Johdanto haittaohjelmien analysointityökaluihin
Tietokoneiden käytöstä virallisissa ja henkilökohtaisissa tarkoituksissa on paljon hyötyä, mutta myös verkossa toimivat petokset aiheuttavat uhkia. Tällaisia petoksia kutsutaan verkkorikollisiksi. He varastavat henkilöllisyytemme ja muut tiedot luomalla haittaohjelmia, nimeltään haittaohjelmia. Haittaohjelmien tarkoituksen ja toimintojen analysointi- ja määrittämisprosessia kutsutaan haittaohjelman analysointiin. Haittaohjelmat koostuvat haitallisista koodeista, jotka on havaittava tehokkailla menetelmillä, ja haittaohjelman analysointia käytetään näiden havaitsemismenetelmien kehittämiseen. Haittaohjelmien analysointi on myös välttämätöntä haittaohjelmien poistotyökalujen kehittämiseksi, kun haittaohjelmat on havaittu.
Haittaohjelmien analysointityökalut
Jotkut haittaohjelmien analysointityökalut ja tekniikat on lueteltu alla:
1. PEID
Tietoverkkorikolliset yrittävät pakata haittaohjelmansa niin, että sen määrittäminen ja analysointi on vaikeaa. Sovellus, jota käytetään tällaisten pakattujen tai salattujen haittaohjelmien havaitsemiseen, on PEiD. Käyttäjän dB on tekstitiedosto, josta PE-tiedostot ladataan ja PEiD voi tunnistaa 470 erilaista allekirjoitusta PE-tiedostoissa.
2. Riippuvuuskävelijä
32- ja 64-bittisten Windows-moduulit voidaan skannata käyttämällä Dependency Walker -nimistä sovellusta. Tuodut ja vietävät moduulin toiminnot voidaan luetella riippuvuussäätimen avulla. Tiedostoriippuvuudet voidaan näyttää myös riippuvuussäätimellä ja tämä vähentää tarvittavan tiedostojoukon minimiin. Näihin tiedostoihin sisältyvät tiedot, kuten tiedostopolku, versionumero jne., Voidaan myös näyttää riippuvuuskävelijän avulla. Tämä on ilmainen sovellus.
3. Resurssien hakkeri
Resurssit Windows-binaareista voidaan purkaa Resource Hacker -nimisen sovelluksen avulla. Resurssien, kuten merkkijonojen, kuvien jne., Purkaminen, lisääminen ja muokkaaminen voidaan tehdä resurssien hakkerilla. Tämä on ilmainen sovellus.
4. PEnäkymä
Kannettavien suoritettavien tiedostojen tiedostotunnisteet koostuvat tiedoista sekä tiedoston muista osista, ja näitä tietoja voidaan käyttää käyttämällä PEview-sovellusta. Tämä on ilmainen sovellus.
5. FileAlyzer
FileAlyzer on myös työkalu, jolla pääsee kannettavien suoritettavien tiedostojen tiedostotunnisteisiin tiedoston muiden osien ohella, mutta FileAlyzer tarjoaa enemmän ominaisuuksia ja toimintoja verrattuna PEview-tiedostoon. Jotkut ominaisuudet ovat VirusTotal-analyysi, joka hyväksyy haittaohjelmat VirusTotal-välilehdeltä, ja toiminnot purkaavat UPX: n ja muiden pakattujen tiedostojen pakkaamisen.
6. SysAnalyzer Github Repo
Järjestelmätilojen ja prosessitilojen erilaisia näkökohtia tarkkaillaan käyttämällä SysAnalyzer-nimistä sovellusta. Tätä sovellusta käytetään runtime-analyysiin. Analyytikot raportoivat systeemin binaaritoimenpiteistä tekemät toiminnot SysAnalyzeria käyttämällä.
7. Regshot 1.9.0
Regshot on apuohjelma, joka vertaa rekisteriä järjestelmän muutosten tekemisen jälkeen rekisteriin ennen järjestelmän muutoksia.
8. Wireshark
Verkkopakettien analysointi tehdään Wiresharkin kautta. Verkkopaketit kaappataan, ja pakettien tiedot näytetään.
9. Robtex-verkkopalvelu
Internet-palveluntarjoajien, verkkotunnusten ja verkon rakenteen analysointi tehdään käyttämällä Robtex-verkkopalvelutyökalua.
10. VirusYhteensä
Tiedostojen analysointi, URL-osoitteet virusten, matojen jne. Havaitsemiseksi tehdään VirusTotal-palvelun avulla.
11. Mobiili-hiekkalaatikko
Android-käyttöjärjestelmän älypuhelimien haittaohjelman analysointi tehdään mobiili-hiekkalaatikon avulla.
12. Malzilla
Haitalliset sivut etsii Malzilla-niminen ohjelma. Käyttämällä malzillaa voimme valita käyttäjäagenttimme ja viittaaja ja malzilla voivat käyttää välityspalvelimia. Malzilla näyttää lähteen, josta verkkosivut ja HTTP-otsikot on johdettu.
13. Haihtuvuus
Digitaaliset haihtuvan muistin esineet, joita kutsutaan myös RAMiksi, puretaan käyttämällä Volatilisuuskehystä ja se on kokoelma työkaluja.
14. APKTool
Android-sovellukset voidaan suunnitella käänteisesti APKToolilla. Resurssit voidaan dekoodata alkuperäiseen muotoonsa ja ne voidaan rakentaa uudelleen tarvittavien muutosten avulla.
15. Dex2Jar
Android Dalvikin suoritettava muoto voidaan lukea Dex2Jarilla. Dex-ohjeet luetaan dex-ir-muodossa ja ne voidaan muuttaa ASM-muotoon.
16. Smali
Dalvikin ja Androidin virtuaalikoneen toteutus käyttää dex-muotoa, ja se voidaan koota tai levittää Smalin avulla.
17. PeePDF
Haitalliset PDF-tiedostot voidaan tunnistaa python-kielellä kirjoitetulla PeePDF-työkalulla.
18. Käkihiekkalaatikko
Epäilyttävä tiedostoanalyysi voidaan automatisoida käkihiekkalaatikon avulla.
19. Droidbox
Android-sovelluksia voidaan analysoida droidboxilla.
20. Malwasm
Kaikista haittaohjelmatoiminnoista koostuva tietokanta, analyysivaiheet voidaan ylläpitää malwasm-työkalulla ja tämä työkalu perustuu käkien hiekkalaatikkoon.
21. Yaran säännöt
Tekstiin tai binaariin perustuvien haittaohjelmien luokittelu sen jälkeen, kun ne on tutkittu Käkityökalulla, tehdään Yara-työkalulla. Malliperusteiset haittaohjelmien kuvaukset on kirjoitettu Yaralla. Työkalun nimi on Yara-säännöt, koska näitä kuvauksia kutsutaan säännöiksi. Yaran lyhenne on vielä yksi rekursiivinen lyhenne.
22. Googlen nopea reagointi (GRR)
Haittaohjelmien jättämät jalanjäljet tietyillä työasemilla analysoidaan Google Rapid Response -kehyksessä. Turvallisuuteen sitovat google-tutkijat ovat kehittäneet tämän kehyksen. Kohdejärjestelmä koostuu Google Rapid Response -agentista ja agentti on vuorovaikutuksessa palvelimen kanssa. Palvelimen ja edustajan käyttöönoton jälkeen heistä tulee GRR: n asiakkaita ja helpottaa kunkin järjestelmän tutkimuksia.
23. REMnux
Tämä työkalu on suunniteltu suunnittelemaan haittaohjelmia. Se yhdistää useita työkaluja yhdeksi, jotta Windows-ja Linux-pohjaiset haittaohjelmat voidaan helposti määrittää. Sitä käytetään selaimeen perustuvan haittaohjelman tutkimiseen, rikostutkimuksen suorittamiseen muistissa, haittaohjelmalajikkeiden analysointiin jne. Epäilyttävät kohteet voidaan myös purkaa ja dekoodata REMnuxilla.
25. Bro
Bro-puitteet ovat tehokkaita ja perustuvat verkkoon. Verkon liikenne muunnetaan tapahtumiksi ja se puolestaan voi laukaista skriptit. Bro on kuin tunkeutumisen havaitsemisjärjestelmä (IDS), mutta sen toiminnallisuudet ovat parempia kuin IDS. Sitä käytetään rikosteknisten tutkimusten tekemiseen, verkkojen seurantaan jne.
johtopäätös
Haittaohjelma-analyysillä on tärkeä rooli verkkohyökkäysten välttämisessä ja määrittämisessä. Tietoturva-asiantuntijat suorittivat haittaohjelmien analyysin manuaalisesti ennen viisitoista vuotta, ja se oli aikaa vievä prosessi, mutta nyt kyberturvallisuuden asiantuntijat voivat analysoida haittaohjelmien elinkaaren haittaohjelmien analysointityökalujen avulla siten lisäämällä uhkien tiedustelua.
Suositeltava artikkeli
Tämä on opas haittaohjelmien analyysityökaluihin. Tässä keskustellaan joistain yleisimmin käytetyistä työkaluista, kuten PEiD, Dependency Walker, Resource Hacker jne. Voit myös käydä läpi muiden ehdotettujen artikkeleidemme saadaksesi lisätietoja -
- Mitä tarvitsemme betatestaukseen?
- Johdatus koodin kattavuusvälineisiin
- 10 parasta menestyvää pilvitestaustyökalua
- 7 erilaista IPS-työkalua järjestelmän ehkäisyyn