REMnux

REMnux är ett open source Ubuntu-baserade Linuxdistribution särskilt utformade för malware analytiker som letar efter ett gratis alternativ operativsystemet till Microsoft Windows, så för dem att reverse-engineering skadlig programvara.

Viktiga funktioner inkluderar möjligheten att undersöka webbläsare malware, hantering av nätverksinteraktioner, avkoda och extrahera artefakter, granska dokumentfiler, undersöka Linux malware, statiskt undersöka PE-filer, undersöka filegenskaper och innehållet, bearbeta flera prover, undersöka minnesbilder samt att redigera och visa ett stort antal filer.

Operativsystemet kan laddas ner som en enda live-DVD ISO bild som stöder både 32-bitars och 64-bitars hårdvaruplattformar och måste skrivas på DVD-skivor eller USB-minnen från 2 GB eller högre kapacitet i syfte att starta upp från BIOS på en PC, samt en virtuell tillämpning arkiv (OVA) för VirtualBox och VMware virtualisering programvara.

Det finns en standard boot loader som kan hittas på ett brett utbud av Linux-distributioner baserade på Ubuntu, så att användaren kan starta levande miljö med standardalternativen eller i felsäkert grafikläget genom att tvinga VESA framebuffer, utföra en systemminne (RAM) testa och starta ett befintligt operativsystem från den första skivan.

Som standard är det Live CD konstruerad för att öppna ett terminal från get-go. Den använder Lightweight X11 Desktop Environment (LXDE) med en mörk konstverk och en enda panel som ligger på den nedre kanten av skärmen, där användaren kan komma åt programmen och interagera med program som körs.

Bland de förinstallerade program, kan vi nämna SciTE textredigerare, wxHexEditor hex editor, Wireshark nätverksskanner XMind mindmapping verktyg, SQLite Database Browser, Mozilla Firefox webbläsare och LXMusic musikspelare.

Sammanfattningsvis är REMnux definitivt inte en Linux-distribution för den vanliga användaren. Den är baserad på en äldre, som inte stöds version av Ubuntu (11.10 - Oneiric Ocelot)., Men levererar en snygg samling av andra användbara funktioner som hjälper malware analytiker att vända-ingenjör skadlig programvara

Vad är nytt i den här versionen:

• Jag är glad över att tillkännage v6 frisläppandet av REMnux distro som hjälper analytiker undersöker malware med hjälp av gratis verktyg i en Linuxmiljö. REMnux v6 uppdaterar de verktyg som fanns i de tidigare revideringar av distro och introducerar flera nya. Dessutom genomför det stora arkitektoniska förändringar bakom kulisserna för att tillåta REMnux användare att enkelt tillämpa framtida uppdateringar utan att behöva ladda ner hela REMnux miljön från scratch.
• Hämta REMnux v6:
• Det enklaste sättet att få den senaste REMnux fördelningen är att ladda ner den virtuella maskinen OVA-fil, importera den till din favorit virtualisering program som t.ex. VMware Workstation och VirtualBox sedan. Efter att ha startat den importerade virtuella maskinen, kör & quot; update-remnux fullständig & quot; kommandot för att uppdatera sin programvara. För detaljerade instruktioner, se REMnux installationsanvisning.
• Alternativt kan du lägga till REMnux distributioner till en befintlig fysisk eller virtuell system som körs en kompatibel version av Ubuntu, inklusive Sålla Workstation. Du kan åstadkomma detta genom att köra REMnux installationsskriptet som förklaras i dokumentationen.
• När du har installerat REMnux v6, kommer du att kunna få uppdateringar genom att köra & quot; update-remnux & quot; kommando. Följ REMnux konton på Twitter, Facebook och Google Plus att få meddelanden när dess malware analyspaket uppdateras eller när nya läggs till verktygslådan.
• Verktyg tillförts REMnux v6:
• REMnux v6 innehåller följande verktyg som inte har varit en del av fördelningen i tidigare versioner.
• pedump, readpe.py: Statiskt undersöka egenskaperna för en Windows PE-fil
• Virustotal-tools: Interagera med Virustotal databasen från kommandoraden
• Nginx: webbserver, som ersätter Tiny HTTPD som var närvarande på REMnux tidigare
• VolDiff: Jämför minneskriminal bilder för att upptäcka ändringar med Volatilitet
• Regel Redaktör: Redigera IOK Yara, Snort och OpenIOC regler, som ersätter sin föregångare Yara Editor
• Rekall: Minneskriminalteknik verktyg och ramverk
• m2elf: Skapa en ELF binär fil av Shellcode
• Yara Regler: signaturer för att upptäcka skadliga egenskaper i filer
• OfficeDissector MASTIFF plugins: Undersök Microsoft Office XML-baserade filer med MASTIFF
• Docker: Kör program som isolerade containrar på den lokala värden
• AndroGuard: Analysera misstänkta Android-program
• vtTool: Bestäm provet s malware efternamn genom att fråga Virustotal
• oletools, libolecf: Analysera Microsoft Office OLE2 filer
• tcpflow: Undersök nätverkstrafik och rista PCAP fånga filer
• passive.py: Utför passiv DNS-uppslagningar använder pdns biblioteket
• CapTipper: Undersöka nätverkstrafik och tälja PCAP fånga filer
• oledump: Undersök misstänkta Microsoft Office-filer
• CFR: Dekompilera misstänkta Java klassfiler
• update-remnux: Uppdatera distro, uppgradera sin programvara och installerar nyligen lagt verktyg
• REMnux v6 innehåller även följande bibliotek som mjukvaruutvecklare kan använda för att bygga nya skadliga analysverktyg och uppgifter.
• IOC Kompositör: Python-bibliotek för att skapa och redigera OpenIOC objekt
• Cybox: Python-bibliotek för att analysera, manipulera, och generera CybOX innehåll
• diStorm3, Capstone: Python-bibliotek för demontering binära filer
• pylibemu: Python-bibliotek för att komma åt libemu Shellcode emulering funktionalitet
• Yara Library: Python-bibliotek för att identifiera och klassificera skadlig kod prover
• olefile: Python-bibliotek för att läsa / skriva Microsoft Office OLE2 filer
• PyV8: Python wrapper bibliotek för V8 JavaScript-motorn
• pyssdeep: Python wrapper bibliotek för ssdeep fuzzy hash verktyg
• pyexiftool: Python wrapper bibliotek för ExifTool
• OfficeDissector: Python-bibliotek för misstänkta Microsoft Office XML-baserade filer
• pdns: Python-bibliotek för att utföra passiva DNS-uppslagningar
• Javassist: Java-bibliotek som hjälper till med att undersöka Java bytekod
• En lista över de skadliga analys verktyg tillgängliga på REMnux, se dess dokumentation webbplats, som innehåller ett kalkylblad och ett sinne karta över verktygen och erbjuder några användningstips.
• Uppdaterad REMnux Architecture:
• Ett viktigt mål av v6 frisläppandet av REMnux, bortom uppgradera och utöka verktygssats är att modernisera distro stiftelse med bibehållen välbekant utseende och känsla. Personer med insyn i tidigare versioner REMnux bör kunna använda miljön utan att behöva justera sina vanor. Viktigast kan REMnux v6 användare få framtida uppdateringar av distro använder & quot; update-remnux & quot; script utan att behöva ladda ner en helt ny virtuell maskin för att göra uppgraderingar.
• För att uppnå dessa mål är REMnux v6 baserad på Ubuntu 14.04 64-bit. Det är en populär och stabilt operativsystem som kommer att vara kvar ett tag, eftersom det är ett långsiktigt Support (LTS) release. Dessutom bygger REMnux nu starkt på Debian-paket som erbjuds i sitt förvar för att underlätta smidiga uppdateringar.
• Som ett resultat, REMnux kan installeras på alla nya eller existerande system som kör Ubuntu 14.04 64-bitars, oavsett om det är en fysisk eller virtuell maskin. Den här versionen är utformad för att vara kompatibel med sålla Workstation, så att människor kan installera båda distributioner på samma system, om de så önskar.

Vad är nytt i version 5.0:

• Nyckel uppdateringar av befintliga verktyg och komponenter:
• Core-systemet: Uppgraderad de underliggande Ubuntu OS komponenter och paket; ökad standard RAM av den virtuella apparaten till 512; ersatt OpenJDK med Oracle Java 7 runtime.
• Minne analys. Uppdaterad Flyktig till version 2.2
• PDF-analys: Uppdaterad pdfid och pdf-parser, Origami, peepdf
• Webbanalys: Uppdaterad SWFTools, V8, libemu, Network, Burp proxy, Wireshark, Firefox och dess tillägg
.
• Andra förändringar: Uppdaterad xorsearch, DensityScout, Pyew, passiv-dns, ClamAV, capabilities.yara; ersättas Freemind med XMind
• Nya verktyg läggs till REMnux:
• Windows verktyg: Installerad vin; extra OfficeMalScanner, Malzilla
• XOR analys: Lade NoMoreXOR, brutexor, XORBruteForcer
• PE-fil analys: Inkom pEV, dism-detta ExeScan, udis86 (udcli), autorule (/ usr / local / autorule), distool
• Andra fil analys: Inkom extract_swf.py, ExifTool, MASTIFF
• Andra tillägg: Lades hacka-funktioner (/ usr / local / hacka-funktioner), bulk_extractor, ProcDot

Vad är nytt i version 3.0:

• REMnux byggdes vara baserad på Ubuntu 11.10 för att förbättra underhåll , samtidigt som bakåtkompatibilitet är praktiskt möjligt.
• skrivbordsmiljö på REMnux har migrerat att använda LXDE för förbättrad användbarhet, samtidigt som den lätt karaktären av distributionen.
• De skadliga analysverktyg som finns i den tidigare versionen av REMnux har uppgraderats till den senaste stabila versioner för att tillhandahålla de senaste funktionerna och förbättringarna. De mest betydande uppdateringar inkluderar:
• Volatilitet Framework 2.0 för minneskriminalteknik med de senaste malware och timeliner moduler
• Origami Framework 1.2.3 för PDF-analys, inklusive pdfcop, pdfextract, pdfwalker, pdfsh, etc.
• REMnux innehåller flera skadliga analysverktyg som inte var närvarande i tidigare versioner av distribution, inklusive:
• Nätverksanalys: Network, ngrep, pdnstool
• PDF-analys: PDF X-Ray Lite (pdfxray_lite och swf_mastah), peepdf
• JavaScript analys: Chrome JavaScript-motor (d8), js-försköna
• Undersöka filer: hachoir (hachoir-subfile, hachoir-metadata, hachoir-urwid), pyew, densityscout, findaes
• Övrigt: JD-GUI, xxxswf.py, freemind, xpdf, xortool