REMnuxはそれらをリバースエンジニアリングする悪質なソフトウェアをためには具体的には、マイクロソフトのWindowsへの無料の代替オペレーティングシステムを探しているマルウェアアナリストのために設計されたのLinuxのオープンソースのUbuntuベースのディストリビューションです。
一目で特長
主な機能は、Webブラウザのマルウェアを調べ、ネットワークの相互作用、デコードおよび抽出アーチファクトの管理、文書ファイルを調べ、Linuxにおけるマルウェアを調査、静的PEファイルを調べ、ファイルのプロパティと内容を調べ、プロセスの複数のサンプルを、メモリのスナップショットを検査する能力を含みますだけでなく、ファイルの広い範囲を編集し、表示します。
ライブDVDと仮想アプライアンスのアーカイブとして配布
オペレーティングシステムが32ビットと64ビットの両方のハードウェア・プラットフォームをサポートしていますから、それを起動するために2ギガバイト以上の容量のDVDディスクまたはUSBフラッシュドライブに書き込まれなければならない単一のライブDVDのISOイメージとしてダウンロードすることができますVirtualBoxのとVMware仮想化ソフトウェアのためのPCのBIOSと同様に、仮想アプライアンスのアーカイブ(OVA)ます。
これは、システムメモリを実行し、ユーザーは、VESAフレームバッファを強制することにより、デフォルトのオプションで、またはセーフグラフィックスモードでのライブ環境を起動することができ、Ubuntuのに基づいて、Linuxディストリビューションの広い範囲で見つけることができる標準のブートローダーを備えています(RAM)テスト、および最初のディスクから既存のオペレーティングシステムを起動します。
LXDEによって供給ミニマル、迅速かつ生産的なデスクトップ環境
デフォルトでは、ライブCDが取得-行くから端末エミュレータを開くように設計されています。これは、ユーザーがアプリケーションにアクセスしたり、プログラムを実行すると対話することができ、そこから、暗いアートワークと、画面の下端に配置された単一のパネルと軽量X11デスクトップ環境(LXDE)を使用しています。
プリインストールのアプリの中で、私たちはSciTEのテキストエディタ、wxHexEditor六角エディタ、Wiresharkのネットワークスキャナ、XMindマインドマッピングツール、SQLiteのデータベースのブラウザはMozilla Firefox Webブラウザ、およびLXMusic音楽プレーヤーを言及することができます。
ボトムライン
まとめると、REMnuxは間違いなく通常のユーザーのためのLinuxディストリビューションではありません。これはUbuntuの(11.10 - oneiricのオセロット)の古い、サポートされていないバージョンに基づいています。しかし、マルウェアのアナリストは、悪意のあるソフトウェアをリバースエンジニアリングするのに役立ちます、他の便利な機能のきちんとしたコレクションを提供します。
このこのリリースで新しい何が:
この私が、アナリストは、Linux環境での無料のユーティリティを使用してマルウェアを調べることができますREMnuxディストリビューションのV6のリリースを発表することに興奮です。 REMnux V6がディストリビューションの以前のリビジョンに存在していたツールを更新し、いくつかの新しいものを導入しています。また、REMnuxのユーザーが簡単にゼロからフルREMnux環境をダウンロードしなくても、将来のアップデートを適用することができるように、舞台裏での主要なアーキテクチャの変更を実装しています。
REMnuxのV6を取得します。
最新REMnux分布を取得する最も簡単な方法は、その後、VMware WorkstationのやVirtualBoxのように、お気に入りの仮想化アプリケーションにインポートし、その仮想アプライアンスOVAファイルをダウンロードすることです。インポートした仮想マシンを起動した後、実行"更新remnuxフル"そのソフトウェアを更新します。詳細な手順については、REMnuxのインストール手順を参照してください。
あるいは、SIFTワークステーションを含むUbuntuの互換性のあるバージョンを実行している既存の物理または仮想システムにREMnuxのディストリビューションを追加することができます。ドキュメントで説明するようにREMnuxインストールスクリプトを実行することによってこれを達成することができます。
更新remnux" REMnuxのV6をインストールした後、&QUOTを実行して更新を取得することができるでしょう。コマンド。そのマルウェア解析パッケージが更新されたとき、または新しいものをツールキットに追加されたときに通知を受け取るためにTwitterやFacebookとGoogleプラスのREMnuxアカウントに従ってください。
REMnuxのV6に追加ツール:
REMnux V6が以前のリリースとディストリビューションの一部ではなかった、以下のツールが含まれています。
pedump、readpe.py:静的のWindows PEファイルのプロパティを確認
virustotal-ツール:コマンドラインからVirusTotalデータベースとの対話
Nginxは:以前REMnuxに存在したタイニーHTTPDを置き換え、Webサーバー、
VolDiff:ボラティリティを使用して変更を発見するメモリフォレンジックイメージを比較
ルールエディタ:その前駆体やらエディタを置き換え、IOCやら、SnortのとOpenIOCルールを編集
Rekall:メモリフォレンジックツールとフレームワーク
m2elf:シェルコードからELFバイナリファイルを作成します。
屋良ルール:シグネチャファイルでの悪質な特性をスポッティング
OfficeDissectorマスチフプラグイン:マスチフを使用して、Microsoft OfficeのXMLベースのファイルを調べて
デッカー:ローカルホスト上の孤立した容器等で実行されるアプリケーション
AndroGuard:不審なAndroidアプリケーションを分析
vtTool:VirusTotalを照会することにより、試料のマルウェアファミリ名を決定します
oletools、libolecf:Microsoft OfficeのOLE2ファイルを分析
tcpflow:ネットワークトラフィックを調べ、PCAPキャプチャファイルを彫ります
passive.py:PDNSライブラリを使用してパッシブDNSルックアップを実行します
CapTipper:ネットワークトラフィックを調べ、PCAPキャプチャファイルを彫ります
oledump:不審なMicrosoft Officeファイルを調べ
CFR:不審なJavaクラスファイルを逆コンパイル
更新remnux:そのソフトウェアをアップグレードする、ディストリビューションを更新し、新たに追加されたツールをインストール
REMnuxのV6はまた、ソフトウェア開発者が新しいマルウェア解析ツールやタスクを構築するために使用することができます以下のライブラリが含まれています。
IOCライター:OpenIOCオブジェクトの作成および編集するためのPythonライブラリ
Cybox:、構文解析、操作、CybOXコンテンツを生成するためのPythonライブラリ
diStorm3、キャップストーン:バイナリファイルを逆アセンブルするためのPythonライブラリ
pylibemu:libemuシェルコードエミュレーション機能にアクセスするためのPythonライブラリ
やらライブラリ:Pythonライブラリは、マルウェアのサンプルを識別し、分類します
olefile:PythonライブラリのMicrosoft Office OLE2ファイルを読み取り/書き込みします
PyV8:V8 JavaScriptエンジンのためのPythonラッパー・ライブラリー
pyssdeep:ssdeepファジィハッシュツールのPythonラッパーライブラリ
pyexiftool:ExifToolのためのPythonラッパー・ライブラリー
OfficeDissector:不審なMicrosoft OfficeのXMLベースのファイルへのPythonライブラリ
PDNS:パッシブDNSルックアップを実行するためのPythonライブラリ
Javassistの:JavaライブラリのJavaバイトコードを調べることを支援
REMnuxで利用可能なマルウェア分析ユーティリティのリストについては、表計算ソフトやツールのマインドマップが含まれており、いくつかの使用方法のヒントを提供していますそのドキュメントサイトを参照してください。
更新REMnuxアーキテクチャ:
REMnuxのV6リリースの主要な目標は、アップグレードおよびツールセットを拡張を超えて、おなじみのルック・アンド・フィールを維持しながら、ディストリビューションの基礎を近代化することです。以前REMnuxリリースに精通している人々は、彼らの習慣を調整することなく、環境を使用することができるはずです。更新remnux"最も重要なのは、REMnux V6ユーザーが&QUOTを使用して、ディストリビューションに今後の更新を受け取ることができます。アップグレードを実行するために、まったく新しい仮想マシンをダウンロードしなくてもスクリプトを実行します。
これらの目的を達成するために、REMnux V6がUbuntuの14.04の64ビットに基づいています。それは長期サポート(LTS)リリースだから、それは、しばらくの間、前後になるだろう人気があり、安定したOSです。また、REMnuxは今便利な更新を容易にするために、そのリポジトリにホストされているDebianパッケージに大きく依存しています。
その結果、REMnuxに関係なく、物理または仮想マシンのかどうかは、Ubuntu 14.04の64ビットを実行している任意の新規または既存のシステムにインストールすることができます。彼らが望むなら、人々は、同じシステム上で両方のディストリビューションをインストールできるように、このリリースは、SIFTワークステーションと互換性があるように設計されています。
このバージョン5.0の新機能:
このキーの更新既存のツールやコンポーネントに:
コアシステム:アップグレード基礎となるUbuntuのOSコンポーネントとパッケージ。 512メガバイトの仮想アプライアンスの増加デフォルトのRAM。オラクルのJava 7ランタイムとOpenJDKのを置き換え。
メモリ分析:バージョン2.2にボラティリティを更新しました。
PDF分析:更新pdfidとPDFパーサ、折り紙、peepdf
ウェブ解析:更新SWFTools、V8、libemu、NetworkMiner、げっぷプロキシ、Wiresharkのは、Firefoxとそのアドオン。
その他の変更:更新xorsearch、DensityScout、Pyew、パッシブDNS、ClamAVの、capabilities.yara。 XMindでFreeMindのを置き換え
新しいツールはREMnuxに追加:
Windowsツール:インストールワイン。 OfficeMalScanner、Malzilla追加しました
XOR分析:追加NoMoreXOR、brutexor、XORBruteForcer
PEファイルの解析:追加PEV、DISM-この、ExeScan、udis86(udcli)、autorule(は/ usr / local / autorule)、distool
その他のファイルの解析:追加extract_swf.py、ExifTool、マスチフ
その他の追加:追加されたハック関数(は/ usr / local /ハック関数)、bulk_extractor、ProcDot
このバージョン3.0の新機能です:
このREMnuxがどこ実用的な後方互換性を維持しながら、保守性を向上させるためのUbuntu 11.10に基づいてすることが再建されました。
REMnux上のデスクトップ環境は、分布の軽量性を維持しながら、改善された使いやすさのためにLXDEを使用するように移行されています。
REMnuxの以前のバージョンで利用可能なマルウェア分析ツールは、最新の機能や改良点を提供するために、最新の安定バージョンにアップグレードされました。最も重要な更新が含まれます:
最新のマルウェアやTimeLinerのモジュールとメモリフォレンジックのためのボラティリティFramework 2.0の
などpdfcop、pdfextract、pdfwalker、pdfsh、を含むPDF分析のための折り紙フレームワーク1.2.3
REMnuxには、分布の以前のバージョンでは存在していなかったいくつかのマルウェア分析ツールが含まれています。
ネットワーク分析:NetworkMiner、ngrepの、pdnstool
PDF分析:PDF X線ライト(pdfxray_liteとswf_mastah)、peepdf
JavaScriptの分析:ChromeのJavaScriptエンジン(D8)、jsが、美化します
調査ファイル:Hachoir(hachoir - サブファイル、hachoirメタデータ、hachoir-urwid)、pyew、densityscout、findaes
その他:JD-GUI、xxxswf.py、FreeMindの、xpdfの、xortool
コメントが見つかりません