Inleiding tot hulpprogramma's voor malwareanalyse
De voordelen van het gebruik van computers voor officiële en persoonlijke doeleinden zijn talrijk, maar er zijn ook bedreigingen door de fraude die online werkt. Dergelijke fraude wordt cybercrimineel genoemd. Ze stelen onze identiteit en andere informatie door kwaadaardige programma's te maken die malware worden genoemd. Het proces van het analyseren en bepalen van het doel en de functionaliteit van de malware wordt malware-analyse genoemd. Malware bestaat uit kwaadaardige codes die moeten worden gedetecteerd met behulp van effectieve methoden en malware-analyse wordt gebruikt om deze detectiemethoden te ontwikkelen. Malware-analyse is ook essentieel om hulpprogramma's voor het verwijderen van malware te ontwikkelen nadat de kwaadaardige codes zijn gedetecteerd.
Malware-analysehulpmiddelen
Enkele van de malwareanalysetools en -technieken worden hieronder vermeld:
1. PEiD
Cybercriminelen proberen hun malware zo in te pakken dat het moeilijk te bepalen en te analyseren is. Een toepassing die wordt gebruikt om dergelijke ingepakte of gecodeerde malware te detecteren is PEiD. Gebruiker dB is een tekstbestand waaruit de PE-bestanden worden geladen en 470 vormen van verschillende handtekeningen in de PE-bestanden kunnen door PEiD worden gedetecteerd.
2. Afhankelijkheid Walker
De modules van 32-bit en 64-bit vensters kunnen worden gescand met behulp van een applicatie genaamd Dependency walker. De functies van de module die worden geïmporteerd en geëxporteerd, kunnen worden weergegeven met behulp van de afhankelijkheidswandelaar. De bestandsafhankelijkheden kunnen ook worden weergegeven met behulp van een afhankelijkheidswandelaar en dit beperkt de vereiste set bestanden tot een minimum. De informatie in deze bestanden, zoals bestandspad, versienummer, enz. Kan ook worden weergegeven met behulp van de afhankelijkheidswandelaar. Dit is een gratis applicatie.
3. Resource Hacker
De bronnen uit de Windows-binaire bestanden kunnen worden geëxtraheerd met behulp van een applicatie genaamd Resource Hacker. Extractie, toevoeging, aanpassing van bronnen zoals tekenreeksen, afbeeldingen, enz. Kan worden gedaan met behulp van resource hacker. Dit is een gratis applicatie.
4. PEview
De bestandskoppen van draagbare uitvoerbare bestanden bestaan uit informatie samen met de andere delen van het bestand en deze informatie kan worden geopend met behulp van een applicatie genaamd PEview. Dit is een gratis applicatie.
5. FileAlyzer
FileAlyzer is ook een hulpmiddel om toegang te krijgen tot de informatie in de bestandskoppen van draagbare uitvoerbare bestanden samen met de andere delen van het bestand, maar FileAlyzer biedt meer functies en functies in vergelijking met PEview. Sommige functies zijn VirusTotal voor analyse accepteert de malware van het tabblad VirusTotal en functies pakken UPX en andere bestanden uit die zijn ingepakt.
6. SysAnalyzer Github Repo
De verschillende aspecten van de systeemstatus en processtatus worden bewaakt met behulp van een applicatie genaamd SysAnalyzer. Deze applicatie wordt gebruikt voor runtime-analyse. De acties die door de binary op het systeem zijn ondernomen, worden door de analisten gerapporteerd met behulp van SysAnalyzer.
7. Opname 1.9.0
Regshot is een hulpprogramma dat het register vergelijkt nadat de systeemwijzigingen zijn doorgevoerd met het register voordat het systeem wordt gewijzigd.
8. Wireshark
De analyse van netwerkpakketten gebeurt via Wireshark. De netwerkpakketten worden vastgelegd en de gegevens in de pakketten worden weergegeven.
9. Robtex online service
De analyse van internetproviders, domeinen en de structuur van het netwerk gebeurt met behulp van de Robtex online servicetool.
10. VirusTotaal
Analyse van bestanden, URL's voor de detectie van virussen, wormen, enz. Gebeurt met behulp van de VirusTotal-service.
11. Mobiele-sandbox
De malware-analyse van de smartphones van het Android-besturingssysteem gebeurt met behulp van de mobiele sandbox.
12. Malzilla
De kwaadaardige pagina's worden verkend door een programma genaamd Malzilla. Met malzilla kunnen we onze user-agent en verwijzer kiezen en malzilla kan proxy's gebruiken. De bron waaruit de webpagina's en HTTP-headers worden afgeleid, wordt weergegeven door malzilla.
13. Volatiliteit
De artefacten in het vluchtige geheugen, ook RAM genoemd, die digitaal zijn, worden geëxtraheerd met behulp van het Volatility-framework en het is een verzameling tools.
14. APKTool
Android-apps kunnen reverse-engineered worden met APKTool. De bronnen kunnen worden gedecodeerd naar hun oorspronkelijke vorm en kunnen opnieuw worden opgebouwd met de vereiste wijzigingen.
15. Dex2Jar
Het uitvoerbare Android-formaat van Dalvik kan worden gelezen met Dex2Jar. De dex-instructies worden gelezen in dex-ir-indeling en kunnen worden gewijzigd in ASM-indeling.
16. Smali
De implementatie van de virtuele machine van Dalvik en Android maakt gebruik van het dex-formaat en kan worden geassembleerd of gedemonteerd met Smali.
17. PeePDF
Schadelijke PDF-bestanden kunnen worden geïdentificeerd met behulp van de PeePDF-tool geschreven in python-taal.
18. Koekoeksandbox
De verdachte bestandsanalyse kan worden geautomatiseerd met behulp van de koekoekssandbox.
19. Droidbox
De applicaties van Android kunnen worden geanalyseerd met behulp van droidbox.
20. Malwasm
De database bestaat uit alle malware-activiteiten, de analysestappen kunnen worden onderhouden met behulp van de malwasm-tool en deze tool is gebaseerd op de koekoekssandbox.
21. Yara-regels
De classificatie van malware die is gebaseerd op tekst of binair nadat ze zijn geanalyseerd door de Cuckoo-tool, wordt gedaan door de tool genaamd Yara. Op patronen gebaseerde beschrijvingen van malware worden geschreven met Yara. De tool heet Yara-regels omdat deze beschrijvingen regels worden genoemd. De afkorting van Yara is Yet Another Recursive Acronym.
22. Google Rapid Response (GRR)
De voetafdrukken achtergelaten door malware op specifieke werkstations worden geanalyseerd door het Google Rapid Response-framework. De onderzoekers van beveiliging aten google hebben dit raamwerk ontwikkeld. Het doelsysteem bestaat uit een agent van Google Rapid Response en de agent communiceert met de server. Nadat de server en agent zijn geïmplementeerd, worden ze de clients van GRR en maken ze het onderzoek op elk systeem eenvoudiger.
23. REMnux
Deze tool is ontworpen om malware te reverse-engineeren. Het combineert verschillende tools in één om eenvoudig de malware te bepalen op basis van Windows en Linux. Het wordt gebruikt om de malware te onderzoeken die gebaseerd is op een browser, forensisch onderzoek uit te voeren op het geheugen, verschillende soorten malware te analyseren, enz. De verdachte items kunnen ook worden geëxtraheerd en gedecodeerd met behulp van REMnux.
25. Bro
Het framework van bro is krachtig en is gebaseerd op een netwerk. Het verkeer in het netwerk wordt omgezet in gebeurtenissen en dat kan op zijn beurt de scripts activeren. Bro is als een inbraakdetectiesysteem (IDS), maar de functionaliteiten zijn beter dan de IDS. Het wordt gebruikt voor het uitvoeren van forensisch onderzoek, monitoring van netwerken, etc.
Conclusie
Malware-analyse speelt een belangrijke rol bij het voorkomen en bepalen van cyberaanvallen. De cybersecurity-experts voerden de malware-analyse vóór vijftien jaar handmatig uit en het was een tijdrovend proces, maar nu kunnen de experts in cybersecurity de levenscyclus van malware analyseren met behulp van malware-analysehulpmiddelen, waardoor de intelligentie van bedreigingen toeneemt.
Aanbevolen artikel
Dit is een gids voor Malware Analysis Tools. Hier bespreken we enkele van de meest gebruikte tools zoals PEiD, Dependency Walker, Resource Hacker, enz. U kunt ook onze andere voorgestelde artikelen doornemen voor meer informatie -
- Wat hebben we bètatests nodig?
- Inleiding tot hulpmiddelen voor codedekking
- Top 10 succesvolle cloudtesttools
- 7 verschillende IPS-tools voor systeempreventie