Введение в инструменты анализа вредоносных программ
Преимущества использования компьютеров в служебных и личных целях достаточно, но есть и угрозы со стороны мошенников, действующих в Интернете. Такие мошенничества называются киберпреступниками. Они крадут нашу личность и другую информацию, создавая вредоносные программы, называемые вредоносными программами.
Процесс анализа и определения цели и функциональности вредоносного ПО называется анализом вредоносного ПО. Вредоносные программы состоят из вредоносных кодов, которые должны быть обнаружены с использованием эффективных методов, и для разработки этих методов обнаружения используется анализ вредоносных программ. Анализ вредоносных программ также важен для разработки средств удаления вредоносных программ после обнаружения вредоносных кодов.
А Вы знаете что это Средство удаления вредоносных программ для Microsoft Windows?
Инструменты анализа вредоносных программ
Некоторые из инструментов и методов анализа вредоносных программ перечислены ниже:
1. PEiD
Киберпреступники пытаются упаковать свою вредоносную программу, чтобы ее было сложно определить и проанализировать. Приложение, которое используется для обнаружения таких упакованных или зашифрованных вредоносных программ, является PEiD. Пользователь дБ — это текстовый файл, из которого загружаются PE-файлы, и PEiD может обнаружить 470 форм различных сигнатур в PE-файлах.
2. Зависимость Уокер
Модули 32-битных и 64-битных окон можно сканировать с помощью приложения под названием Dependency Walker. Функции модуля, которые импортируются и экспортируются, могут быть перечислены с помощью обходчика зависимостей. Зависимости файлов также могут отображаться с помощью средства обхода зависимостей, что сводит к минимуму необходимый набор файлов. Информация, содержащаяся в этих файлах, например путь к файлу, номер версии и т. Д., Также может отображаться с помощью средства обхода зависимостей. Это бесплатное приложение.
3. Хакер ресурсов
Ресурсы из двоичных файлов Windows могут быть извлечены с помощью приложения под названием Resource Hacker. Извлечение, добавление, изменение ресурсов, таких как строки, изображения и т. Д., Может быть выполнено с помощью хакера ресурсов. Это бесплатное приложение.
4. PEview
Заголовки файлов переносимых исполняемых файлов состоят из информации вместе с другими разделами файла, и к этой информации можно получить доступ с помощью приложения PEview. Это бесплатное приложение.
5. FileAlyzer
FileAlyzer также является инструментом для доступа к информации в заголовках файлов переносимых исполняемых файлов наряду с другими разделами файла, но FileAlyzer предоставляет больше возможностей и функций по сравнению с PEview. Некоторые функции VirusTotal для анализа принимают вредоносные программы со вкладки VirusTotal, а функции распаковывают UPX и другие упакованные файлы.
Встроенное средство Windows для удаления вредоносных программ
6. SysAnalyzer Github Repo
Различные аспекты состояния системы и состояния процесса отслеживаются с помощью приложения под названием SysAnalyzer. Это приложение используется для анализа времени выполнения. Аналитики, использующие SysAnalyzer, сообщают о действиях двоичного файла в системе.
7. Regshot 1.9.0
Regshot — это утилита, которая сравнивает реестр после внесения изменений в систему с реестром до изменения системы.
8. Wireshark
Анализ сетевых пакетов осуществляется через Wireshark. Сетевые пакеты перехвачены, и данные, содержащиеся в пакетах, отображаются.
9. Интернет-сервис Robtex
Анализ интернет-провайдеров, доменов, структуры сети производится с помощью инструмента онлайн-обслуживания Robtex.
10. VirusTotal
Анализ файлов, URL-адресов для обнаружения вирусов, червей и т. Д. Выполняется с помощью сервиса VirusTotal.
11. Мобильная песочница
Анализ вредоносных программ на смартфонах с операционной системой Android выполняется с помощью мобильной песочницы.
12. Мальзилла
Вредоносные страницы исследуются программой Malzilla. Используя malzilla, мы можем выбрать нашего пользовательского агента и реферера, а malzilla может использовать прокси. Источник, из которого получены веб-страницы и заголовки HTTP, показан malzilla.
13. Волатильность
Артефакты в энергозависимой памяти, также называемые ОЗУ, являются цифровыми и извлекаются с использованием инфраструктуры волатильности, и это набор инструментов.
14. APKTool
Приложения Android могут быть изменены с помощью APKTool. Ресурсы могут быть декодированы до их первоначальной формы и могут быть перестроены с необходимыми изменениями.
15. Dex2Jar
Исполняемый формат Android Dalvik можно прочитать с помощью Dex2Jar. Инструкции dex читаются в формате dex-ir и могут быть изменены на формат ASM.
16. Смали
Реализация виртуальной машины Dalvik и Android использует формат dex, и ее можно собрать или разобрать с помощью Smali.
17. PeePDF
Вредные PDF-файлы можно идентифицировать с помощью инструмента PeePDF, написанного на языке Python.
18. Песочница с кукушкой
Подозрительный анализ файла может быть автоматизирован с помощью песочницы кукушки.
19. Droidbox
Приложения Android могут быть проанализированы с помощью Droidbox.
20. Malwasm
База данных, состоящая из всех вредоносных действий, этапов анализа, может поддерживаться с помощью инструмента malwasm, и этот инструмент основан на песочнице с кукушкой.
21. Правила Яры
Классификация вредоносных программ, основанная на текстовом или двоичном коде после того, как они проанализированы инструментом Cuckoo, выполняется с помощью инструмента Yara. Основанные на шаблонах описания вредоносных программ написаны с использованием Yara. Инструмент называется Yara Rules, потому что эти описания называются правилами. Аббревиатура Yara является еще одной рекурсивной аббревиатурой.
22. Google Rapid Response (GRR)
Следы, оставленные вредоносными программами на определенных рабочих станциях, анализируются структурой Google Rapid Response. Исследователи, которые занимаются вопросами безопасности, разработали эту платформу. Целевая система состоит из агента Google Rapid Response, и агент взаимодействует с сервером. После развертывания сервера и агента они становятся клиентами GRR и облегчают исследования в каждой системе.
23. REMnux
Этот инструмент предназначен для обратного проектирования вредоносных программ. Он объединяет несколько инструментов в один, чтобы легко определить вредоносное ПО на основе Windows и Linux. Он используется для расследования вредоносных программ, основанных на браузере, проведения экспертизы памяти, анализа разновидностей вредоносных программ и т. Д. Подозрительные элементы также могут быть извлечены и декодированы с использованием REMnux.
25. Бро
Фреймворк bro мощен и основан на сети. Трафик в сети преобразуется в события, которые, в свою очередь, могут запускать сценарии. Bro похож на систему обнаружения вторжений (IDS), но его функциональные возможности лучше, чем IDS. Используется для проведения судебно-медицинской экспертизы, мониторинга сетей и т. Д.
Вывод
Анализ вредоносных программ играет важную роль в предотвращении и определении кибератак. Эксперты по кибербезопасности раньше, до пятнадцати лет, выполняли анализ вредоносных программ вручную, и это был трудоемкий процесс, но теперь эксперты по кибербезопасности могут анализировать жизненный цикл вредоносных программ с помощью инструментов анализа вредоносных программ, тем самым повышая уровень защиты от угроз.
Рекомендуемая статья
Это руководство по инструментам анализа вредоносных программ. Здесь мы обсуждаем некоторые из наиболее часто используемых инструментов, таких как PEiD, Dependency Walker, Resource Hacker и т. Д. Вы также можете просмотреть другие предлагаемые нами статьи, чтобы узнать больше —
- Что нам нужно для бета-тестирования?
- Введение в инструменты покрытия кода
- Топ 10 успешных инструментов облачного тестирования
- 7 различных инструментов IPS для предотвращения системы
Источник: ru.education-wiki.com
Обзор инструментов для анализа вредоносных программ
Зачастую, когда вы впервые сталкиваетесь с вредоносной программой, вам хочется понять, как это все работает, какие действия она выполняет, как попадает на компьютер и так далее. Рассмотрим, как создать виртуальную среду для тестирования и отладки вредоносного файла, что поможет нам понять, как он распространяется, какие действия он выполняет на зараженном компьютере, какие сетевые коммуникации он реализует.
Введение
Для анализа вредоносных программ существует целый ряд бесплатных инструментов с открытым исходным кодом. Мы опишем загрузку и установку некоторых из этих инструментов, чтобы понять, как они работают.
Лаборатория
В целом, есть два пути создания лаборатории для тестирования вредоносных программ: можно использовать программное обеспечение для виртуализации, например VirtualBox или VMware, или же использовать старые, но все еще работающие компьютеры, которые, скажем, завалялись у вас дома.
В случае с виртуальной средой, после намеренного заражения ее вредоносными программами всегда можно будет вернуть ее в исходное состояние. Если же вы выбираете второй вариант, будьте крайне внимательны и убедитесь, что ваша лаборатория изолирована от рабочей сети, чтобы предотвратить нежелательное распространение вредоносных программ.
Посмотрим, какие инструменты могут вам помочь в этом вопросе.
Инструменты
Возможно, вы будете удивлены, но для анализа вредоносных программ существует множество инструментов, многие из которых доступны бесплатно. Разложим типы инструментов, которые нам понадобятся, по пунктам:
- Программа для мониторинга процессов, похожая на диспетчер задач Windows, однако она располагает гораздо большими возможностями.
- Сетевой анализатор, подобный wirehark, чтобы изучить способ подключения вредоноса к его автору.
- Анализатор кода. Как правило, очень сложно деобфусцировать вредоносный код, но если это удастся сделать, у вас будет много информации.
- Бесплатный онлайн-анализатор вредоносных программ, такой, как перечислены здесь, чтобы автоматизировать эти действия.
Попробуем углубиться в изучение пары интересных инструментов.
ProcDOT
ProcDOT уникален в своем жанре. Фактически он объединяет две основные функции: мониторинг процессов и анализатор сети. Обычно эти два инструмента разделены, что значительно усложняет понимание того, как вредоносный процесс делится информацией.
Рисунок 1. Схема работы ProcDOT
ProcDOT решает эту проблему как инструмент «все-в-одном», поэтому его наличие в вашей лаборатории будем считать обязательным. Функциями ProcDOT являются:
- Корреляция данных Procmon и PCAP
- Представление в виде интерактивного графика
- Режим анимации для легкого понимания аспектов тайминга
- Умные алгоритмы для фокуса на релевантной информации
- Обнаружение и визуальное представление вредоносных инъекций (thread injection)
- Корреляция сетевых действий и процессов
- Временная шкала активности
- Полнотекстовый поиск содержимого графика, также отображается в строке временной шкалы активности
- Фильтры для очистки ненужной информации (глобальные и сеансовые)
- Поддержка различных режимов согласования
Чтобы загрузить ProcDOT, воспользуйтесь следующими ссылками: для Linux, для Windows.
Process Monitor v3.40
Process Monitor v3.40, как вы можете догадаться по его названию, ориентирован только на мониторинг процессов. Он предназначен для работы исключительно с Windows и представляет собой расширенный диспетчер задач, способный выполнять проверку работоспособности в реальном времени, а также фиксирующий детали процесса включая пользователя, идентификатор сеанса, командную строку и тому подобное.
Рисунок 2. Рабочее окно Process Monitor
Process Monitor v3.40 также позволяет регистрировать время загрузки для всех операций, он сочетает в себе функции двух программ sysinternal, которые в данный момент не поддерживаются, — Filemon и Regmon. Filemon предоставляет полезную информацию об активности системы, а Regmon подробно показывает использование реестра Windows.
Все эти функции делают Process Monitor v3.40 полезным инструментом, используемым для системного администрирования, компьютерной криминалистики и отладки приложений. Более того, он тоже полностью бесплатен.
Выводы
Все, о чем мы поговорили выше, поможет вам начать самостоятельно анализировать вредоносные программы. Теперь, когда есть базовые знания, вы можете пробовать приступать к анализу, постепенно наращивая их. Скачивайте программы, определяйтесь с типом своей лаборатории и дерзайте!
Подписывайтесь на канал «Anti-Malware» в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Источник: www.anti-malware.ru
Анализ вредоносных программ
Книга даст концепции, инструменты и методы распознавания вредоносных программ Windows и общим элементам анализа вредоносного ПО. Для лучшего восприятия в примерах данной книги используются различные реальные образцы вредоносного ПО, зараженные образы памяти и визуальные диаграммы
Название: Анализ вредоносных программ
Автор(ы): Монаппа К. А.
Язык: русский
Жанр: программирование, безопаснось
Год: 2019
Формат: pdf
Страниц: 453
Размер: 21,43 Мб
Скачать Анализ вредоносных программ
Похожие новости
JavaScript на примерах. Практика, практика и только практика..
- 13-ноя, 22:08
