REMnux就是Linux的開放源代碼的基於Ubuntu的發行專門針對誰是尋找一個自由選擇操作系統的Microsoft Windows惡意軟件分析設計的,以便他們進行反向工程惡意軟件。
在功能一覽
主要功能包括檢查Web瀏覽器的惡意軟件的能力,網絡交互,解碼和提取文物的管理,檢查文檔文件,研究Linux的惡意軟件,靜態檢查PE文件,檢查文件屬性和內容,處理多個樣本,檢查內存快照,以及編輯和查看大量文件。
分佈式作為一個Live DVD和虛擬設備檔案
操作系統可以下載的,同時支持32位和64位硬件平台和必須寫在2GB或更高容量的DVD光盤或USB閃存驅動器,以便從啟動它一個活DVD ISO鏡像PC機的BIOS,以及作為一個虛擬應用歸檔(OVA)的VirtualBox和VMware的虛擬化軟件。
它配備了標準的引導裝載程序,可以在廣泛的基於Ubuntu的Linux發行版中找到,允許用戶開始使用默認選項,或在安全圖形模式下通過強制VESA幀緩衝的現場環境,進行系統內存(RAM)的測試,並且從第一盤引導現有操作系統
最小,快速,高效的桌面環境搭載LXDE
默認情況下,Live CD的設計是開放從一開始走的終端模擬器。它使用輕量級X11桌面環境(LXDE)與暗的藝術品和位於屏幕的底部邊緣,從那裡,用戶可以訪問應用程序或者與正在運行的程序進行交互。
的單一面板在預裝的應用程序,我們可以提到賽特文本編輯器,wxHexEditor十六進制編輯器,Wireshark的網絡掃描儀,XMind的思維導圖工具,SQLite數據庫瀏覽器,Mozilla的Firefox網頁瀏覽器,並LXMusic音樂播放器。
底線
綜上,REMnux絕對不是一個Linux發行版的普通用戶。它是基於Ubuntu(11.10 - 解夢山貓)較舊,不支持的版本,而是提供了一個整潔的收藏等實用功能,將幫助惡意軟件分析師進行反向工程惡意軟件
什麼是此版本的新:
- 在我很高興地宣布REMnux發行,這有助於分析檢查惡意軟件使用免費的實用程序的V6版本Linux環境。 REMnux V6更新了存在於發行版的早期版本的工具,並引入了一些新的。此外,它實現的幕後主要架構的變化,讓REMnux用戶能夠輕鬆應用未來的更新,而不必從頭開始下載完整REMnux環境。
- 獲取REMnux V6:
- 要獲得最新REMnux分佈最簡單的方法就是下載它的虛擬設備OVA文件,然後將其導入自己喜歡的虛擬化應用程序如VMware Workstation和VirtualBox。開始導入虛擬機後,運行[更新-remnux全"命令來更新其軟件。有關詳細說明,請參閱REMnux安裝說明。
- 另外,您可以添加REMnux發行到正在運行一個兼容版本的Ubuntu,包括SIFT工作站現有的物理或虛擬系統。您可以通過運行REMnux安裝腳本,如文檔中說明實現這一目標。
- 在安裝REMnux V6之後,你就可以通過運行&QUOT得到更新;更新-remnux"命令。按照REMnux帳戶在Twitter,Facebook和谷歌加收到通知時,它的惡意軟件分析軟件包更新或者新添加到工具包。
- 工具添加到REMnux V6:
- REMnux V6包括尚未分配的一部分,在早期版本中使用以下工具。
- pedump,readpe.py:靜態檢查在Windows PE文件的屬性
- virustotal-工具:互動與在命令行中VirusTotal數據庫
- Nginx的:Web服務器,它取代微小的httpd,這是存在於REMnux早期
- VolDiff:比較內存取證圖像發現用波動率的變化
- 在規則編輯器:編輯IOC亞拉,Snort和OpenIOC規則,取代其前身亞拉編輯器
- Rekall可:內存取證工具和框架
- m2elf:創建一個ELF二進制文件出來的shellcode
- 在亞拉規則:為察覺的文件中的惡意特徵簽名
- OfficeDissector獒插件:檢查使用獒的Microsoft Office基於XML的文件
- 泊塢窗:在本地主機上運行的應用程序作為單獨的容器
- AndroGuard:分析可疑的Android應用程序
- vtTool:通過查詢VirusTotal確定樣本的惡意軟件系列名稱
- oletools,libolecf:分析的Microsoft Office OLE2文件
- tcpflow:檢查網絡流量和雕刻PCAP捕獲文件
- passive.py:使用PDNS庫進行被動的DNS查詢
- CapTipper:檢查網絡流量和雕刻PCAP捕獲文件
- oledump:檢查可疑的Microsoft Office文件
- CFR:可疑反編譯Java類文件
- 更新 - remnux:更新的發行版,升級其軟件並安裝新增的工具
- REMnux V6還包括以下內容庫,軟件開發人員可以使用的建設新的惡意軟件分析工具和任務。
- 國際奧委會作家:Python庫,用於創建和編輯OpenIOC對象
- Cybox:Python庫進行解析,操縱,並產生CybOX含量
- diStorm3,凱普斯:Python庫拆卸的二進制文件
- pylibemu:Python庫訪問libemu shellcode的仿真功能
- 在亞拉庫:Python庫來識別和分類的惡意軟件樣本
- olefile:Python庫進行讀/寫的Microsoft Office OLE2文件
- PyV8:對於V8 JavaScript引擎Python包裝庫
- pyssdeep:為ssdeep模糊哈希工具的Python包裝庫
- pyexiftool:為ExifTool Python包裝庫
- OfficeDissector:Python庫可疑的Microsoft Office基於XML的文件
- PDNS:Python庫進行被動DNS查找
- Javassist是:Java庫,以檢查Java字節碼 助攻
- 有關可REMnux惡意軟件分析實用程序的列表,請參閱其文檔的網站,其中包括一個電子表格,這些工具的思維導圖,並提供了一些使用技巧。
- 更新REMnux架構:
- 的V6版本REMnux,超越升級和擴展工具集的一個主要目標,就是以現代化的發行版的基礎上,同時保持了熟悉的外觀和感覺。人們熟悉早期REMnux版本應該能夠使用環境而無需調整他們的習慣。最重要的是,REMnux V6用戶可以接收將來的更新使用&QUOT的發行,更新,remnux"無需下載一個全新的虛擬機進行升級腳本。
- 要實現這些目標,REMnux V6是基於Ubuntu 14.04 64位。這是一個流行和穩定的操作系統,這將是一段時間了,因為它是一個長期支持(LTS)版本。此外,REMnux現在嚴重依賴於託管在其資料庫,以方便方便的更新Debian軟件包。
- 結果,REMnux可以安裝在運行Ubuntu 14.04 64位,不管它是一個物理機或虛擬機的任何新的或現有的系統。此版本的設計是與SIFT工作站兼容,使人們可以同時安裝分發到同一個系統中,如果他們的願望。
什麼是5.0版新:
- 在關鍵更新現有工具和組件:
- 核心系統:升級基礎的Ubuntu的操作系統組件和包;虛擬設備為512MB的增加缺省的RAM; OpenJDK的替代與Oracle的Java 7運行。
- 存儲分析:更新波幅至2.2版
- 在PDF解析:更新pdfid和PDF解析器,摺紙,peepdf
- 網頁分析:更新SWFTools,V8,libemu,NetworkMiner,打嗝代理,Wireshark的,Firefox和及其附加 。
- 其他的變化:更新xorsearch,DensityScout,Pyew,被動DNS,ClamAV的,capabilities.yara;與XMind的更換FreeMind的
- 添加到REMnux的新工具:
- Windows工具:已安裝的酒;新增OfficeMalScanner,Malzilla
- XOR分析:新增NoMoreXOR,brutexor,XORBruteForcer
- 在PE文件的分析:加PEV,DISM - 這,ExeScan,udis86(udcli),autorule(在/ usr /本地/ autorule),distool
- 在其他文件分析:新增extract_swf.py,ExifTool,MASTIFF
- 其他補充:補充下鍋功能(在/ usr /本地/下鍋功能),bulk_extractor,ProcDot
什麼是3.0版本中新的:
- 在REMnux重建將基於Ubuntu 11.10,提高可維護性,同時保持向後兼容性在可行。
- 在REMnux桌面環境已經遷移到使用LXDE改善可用性,同時保持分佈的輕巧性。
- 在REMnux的早期版本的惡意軟件分析工具已經升級到最新的穩定版本,以提供最新的功能和改進。最顯著更新包括:
- 在波動Framework 2.0的內存取證與最新的惡意軟件和timeliner模塊
- 摺紙框架1.2.3 PDF分析,包括pdfcop,pdfextract,pdfwalker,pdfsh等。
- REMnux包括幾個惡意軟件分析工具不存在於早期版本的發行,其中包括:
- 網絡分析:NetworkMiner,的ngrep,pdnstool
- PDF分析:PDF X射線精簡版(pdfxray_lite和swf_mastah),peepdf
- 的JavaScript分析:Chrome瀏覽器的JavaScript引擎(D8),JS-美化
- 檢查文件:Hachoir(hachoir-子文件,hachoir元數據,hachoir-urwid),pyew,densityscout,findaes
- 其他:JD-GUI,xxxswf.py,FreeMind的,xpdf的,xortool
評論沒有發現