Johdanto haittaohjelmien analysointityökaluihin

Tietokoneiden käytöstä virallisissa ja henkilökohtaisissa tarkoituksissa on paljon hyötyä, mutta myös verkossa toimivat petokset aiheuttavat uhkia. Tällaisia ​​petoksia kutsutaan verkkorikollisiksi. He varastavat henkilöllisyytemme ja muut tiedot luomalla haittaohjelmia, nimeltään haittaohjelmia. Haittaohjelmien tarkoituksen ja toimintojen analysointi- ja määrittämisprosessia kutsutaan haittaohjelman analysointiin. Haittaohjelmat koostuvat haitallisista koodeista, jotka on havaittava tehokkailla menetelmillä, ja haittaohjelman analysointia käytetään näiden havaitsemismenetelmien kehittämiseen. Haittaohjelmien analysointi on myös välttämätöntä haittaohjelmien poistotyökalujen kehittämiseksi, kun haittaohjelmat on havaittu.

Haittaohjelmien analysointityökalut

Jotkut haittaohjelmien analysointityökalut ja tekniikat on lueteltu alla:

1. PEID

Tietoverkkorikolliset yrittävät pakata haittaohjelmansa niin, että sen määrittäminen ja analysointi on vaikeaa. Sovellus, jota käytetään tällaisten pakattujen tai salattujen haittaohjelmien havaitsemiseen, on PEiD. Käyttäjän dB on tekstitiedosto, josta PE-tiedostot ladataan ja PEiD voi tunnistaa 470 erilaista allekirjoitusta PE-tiedostoissa.

2. Riippuvuuskävelijä

32- ja 64-bittisten Windows-moduulit voidaan skannata käyttämällä Dependency Walker -nimistä sovellusta. Tuodut ja vietävät moduulin toiminnot voidaan luetella riippuvuussäätimen avulla. Tiedostoriippuvuudet voidaan näyttää myös riippuvuussäätimellä ja tämä vähentää tarvittavan tiedostojoukon minimiin. Näihin tiedostoihin sisältyvät tiedot, kuten tiedostopolku, versionumero jne., Voidaan myös näyttää riippuvuuskävelijän avulla. Tämä on ilmainen sovellus.

3. Resurssien hakkeri

Resurssit Windows-binaareista voidaan purkaa Resource Hacker -nimisen sovelluksen avulla. Resurssien, kuten merkkijonojen, kuvien jne., Purkaminen, lisääminen ja muokkaaminen voidaan tehdä resurssien hakkerilla. Tämä on ilmainen sovellus.

4. PEnäkymä

Kannettavien suoritettavien tiedostojen tiedostotunnisteet koostuvat tiedoista sekä tiedoston muista osista, ja näitä tietoja voidaan käyttää käyttämällä PEview-sovellusta. Tämä on ilmainen sovellus.

5. FileAlyzer

FileAlyzer on myös työkalu, jolla pääsee kannettavien suoritettavien tiedostojen tiedostotunnisteisiin tiedoston muiden osien ohella, mutta FileAlyzer tarjoaa enemmän ominaisuuksia ja toimintoja verrattuna PEview-tiedostoon. Jotkut ominaisuudet ovat VirusTotal-analyysi, joka hyväksyy haittaohjelmat VirusTotal-välilehdeltä, ja toiminnot purkaavat UPX: n ja muiden pakattujen tiedostojen pakkaamisen.

6. SysAnalyzer Github Repo

Järjestelmätilojen ja prosessitilojen erilaisia ​​näkökohtia tarkkaillaan käyttämällä SysAnalyzer-nimistä sovellusta. Tätä sovellusta käytetään runtime-analyysiin. Analyytikot raportoivat systeemin binaaritoimenpiteistä tekemät toiminnot SysAnalyzeria käyttämällä.

7. Regshot 1.9.0

Regshot on apuohjelma, joka vertaa rekisteriä järjestelmän muutosten tekemisen jälkeen rekisteriin ennen järjestelmän muutoksia.

8. Wireshark

Verkkopakettien analysointi tehdään Wiresharkin kautta. Verkkopaketit kaappataan, ja pakettien tiedot näytetään.

9. Robtex-verkkopalvelu

Internet-palveluntarjoajien, verkkotunnusten ja verkon rakenteen analysointi tehdään käyttämällä Robtex-verkkopalvelutyökalua.

10. VirusYhteensä

Tiedostojen analysointi, URL-osoitteet virusten, matojen jne. Havaitsemiseksi tehdään VirusTotal-palvelun avulla.

11. Mobiili-hiekkalaatikko

Android-käyttöjärjestelmän älypuhelimien haittaohjelman analysointi tehdään mobiili-hiekkalaatikon avulla.

12. Malzilla

Haitalliset sivut etsii Malzilla-niminen ohjelma. Käyttämällä malzillaa voimme valita käyttäjäagenttimme ja viittaaja ja malzilla voivat käyttää välityspalvelimia. Malzilla näyttää lähteen, josta verkkosivut ja HTTP-otsikot on johdettu.

13. Haihtuvuus

Digitaaliset haihtuvan muistin esineet, joita kutsutaan myös RAMiksi, puretaan käyttämällä Volatilisuuskehystä ja se on kokoelma työkaluja.

14. APKTool

Android-sovellukset voidaan suunnitella käänteisesti APKToolilla. Resurssit voidaan dekoodata alkuperäiseen muotoonsa ja ne voidaan rakentaa uudelleen tarvittavien muutosten avulla.

15. Dex2Jar

Android Dalvikin suoritettava muoto voidaan lukea Dex2Jarilla. Dex-ohjeet luetaan dex-ir-muodossa ja ne voidaan muuttaa ASM-muotoon.

16. Smali

Dalvikin ja Androidin virtuaalikoneen toteutus käyttää dex-muotoa, ja se voidaan koota tai levittää Smalin avulla.

17. PeePDF

Haitalliset PDF-tiedostot voidaan tunnistaa python-kielellä kirjoitetulla PeePDF-työkalulla.

18. Käkihiekkalaatikko

Epäilyttävä tiedostoanalyysi voidaan automatisoida käkihiekkalaatikon avulla.

19. Droidbox

Android-sovelluksia voidaan analysoida droidboxilla.

20. Malwasm

Kaikista haittaohjelmatoiminnoista koostuva tietokanta, analyysivaiheet voidaan ylläpitää malwasm-työkalulla ja tämä työkalu perustuu käkien hiekkalaatikkoon.

21. Yaran säännöt

Tekstiin tai binaariin perustuvien haittaohjelmien luokittelu sen jälkeen, kun ne on tutkittu Käkityökalulla, tehdään Yara-työkalulla. Malliperusteiset haittaohjelmien kuvaukset on kirjoitettu Yaralla. Työkalun nimi on Yara-säännöt, koska näitä kuvauksia kutsutaan säännöiksi. Yaran lyhenne on vielä yksi rekursiivinen lyhenne.

22. Googlen nopea reagointi (GRR)

Haittaohjelmien jättämät jalanjäljet ​​tietyillä työasemilla analysoidaan Google Rapid Response -kehyksessä. Turvallisuuteen sitovat google-tutkijat ovat kehittäneet tämän kehyksen. Kohdejärjestelmä koostuu Google Rapid Response -agentista ja agentti on vuorovaikutuksessa palvelimen kanssa. Palvelimen ja edustajan käyttöönoton jälkeen heistä tulee GRR: n asiakkaita ja helpottaa kunkin järjestelmän tutkimuksia.

23. REMnux

Tämä työkalu on suunniteltu suunnittelemaan haittaohjelmia. Se yhdistää useita työkaluja yhdeksi, jotta Windows-ja Linux-pohjaiset haittaohjelmat voidaan helposti määrittää. Sitä käytetään selaimeen perustuvan haittaohjelman tutkimiseen, rikostutkimuksen suorittamiseen muistissa, haittaohjelmalajikkeiden analysointiin jne. Epäilyttävät kohteet voidaan myös purkaa ja dekoodata REMnuxilla.

25. Bro

Bro-puitteet ovat tehokkaita ja perustuvat verkkoon. Verkon liikenne muunnetaan tapahtumiksi ja se puolestaan ​​voi laukaista skriptit. Bro on kuin tunkeutumisen havaitsemisjärjestelmä (IDS), mutta sen toiminnallisuudet ovat parempia kuin IDS. Sitä käytetään rikosteknisten tutkimusten tekemiseen, verkkojen seurantaan jne.

johtopäätös

Haittaohjelma-analyysillä on tärkeä rooli verkkohyökkäysten välttämisessä ja määrittämisessä. Tietoturva-asiantuntijat suorittivat haittaohjelmien analyysin manuaalisesti ennen viisitoista vuotta, ja se oli aikaa vievä prosessi, mutta nyt kyberturvallisuuden asiantuntijat voivat analysoida haittaohjelmien elinkaaren haittaohjelmien analysointityökalujen avulla siten lisäämällä uhkien tiedustelua.

Suositeltava artikkeli

Tämä on opas haittaohjelmien analyysityökaluihin. Tässä keskustellaan joistain yleisimmin käytetyistä työkaluista, kuten PEiD, Dependency Walker, Resource Hacker jne. Voit myös käydä läpi muiden ehdotettujen artikkeleidemme saadaksesi lisätietoja -

  1. Mitä tarvitsemme betatestaukseen?
  2. Johdatus koodin kattavuusvälineisiin
  3. 10 parasta menestyvää pilvitestaustyökalua
  4. 7 erilaista IPS-työkalua järjestelmän ehkäisyyn

Luokka:

Ohjelmistokehitys