærene kan trekkes ut ved hjelp av et program som heter Resource Hacker. Utvinning, tillegg, endring av ressurser som strenger, bilder osv. Kan gjøres ved hjelp av ressurshacker. Dette er en gratis applikasjon.
4. PEview
Filhodene på bærbare kjørbare filer består av informasjon sammen med de andre delene av filen, og denne informasjonen kan nås ved hjelp av et program som heter PEview. Dette er en gratis applikasjon.
5. FileAlyzer
FileAlyzer er også et verktøy for å få tilgang til informasjonen i filhodene på bærbare kjørbare filer sammen med de andre delene av filen, men FileAlyzer gir flere funksjoner og funksjoner sammenlignet med PEview. Noen av funksjonene er VirusTotal for analyse aksepterer skadelig programvare fra VirusTotal-fanen og funksjoner pakker ut UPX og andre filer som er pakket.
6. SysAnalyzer Github Repo
De forskjellige aspektene av systemtilstandene og prosesstilstandene overvåkes ved å bruke en applikasjon kalt SysAnalyzer. Denne applikasjonen brukes til analyse av runtime. Handlingene som tas av binæren på systemet rapporteres av analytikerne som bruker SysAnalyzer.
7. Regshot 1.9.0
Regshot er et verktøy som sammenligner registeret etter at systemendringene er gjort med registeret før systemet endres.
8. Wireshark
Analysen av nettverkspakker gjøres gjennom Wireshark. Nettverkspakkene blir fanget, og dataene i pakkene vises.
9. Robtex Online Service
Analysen av Internett-leverandører, domener, strukturen i nettverket gjøres ved hjelp av Robtex online tjenesteverktøy.
10. VirusTotal
Analyse av filer, URL-er for påvisning av virus, ormer, etc. gjøres ved å bruke VirusTotal-tjenesten.
11. Mobil-sandkasse
Malware-analysen av Android-operativsystemet smarttelefoner gjøres ved hjelp av mobile-sandkasse.
12. Malzilla
De ondsinnede sidene blir utforsket av et program som heter Malzilla. Ved å bruke malzilla, kan vi velge vår brukeragent og henviser, og malzilla kan bruke fullmakter. Kilden som websidene og HTTP-overskriftene er avledet fra, er vist av malzilla.
13. Flyktighet
Gjenstandene i det flyktige minnet som også kalles RAM som er digitale, blir trukket ut ved hjelp av volatilitetsrammen, og det er en samling verktøy.
14. APKTool
Android-apper kan omvendt konstrueres ved å bruke APKTool. Ressursene kan dekodes til sin opprinnelige form og kan gjenoppbygges med nødvendige endringer.
15. Dex2Jar
Det kjørbare formatet Android Dalvik kan leses ved bruk av Dex2Jar. Dex-instruksjonene leses i dex-ir-format og kan endres til ASM-format.
16. Smali
Dalvik og Android sin virtuelle maskinimplementering bruker dex-formatet og det kan settes sammen eller settes sammen ved hjelp av Smali.
17. PeePDF
Skadelige PDF-filer kan identifiseres ved å bruke PeePDF-verktøyet skrevet på pythonspråk.
18. Cuckoo Sandbox
Den mistenkelige filanalysen kan automatiseres ved hjelp av gjøkesandkassen.
19. Droidbox
Bruken av android kan analyseres ved hjelp av droidbox.
20. Malwasm
Databasen som består av alle skadelige aktiviteter, kan analysetrinnene vedlikeholdes ved hjelp av malwasm-verktøyet, og dette verktøyet er basert på gjødsandkassen.
21. Yara-regler
Klassifiseringen av malware som er basert på tekst eller binær etter at de er analysert av Cuckoo-verktøyet, gjøres av verktøyet som heter Yara. Mønsterbaserte beskrivelser av skadelig programvare er skrevet ved hjelp av Yara. Verktøyet kalles Yara-regler fordi disse beskrivelsene kalles regler. Forkortelsen til Yara er Yet Another Recursive Acronym.
22. Google Rapid Response (GRR)
Fotavtrykkene som etterlates av skadelig programvare på spesifikke arbeidsstasjoner blir analysert av Google Rapid Response-rammeverket. Forskerne som tilhører sikkerhet spiste google har utviklet denne rammen. Målsystemet består av en agent fra Google Rapid Response og agenten samhandler med serveren. Etter at serveren og agenten er distribuert, blir de klienter til GRR og gjør undersøkelsene på hvert system enklere.
23. REMnux
Dette verktøyet er designet for å reversere skadelig programvare. Den kombinerer flere verktøy til ett for enkelt å bestemme skadelig programvare basert på windows og Linux. Det brukes til å undersøke skadelig programvare som er basert på en nettleser, foreta rettsmedisinske data i minne, analysere varianter av skadelig programvare, etc. De mistenkelige elementene kan også trekkes ut og dekodes ved hjelp av REMnux.
25. Bro
Rammen til bro er kraftig og er basert på et nettverk. Trafikken i nettverket konverteres til hendelser, og som igjen kan utløse skriptene. Bro er som et inntrengingsdeteksjonssystem (IDS), men funksjonalitetene er bedre enn IDS. Den brukes til å utføre rettsmedisinske undersøkelser, overvåking av nettverk, etc.
Konklusjon
Malware-analyse spiller en viktig rolle i å unngå og bestemme nettangrep. Cybersecurity-ekspertene pleide å utføre malware-analysen manuelt før femten år, og det var en tidkrevende prosess, men nå kan ekspertene innen cybersecurity analysere livssyklusen til skadelig programvare ved å bruke malware-analyseverktøy og dermed øke trusselintelligensen.
Anbefalt artikkel
Dette er en guide til Malware-analyseverktøy. Her diskuterer vi noen av de mest brukte verktøyene som PEiD, Dependency Walker, Resource Hacker, etc. Du kan også gå gjennom våre andre foreslåtte artikler for å lære mer -
- Hva trenger vi betatesting?
- Introduksjon til verktøy for kodedekning
- Topp 10 vellykkede Cloud Testing-verktøy
- 7 Ulike IPS-verktøy for systemforebygging