REMnux

REMnux є відкритим вихідним кодом Ubuntu на основі розподілу Linux розроблений спеціально для шкідливих аналітиків, які шукають вільної альтернативної операційної системи на Microsoft Windows, для того, щоб їм зворотного проектування шкідливого програмного забезпечення.

Основні характеристики включають в себе можливість вивчити веб-браузер шкідливе ПЗ, управління мережевими взаємодіями, декодування і екстракт артефактів, вивчити файли документів, розслідувати Linux шкідливого ПО, статично вивчити PE файли, перевіряти властивості файлу і вміст, процес кілька зразків, вивчати знімки пам'яті , а також можна переглядати і редагувати широкий спектр файлів.

Операційна система може бути завантажена як один Live DVD ISO образ, який підтримує як 32-бітові, так і 64-розрядні апаратні платформи і повинні бути написані на DVD диски або флеш-накопичувачі USB 2 ГБ або більше високою ємністю, щоб завантажити його з В BIOS персонального комп'ютера, а також архів віртуальний пристрій (OVA) для віртуалізації VirtualBox програмного забезпечення і VMware.

Це має стандартний завантажувач, який можна знайти в широкому діапазоні дистрибутивів, заснованих на Ubuntu, що дозволяє користувачеві почати жити середу з параметрами за замовчуванням або в безпечному режимі графіки, змушуючи фреймбуфер VESA, виконайте системну пам'ять тест (ОЗУ), і завантажити існуючу операційну систему з першого диска.

За замовчуванням Live CD спроектований, щоб відкрити емулятор терміналу з самого початку йти. Він використовує Lightweight X11 Desktop Environment (LXDE) з темно-мистецтва і однієї панелі, розташованої на нижній кромці екрану, звідки користувач може отримати доступ до додатків або взаємодіяти з запущеними програмами.

Серед встановлених додатків, ми можемо відзначити, SciTE текстовий редактор, шістнадцятковий редактор wxHexEditor, Wireshark мережевого сканера, XMind інструмент відображення розуму, SQLite браузер бази даних, Mozilla Firefox веб-браузер, і LXMusic музичний програвач.

Підводячи підсумок, REMnux, безумовно, не дистрибутив для звичайного користувача. Він заснований на старому непідтримуваної версії Ubuntu (11.10 - Мрій Оцелот)., Але забезпечує акуратний збір інших корисних функцій, які допоможуть шкідливих аналітики зворотного інженера шкідливого програмного забезпечення

Що нового У цьому випуску:

• Я схвильований, щоб оголосити про v6 випуск дистрибутива REMnux, який допоможе аналітикам вивчити шкідливих програм за допомогою утиліти в безкоштовні Середа Linux. REMnux V6 оновлює кошти, які були присутні в попередніх переглядів дистрибутива і вводить кілька нових. Крім того, він реалізує основні архітектурні зміни за лаштунками, щоб дозволити користувачам REMnux легко застосовувати майбутні оновлення без необхідності завантажувати повну середу REMnux з нуля.
• Отримати REMnux v6:
• Найпростіший спосіб, щоб отримати останню розподіл REMnux це завантажити свій віртуальний файл прилад OVA, а потім імпортувати його в ваше улюблене додаток для віртуалізації, такі як VMware Workstation і VirtualBox. Після запуску віртуальної машини імпортного, запустіть & Quot; оновлення-remnux повний і Quot; Команда для оновлення свого програмного забезпечення. Для отримання детальних інструкцій, дивіться інструкції з установки REMnux.
• Крім того, ви можете додати дистрибутив REMnux до існуючої фізичному або віртуальному системі, яка працює сумісна версія Ubuntu, в тому числі SIFT Workstation. Ви можете зробити це, запустивши установчий скрипт REMnux, як описано в документації.
• Після установки REMnux v6, ви зможете отримувати оновлення, запустивши & Quot; ДОПОВНЕНО remnux & Quot; Команда. Дотримуйтесь REMnux рахунку на Twitter, Facebook і Google Plus, щоб отримувати повідомлення, коли його шкідливих пакетів аналізу оновлюються або коли нові будуть додані в інструментарій.
• інструменти, додані REMnux v6:
• REMnux v6 включає в себе наступні інструменти, що не були частиною розподілу в більш ранніх версіях.
• pedump, readpe.py: Статично вивчити властивості файлу Windows PE
• VirusTotal-інструменти: Взаємодіяти з базою даних VirusTotal з командного рядка
• Nginx: веб-сервер, який замінює Крихітні HTTPD, який був присутній на REMnux раніше
• VolDiff: Порівняння судової експертизи пам'яті зображення, щоб визначити зміни, використовуючи Волатильність
• Правило редактор: Редагувати МОК Yara, Snort і правила OpenIOC, замінивши його попередник Яру редактор
• Rekall: судово-медичної експертизи пам'яті інструменту і рамки
• m2elf: Створення ELF двійковий файл з шеллкоде
• Yara Правила: Підписи для виявлення шкідливих характеристики у файлах
• OfficeDissector MASTIFF плагіни: Вивчити Microsoft Office файли XML на основі, використовуючи мастиф
• Докер: Запуск додатків як окремих контейнерів на локальному хості
• AndroGuard: Аналіз підозрілих додатків для Android
• vtTool: Визначити шкідливих прізвище зразка шляхом запиту VirusTotal
• oletools, libolecf: Аналіз Microsoft Office OLE2 файли
• tcpflow: Вивчити мережевий трафік і вирізати файли захоплення PCAP
• passive.py: Виконайте пасивні пошуки DNS, використовуючи бібліотеку PDNS
• CapTipper: Вивчити мережевий трафік і вирізати файли захоплення PCAP
• oledump: Дослідіть підозрілі файли Microsoft Office
• CFR: декомпілювати підозрілі файли класу Java
• Оновлення-remnux: Оновлення дистрибутива, оновлення програмного забезпечення і установки знову доданих інструменти
• REMnux V6 також включає в себе наступні бібліотеки, які розробники програмного забезпечення можуть використовувати для побудови нових інструментів і завдання аналізу шкідливого.
• МОК Письменник: бібліотека Python для створення і редагування об'єктів OpenIOC
• Cybox: бібліотека Python для розбору, маніпулювання і генерації контенту CybOX
• diStorm3, Capstone: Python бібліотеки для розбирання виконавчі файли
• pylibemu: бібліотека Python для доступу до libemu функціональність емуляції Шеллкод
• Яру Бібліотека: бібліотека Python для ідентифікації та класифікації зразків шкідливих програм
• olefile: бібліотека Python для читання / запису Microsoft Office OLE2 файли
• PyV8: бібліотека обгортка Пітона для двигуна V8 JavaScript
• pyssdeep: бібліотека обгортка Пітона для ssdeep нечіткої інструмент хешування
• pyexiftool: бібліотека обгортка Пітона для ExifTool
• OfficeDissector: бібліотека Python для підозрілих файлів Microsoft Office XML на основі
• PDNS: бібліотека Python для виконання операцій пошуку DNS пасивні
• Javassist: бібліотека Java, який допомагає з вивчення Java байт-код
• У список шкідливих утиліт, доступних на аналіз REMnux, побачити його сайт документації, яка включає в себе таблиці і розум карту інструментів і пропонує кілька порад по використанню.
• Оновлене REMnux Архітектура:
• Основною метою v6 випуску REMnux, за модернізацію і розширення набору інструментів, щоб модернізувати основу дистрибутива, зберігаючи звичний вигляд і відчувати. Люди, знайомі з більш ранніми версіями REMnux повинні бути в змозі використати середу без необхідності налаштовувати свої звички. Найголовніше, користувачі REMnux v6 може отримати майбутні оновлення дистрибутива за допомогою & Quot; ДОПОВНЕНО remnux & Quot; Сценарій без скачати всю нову віртуальну машину для виконання оновлення.
• Для досягнення цих цілей, REMnux v6 заснована на Ubuntu 14.04 64-біт. Це популярний і стабільний ОС, буде приблизно на деякий час, тому що це довгий термін підтримкою (LTS) реліз. Крім того, в даний час REMnux спирається на упаковках Debian розміщення в сховище, щоб полегшити зручні оновлення.
• В результаті, REMnux може бути встановлений на будь-якої нової або наявної системі під управлінням Ubuntu 14.04 64-біт, це незалежно від того, це фізична або віртуальна машина. Цей реліз призначений, щоб бути сумісним з щільно Workstation, так що люди можуть встановити обидві розподілу на тій же системі, якщо вони того побажають.

Що нового у версії 5.0:

• Основні оновлення існуючих інструментів і компонентів:
• Основний система: Модернізований основних компонентів ОС Ubuntu і пакетів; збільшилася за замовчуванням ОЗУ віртуального пристрою на 512; замінити OpenJDK з Oracle Java 7 виконання.
• Аналіз пам'яті :. Оновлене Волатильність до версії 2.2
• PDF аналіз: Оновлене pdfid і PDF-парсер, орігамі, peepdf
• аналіз Веб: Оновлене SWFTools, V8, libemu, NetworkMiner, Відрижка проксі, Wireshark, Firefox і його Додатки
.
• Інші зміни: Оновлене xorsearch, DensityScout, Pyew, пасивно-DNS, ClamAV, capabilities.yara; замінити FreeMind з XMind
• Нові інструменти, додані в REMnux:
• Вікна інструментів: Встановлена ​​Вино; Додано OfficeMalScanner, Malzilla
• Аналіз XOR: Додано NoMoreXOR, brutexor, XORBruteForcer
• Аналіз ПП файлу: Додана ПЕВ DISM-це, ExeScan, udis86 (udcli), автоправо (/ USR / місцеві / автоправо), distool
• Інша аналізу файлу: Додана extract_swf.py, ExifTool, MASTIFF
• Інші доповнення: Додана рубати функції (/ USR / місцеві / рубати функції), bulk_extractor, ProcDot

Що нового у версії 3.0:

• REMnux був відновлений повинна бути заснована на Ubuntu 11.10, щоб поліпшити ремонтопридатність , при збереженні зворотної сумісності, коли це доцільно.
• середу робочого столу на REMnux був перенесений використовувати LXDE для поліпшення юзабіліті, зберігаючи легкий характер розподілу.
• Шкідлива програма інструменти аналізу, доступні в більш ранньої версії REMnux були оновлені до останніх стабільних версій, щоб забезпечити найостанніші функції та вдосконалення. Найбільш значні оновлення включають в себе:
• Волатильність Framework 2.0 для судово-медичної експертизи пам'яті з останніми шкідливих програм і модулів TimeLiner
• Орігамі рамки 1.2.3 для аналізу PDF, в тому числі pdfcop, pdfextract, pdfwalker, pdfsh, та ін.
• REMnux включає в себе кілька інструментів аналізу шкідливого, які не були присутні в більш ранніх версіях розподілу, в тому числі:
• Мережевий аналіз: NetworkMiner, ngrep, pdnstool
• PDF аналіз: PDF X-Ray Lite (pdfxray_lite і swf_mastah), peepdf
• Аналіз JavaScript: двигун Хром JavaScript (D8), JS-прикрасити
• Вивчення файлів: Hachoir (hachoir-субфайл, hachoir-метадані, hachoir-urwid), pyew, densityscout, findaes
• Інше: JD-GUI, xxxswf.py, FreeMind, Xpdf, xortool