Sissejuhatus pahavara analüüsi tööriistadesse
Arvutite ametlikel ja isiklikel eesmärkidel kasutamise eeliseid on palju, kuid ka Internetis tegutsevad pettused ohustavad neid. Selliseid pettusi nimetatakse küberkurjategijateks. Nad varastavad meie identiteedi ja muu teabe, luues pahatahtlikke programme, mida nimetatakse pahavaraks. Pahavara analüüsi ja eesmärgi ning funktsionaalsuse määramise protsessi nimetatakse pahavara analüüsiks. Pahavara koosneb pahatahtlikest koodidest, mis tuleb tuvastada tõhusate meetodite abil, ja nende tuvastamismeetodite väljatöötamiseks kasutatakse pahavara analüüsi. Pahavara analüüs on hädavajalik ka pahavara eemaldamise tööriistade väljatöötamiseks pärast pahatahtlike koodide avastamist.
Pahavara analüüsi tööriistad
Allpool on loetletud mõned pahavara analüüsimise tööriistad ja tehnikad:
1. PEID
Küberkurjategijad üritavad oma pahavara pakkida nii, et seda on keeruline kindlaks teha ja analüüsida. Rakendus, mida kasutatakse sellise pakitud või krüptitud pahavara tuvastamiseks, on PEiD. Kasutaja dB on tekstifail, kust PE-failid laaditakse ja PEiD-l on võimalik tuvastada PE-failide 470 erinevat allkirja.
2. Sõltuvuskõndija
32- ja 64-bitiste akende mooduleid saab skannida rakendusega, mille nimi on Dependency walker. Mooduli imporditud ja eksporditud funktsioonid saab üles loetleda sõltuvuskõndija abil. Failisõltuvusi saab kuvada ka sõltuvuskõndija abil ja see vähendab vajaliku failide komplekti miinimumini. Nendes failides sisalduvat teavet, nagu failitee, versiooni number jne, saab kuvada ka sõltuvuskäija abil. See on tasuta rakendus.
3. Ressursside häkker
Windowsi kahendkoodide ressursse saab eraldada rakendusega Resource Hacker. Ressursside, näiteks stringide, piltide jms eraldamist, lisamist ja muutmist saab teha ressursside häkkerite abil. See on tasuta rakendus.
4. PEvaade
Teisaldatavate käivitatavate failide failipäised koos teabega sisaldavad ka faili teisi jaotisi ja sellele teabele pääseb juurde kasutades rakendust PEview. See on tasuta rakendus.
5. FileAlyzer
FileAlyzer on ka failide muude jaotistega kaasaskantavate käivitatavate failide failide päises sisalduvale teabele juurdepääs, kuid FileAlyzer pakub võrreldes PEview'ga rohkem funktsioone ja funktsioone. Mõni funktsioon on analüüsi jaoks VirusTotal ja aktsepteerib vahekaardilt VirusTotal pahavara ning funktsioonid on UPX-i ja muude pakitud failide lahtipakkimine.
6. SysAnalyzer Github Repo
Süsteemi olekute ja protsessi olekute erinevaid aspekte jälgitakse rakenduse nimega SysAnalyzer abil. Seda rakendust kasutatakse käitusanalüüsiks. Kahekomponentsete süsteemis toimingute kohta annavad analüütikud aru SysAnalyzerit kasutades.
7. Regshot 1.9.0
Regshot on utiliit, mis võrdleb registrit pärast süsteemimuudatuste tegemist registriga enne süsteemi muutmist.
8. Wireshark
Võrgupakettide analüüs toimub Wiresharki kaudu. Võrgupaketid püütakse kinni ja kuvatakse pakettides olevad andmed.
9. Robtexi veebiteenus
Interneti-pakkujate, domeenide ja võrgu struktuuri analüüsimisel kasutatakse võrguteenuse Robtex tööriista.
10. VirusTotal
Failide, viiruste, usside jne tuvastamiseks mõeldud URL-ide analüüs toimub teenuse VirusTotal abil.
11. Mobiil-liivakast
Androidi opsüsteemi nutitelefonide pahavara analüüs tehakse mobiilse liivakasti abil.
12. Malzilla
Pahatahtlikke lehti uurib programm nimega Malzilla. Malzilla abil saame valida oma kasutajaagendi ja viitaja ning malzilla võib kasutada puhverservereid. Allikat, millest veebilehed ja HTTP-päised tuletatakse, näitab malzilla.
13. Volatiilsus
Digitaalsete muutumatute mälude nimega RAM, mida digitaalseks muutmiseks kasutatakse Volatilist raamistikku, on tööriistade kogum.
14. APKTool
Androidi rakendusi saab APKTooli abil pöördprojekteerida. Ressursid saab dekodeerida nende algkujul ja neid saab vajalike muudatustega uuesti üles ehitada.
15. Dex2Jar
Androidi Dalviku käivitatavat vormingut saab lugeda Dex2Jari abil. Dex-juhiseid loetakse dex-ir-vormingus ja neid saab muuta ASM-vormingusse.
16. Smali
Dalviku ja Androidi virtuaalse masina teostus kasutab dexi vormingut ning seda saab Smali abil kokku panna või levitada.
17. PeePDF
Kahjulikke PDF-faile saab tuvastada Python-keeles kirjutatud tööriista PeePDF abil.
18. Kägu liivakast
Kahtlase faili analüüsi saab kägu liivakasti abil automatiseerida.
19. Droidbox
Androidi rakendusi saab droidboxi abil analüüsida.
20. Malwasm
Kõigist õelvaraga seotud tegevustest koosnevat andmebaasi, analüüsi etappe saab hoida malwasmi tööriista abil ja see tööriist põhineb kägu liivakastil.
21. Yara reeglid
Tekstipõhise või kahendkoodil põhineva pahavara klassifitseerimine pärast seda, kui Kägu tööriist on seda analüüsinud, toimub Yara abil. Mustripõhised pahavara kirjeldused on kirjutatud Yara abil. Selle tööriista nimi on Yara reeglid, kuna neid kirjeldusi nimetatakse reegliteks. Yara lühend on Yet Another rekursiivne lühend.
22. Google'i kiirreageerimine (GRR)
Konkreetsetes tööjaamades pahavara poolt maha jäetud jälgi analüüsib Google Rapid Response raamistik. Turvalisuse valdkonda kuuluvad teadlased töötasid selle raamistiku välja. Sihtesüsteem koosneb Google Rapid Response'i agendist ja agent suhtleb serveriga. Pärast serveri ja agendi juurutamist saavad nad GRR-i klientideks ja lihtsustavad iga süsteemi uurimist.
23. REMnux
See tööriist on loodud pahavara pöördprojekteerimiseks. See ühendab mitu tööriista üheks, et Windowsi ja Linuxi baasil õelvara hõlpsalt kindlaks teha. Seda kasutatakse brauseril põhineva pahavara uurimiseks, kohtuekspertiisi läbiviimiseks mälus, pahavara sortide analüüsimiseks jne. Kahtlasi üksusi saab REMnuxi abil kaevandada ja dekodeerida.
25. Bro
Bro raamistik on võimas ja põhineb võrgul. Võrgu liiklus muundatakse sündmusteks ja see võib omakorda skripte käivitada. Bro on nagu sissetungimise tuvastamise süsteem (IDS), kuid selle funktsioonid on paremad kui IDS. Seda kasutatakse kohtuekspertiisi uurimiseks, võrkude jälgimiseks jne.
Järeldus
Pahavara analüüsil on oluline roll küberrünnakute vältimisel ja määramisel. Küberjulgeoleku eksperdid viisid pahavara analüüsi käsitsi läbi enne viisteist aastat ja see oli aeganõudev protsess, kuid nüüd saavad küberturvalisuse eksperdid pahavara analüüsivahendite abil pahavara elutsüklit analüüsida, suurendades seeläbi ohtude luureandmeid.
Soovitatav artikkel
See on pahavara analüüsi tööriistade juhend. Siin käsitleme mõnda kõige sagedamini kasutatavat tööriista, nagu PEiD, Dependency Walker, Resource Hacker jne. Lisateabe saamiseks võite minna ka meie teistest soovitatud artiklitest -
- Mida me beetatesti vajame?
- Sissejuhatus koodi katvuse tööriistadesse
- 10 parimat edukat pilvetestimise tööriista
- 7 erinevat IPS-i tööriista süsteemi ennetamiseks