✅ Инструменты анализа вредоносных программ - Предотвращение и определение кибератак

Введение в инструменты анализа вредоносных программ

Введение в инструменты анализа вредоносных программ

Преимущества использования компьютеров в служебных и личных целях достаточно, но есть и угрозы со стороны мошенников, действующих в Интернете. Такие мошенничества называются киберпреступниками. Они крадут нашу личность и другую информацию, создавая вредоносные программы, называемые вредоносными программами. Процесс анализа и определения цели и функциональности вредоносного ПО называется анализом вредоносного ПО. Вредоносные программы состоят из вредоносных кодов, которые должны быть обнаружены с использованием эффективных методов, и для разработки этих методов обнаружения используется анализ вредоносных программ. Анализ вредоносных программ также важен для разработки средств удаления вредоносных программ после обнаружения вредоносных кодов.

Инструменты анализа вредоносных программ

Некоторые из инструментов и методов анализа вредоносных программ перечислены ниже:

1. PEiD

Киберпреступники пытаются упаковать свою вредоносную программу, чтобы ее было сложно определить и проанализировать. Приложение, которое используется для обнаружения таких упакованных или зашифрованных вредоносных программ, является PEiD. Пользователь дБ - это текстовый файл, из которого загружаются PE-файлы, и PEiD может обнаружить 470 форм различных сигнатур в PE-файлах.

2. Зависимость Уокер

Модули 32-битных и 64-битных окон можно сканировать с помощью приложения под названием Dependency Walker. Функции модуля, которые импортируются и экспортируются, могут быть перечислены с помощью обходчика зависимостей. Зависимости файлов также могут отображаться с помощью средства обхода зависимостей, что сводит к минимуму необходимый набор файлов. Информация, содержащаяся в этих файлах, например путь к файлу, номер версии и т. Д., Также может отображаться с помощью средства обхода зависимостей. Это бесплатное приложение.

3. Хакер ресурсов

Ресурсы из двоичных файлов Windows могут быть извлечены с помощью приложения под названием Resource Hacker. Извлечение, добавление, изменение ресурсов, таких как строки, изображения и т. Д., Может быть выполнено с помощью хакера ресурсов. Это бесплатное приложение.

4. PEview

Заголовки файлов переносимых исполняемых файлов состоят из информации вместе с другими разделами файла, и к этой информации можно получить доступ с помощью приложения PEview. Это бесплатное приложение.

5. FileAlyzer

FileAlyzer также является инструментом для доступа к информации в заголовках файлов переносимых исполняемых файлов наряду с другими разделами файла, но FileAlyzer предоставляет больше возможностей и функций по сравнению с PEview. Некоторые функции VirusTotal для анализа принимают вредоносные программы со вкладки VirusTotal, а функции распаковывают UPX и другие упакованные файлы.

6. SysAnalyzer Github Repo

Различные аспекты состояния системы и состояния процесса отслеживаются с помощью приложения под названием SysAnalyzer. Это приложение используется для анализа времени выполнения. Аналитики, использующие SysAnalyzer, сообщают о действиях двоичного файла в системе.

7. Regshot 1.9.0

Regshot - это утилита, которая сравнивает реестр после внесения изменений в систему с реестром до изменения системы.

8. Wireshark

Анализ сетевых пакетов осуществляется через Wireshark. Сетевые пакеты перехвачены, и данные, содержащиеся в пакетах, отображаются.

9. Интернет-сервис Robtex

Анализ интернет-провайдеров, доменов, структуры сети производится с помощью инструмента онлайн-обслуживания Robtex.

10. VirusTotal

Анализ файлов, URL-адресов для обнаружения вирусов, червей и т. Д. Выполняется с помощью сервиса VirusTotal.

11. Мобильная песочница

Анализ вредоносных программ на смартфонах с операционной системой Android выполняется с помощью мобильной песочницы.

12. Мальзилла

Вредоносные страницы исследуются программой Malzilla. Используя malzilla, мы можем выбрать нашего пользовательского агента и реферера, а malzilla может использовать прокси. Источник, из которого получены веб-страницы и заголовки HTTP, показан malzilla.

13. Волатильность

Артефакты в энергозависимой памяти, также называемые ОЗУ, являются цифровыми и извлекаются с использованием инфраструктуры волатильности, и это набор инструментов.

14. APKTool

Приложения Android могут быть изменены с помощью APKTool. Ресурсы могут быть декодированы до их первоначальной формы и могут быть перестроены с необходимыми изменениями.

15. Dex2Jar

Исполняемый формат Android Dalvik можно прочитать с помощью Dex2Jar. Инструкции dex читаются в формате dex-ir и могут быть изменены на формат ASM.

16. Смали

Реализация виртуальной машины Dalvik и Android использует формат dex, и ее можно собрать или разобрать с помощью Smali.

17. PeePDF

Вредные PDF-файлы можно идентифицировать с помощью инструмента PeePDF, написанного на языке Python.

18. Песочница с кукушкой

Подозрительный анализ файла может быть автоматизирован с помощью песочницы кукушки.

19. Droidbox

Приложения Android могут быть проанализированы с помощью Droidbox.

20. Malwasm

База данных, состоящая из всех вредоносных действий, этапов анализа, может поддерживаться с помощью инструмента malwasm, и этот инструмент основан на песочнице с кукушкой.

21. Правила Яры

Классификация вредоносных программ, основанная на текстовом или двоичном коде после того, как они проанализированы инструментом Cuckoo, выполняется с помощью инструмента Yara. Основанные на шаблонах описания вредоносных программ написаны с использованием Yara. Инструмент называется Yara Rules, потому что эти описания называются правилами. Аббревиатура Yara является еще одной рекурсивной аббревиатурой.

22. Google Rapid Response (GRR)

Следы, оставленные вредоносными программами на определенных рабочих станциях, анализируются структурой Google Rapid Response. Исследователи, которые занимаются вопросами безопасности, разработали эту платформу. Целевая система состоит из агента Google Rapid Response, и агент взаимодействует с сервером. После развертывания сервера и агента они становятся клиентами GRR и облегчают исследования в каждой системе.

23. REMnux

Этот инструмент предназначен для обратного проектирования вредоносных программ. Он объединяет несколько инструментов в один, чтобы легко определить вредоносное ПО на основе Windows и Linux. Он используется для расследования вредоносных программ, основанных на браузере, проведения экспертизы памяти, анализа разновидностей вредоносных программ и т. Д. Подозрительные элементы также могут быть извлечены и декодированы с использованием REMnux.

25. Бро

Фреймворк bro мощен и основан на сети. Трафик в сети преобразуется в события, которые, в свою очередь, могут запускать сценарии. Bro похож на систему обнаружения вторжений (IDS), но его функциональные возможности лучше, чем IDS. Используется для проведения судебно-медицинской экспертизы, мониторинга сетей и т. Д.

Вывод

Анализ вредоносных программ играет важную роль в предотвращении и определении кибератак. Эксперты по кибербезопасности раньше, до пятнадцати лет, выполняли анализ вредоносных программ вручную, и это был трудоемкий процесс, но теперь эксперты по кибербезопасности могут анализировать жизненный цикл вредоносных программ с помощью инструментов анализа вредоносных программ, тем самым повышая уровень защиты от угроз.