Malware-analyseværktøjer - Undgå og bestemme Cyber-angreb

• Introduktion til Malware-analyseværktøjer

Introduktion til Malware-analyseværktøjer

Fordelene ved at bruge computere til officielle og personlige formål er mange, men der er også trusler fra svig, der opererer online. Sådanne svig kaldes cyberkriminelle. De stjæler vores identitet og andre oplysninger ved at oprette ondsindede programmer kaldet malware. Processen med at analysere og bestemme formålet med og funktionaliteten af ​​malware kaldes malware-analyse. Malware består af ondsindede koder, der skal opdages ved hjælp af effektive metoder, og malware-analyse bruges til at udvikle disse afsløringsmetoder. Malware-analyse er også vigtig for at udvikle værktøjer til fjernelse af malware, når de ondsindede koder er blevet opdaget.

Malware-analyseværktøjer

Nogle af malware-analyseværktøjerne og -teknikkerne er vist nedenfor:

1. PEiD

Cyberkriminelle forsøger at pakke deres malware, så det er vanskeligt at bestemme og analysere. Et program, der bruges til at registrere sådan pakket eller krypteret malware er PEiD. Bruger dB er en tekstfil, hvorfra PE-filer er indlæst, og 470 former for forskellige underskrifter i PE-filerne kan detekteres af PEiD.

2. afhængighed Walker

Modulerne i 32-bit og 64-bit windows kan scannes ved hjælp af et program kaldet Dependency walker. Modulets funktioner, der importeres og eksporteres, kan anføres ved hjælp af afhængighedsvandrer. Filafhængighederne kan også vises ved hjælp af en afhængighedsvandrer, og dette reducerer det krævede sæt filer til et minimum. Oplysningerne indeholdt i disse filer som filsti, versionnummer osv. Kan også vises ved hjælp af afhængighedsvandrer. Dette er en gratis applikation.

3. Ressourcehacker

Ressourcerne fra windows-binærerne kan udvindes ved hjælp af et program kaldet Resource Hacker. Ekstraktion, tilføjelse, ændring af ressourcer som strenge, billeder osv. Kan udføres ved hjælp af ressourcehacker. Dette er en gratis applikation.

4. PEview

Filoverskrifterne til bærbare eksekverbare filer består af information sammen med de andre sektioner i filen, og disse oplysninger kan fås ved hjælp af et program kaldet PEview. Dette er en gratis applikation.

5. FileAlyzer

FileAlyzer er også et værktøj til at få adgang til oplysningerne i filoverskrifterne til bærbare eksekverbare filer sammen med de andre sektioner i filen, men FileAlyzer giver flere funktioner og funktioner sammenlignet med PEview. Nogle af funktionerne er VirusTotal til analyse accepterer malware fra fanen VirusTotal, og funktioner pakker UPX og andre filer, der er pakket.

6. SysAnalyzer Github Repo

De forskellige aspekter af systemtilstande og procestilstande overvåges ved hjælp af en applikation kaldet SysAnalyzer. Denne applikation bruges til runtime-analyse. Handlingerne, der udføres af det binære på systemet, rapporteres af analytikerne, der bruger SysAnalyzer.

7. Regshot 1.9.0

Regshot er et værktøj, der sammenligner registreringsdatabasen, efter at systemændringerne er udført med registreringsdatabasen, før systemet ændres.

8. Wireshark

Analysen af ​​netværkspakker udføres via Wireshark. Netværkspakkerne indfanges, og dataene i pakkerne vises.

9. Robtex Online Service

Analysen af ​​internetudbydere, domæner, strukturen af ​​netværket udføres ved hjælp af Robtex online service værktøj.

10. VirusTotal

Analyse af filer, URL'er til påvisning af vira, orme osv. Foretages ved hjælp af VirusTotal-tjenesten.

11. Mobile-Sandbox

Malware-analyse af Android-operativsystemet smartphones udføres ved hjælp af mobile-sandbox.

12. Malzilla

De ondsindede sider udforskes af et program kaldet Malzilla. Ved hjælp af malzilla kan vi vælge vores brugeragent og henviser, og malzilla kan bruge proxies. Kilden, hvorfra websiderne og HTTP-headere stammer, vises af malzilla.

13. Flygtighed

Artefakterne i den flygtige hukommelse, også kaldet RAM, der er digitale, udvindes ved hjælp af Volatilitetsrammen, og det er en samling af værktøjer.

14. APKTool

Android-apps kan omvendt konstrueres ved hjælp af APKTool. Ressourcerne kan dekodes til deres oprindelige form og kan genopbygges med nødvendige ændringer.

15. Dex2Jar

Det Android-Dalvik eksekverbare format kan læses ved hjælp af Dex2Jar. Dex-instruktionerne læses i dex-ir-format og kan ændres til ASM-format.

16. Smali

Dalvik og Android's virtuelle maskineimplementering bruger dex-formatet, og det kan samles eller samles ved hjælp af Smali.

17. PeePDF

Skadelige PDF-filer kan identificeres ved hjælp af PeePDF-værktøjet skrevet på pythonsprog.

18. Cuckoo Sandbox

Den mistænkelige filanalyse kan automatiseres ved hjælp af gøgesandkassen.

19. Droidbox

Anvendelserne af Android kan analyseres ved hjælp af droidbox.

20. Malwasm

Databasen, der består af alle malware-aktiviteter, analysetrinnene kan vedligeholdes ved hjælp af malwasm værktøjet, og dette værktøj er baseret på gøg sandkassen.

21. Yara-regler

Klassificeringen af ​​malware, der er baseret på tekst eller binær, efter at de er analyseret med Cuckoo-værktøjet, udføres af det værktøj, der kaldes Yara. Mønsterbaserede beskrivelser af malware er skrevet ved hjælp af Yara. Værktøjet kaldes Yara-regler, fordi disse beskrivelser kaldes regler. Forkortelsen til Yara er endnu et rekursivt akronym.

22. Google Rapid Response (GRR)

De fodspor, der er efterladt af malware på specifikke arbejdsstationer, analyseres ved hjælp af Google Rapid Response-rammen. Forskerne, der tilhører sikkerhed spiste google, har udviklet denne ramme. Målsystemet består af en agent fra Google Rapid Response, og agenten interagerer med serveren. Når serveren og agenten er installeret, bliver de GRRs klienter og gør undersøgelserne på hvert system lettere.

23. REMnux

Dette værktøj er designet til at reversere malware. Det kombinerer flere værktøjer i et til let at bestemme malware baseret på windows og Linux. Det bruges til at undersøge malware, der er baseret på en browser, udføre retsmedicinske data i hukommelsen, analysere sorter af malware osv. De mistænkelige genstande kan også udvindes og dekodes ved hjælp af REMnux.

25. Bro

Broens rammer er stærke og er baseret på et netværk. Trafikken i netværket konverteres til begivenheder, og det kan igen udløse scripts. Bro er som et intrusionsdetekteringssystem (IDS), men dets funktionaliteter er bedre end IDS. Det bruges til at udføre retsmedicinsk undersøgelse, overvågning af netværk osv.

Konklusion

Malware-analyse spiller en vigtig rolle i at undgå og bestemme cyberangreb. Cybersecurity-eksperterne plejede at udføre malware-analysen manuelt inden femten år, og det var en tidskrævende proces, men nu kan eksperterne inden for cybersecurity analysere livscyklussen for malware ved hjælp af malware-analyseværktøjer og derved øge trusselsinformationen.

Anbefalet artikel

Dette er en guide til Malware-analyseværktøjer. Her diskuterer vi nogle af de mest almindeligt anvendte værktøjer som PEiD, Dependency Walker, Resource Hacker osv. Du kan også gennemgå vores andre foreslåede artikler for at lære mere -

1. Hvad har vi brug for beta-test?
2. Introduktion til kodedækningsværktøjer
3. Top 10 vellykkede cloud testværktøjer
4. 7 Forskellige IPS-værktøjer til systemforebyggelse