REMnux

REMnux ist ein Open Source Ubuntu-basierte Linux-Distribution speziell für die Malware-Analysten, die für ein freies alternatives Betriebssystem auf Microsoft Windows auf der Suche sind so konzipiert, um für sie zu Reverse-Engineering bösartiger Software.

Key Features umfassen die Möglichkeit, Web-Browser Malware zu untersuchen, Verwaltung von Netzwerkinteraktionen, decodieren und zu extrahieren Artefakte untersuchen Dokument-Dateien, zu untersuchen Linux Malware, statisch zu untersuchen PE-Dateien zu untersuchen Dateieigenschaften und Inhalte, Prozess mehrere Proben untersuchen Speicherabbilder sowie zu bearbeiten und anzuzeigen eine Vielzahl von Dateien.

Das Betriebssystem kann als ein einzelnes Live DVD-ISO-Image, die sowohl 32-Bit und 64-Bit-Hardware-Plattformen unterstützt und muss auf DVDs oder USB-Sticks von 2 GB oder höherer Kapazität, um sie aus booten geschrieben werden heruntergeladen werden das BIOS eines PC, sowie eine virtuelle Appliance-Archiv (OVA) für die VirtualBox und VMware Virtualisierungs-Software.

Es verfügt über eine Standard-Bootloader, die auf einer breiten Palette von Linux-Distributionen auf Basis von Ubuntu gefunden werden kann, so dass der Benutzer die Live-Umgebung mit den Standardoptionen oder im abgesicherten Grafikmodus, indem sie den VESA-Framebuffer zu starten, führen Sie einen Systemspeicher (RAM) Test, und starten Sie ein vorhandenes Betriebssystem von der ersten Festplatte.

In der Standardeinstellung ist die Live-CD entwickelt, um eine Terminal-Emulator aus der get-go zu öffnen. Es nutzt die Lightweight X11 Desktop Environment (LXDE) mit einer dunklen Kunstwerken und einem einzigen Panel am unteren Rand des Bildschirms, von dem aus der Benutzer die Anwendungen zugreifen oder die Interaktion mit laufenden Programme. Kann

Zu den vorinstallierten Apps, können wir SciTE Texteditor wxHexEditor Hex-Editor, Wireshark Netzwerkscanner, XMind Mind Mapping-Tool, SQLite-Datenbank-Browser Mozilla Firefox Web-Browser und LXMusic Musik-Player zu erwähnen.

Zusammenfassend ist REMnux definitiv kein Linux-Distribution für den normalen Benutzer. Es basiert auf einem älteren, nicht unterstützte Version von Ubuntu (11.10 - Oneiric Ocelot) basiert., Aber liefert eine saubere Sammlung anderer nützlicher Features, die helfen, Malware-Analysten, um Reverse-Engineering bösartiger Software werden

Was ist neu in dieser Pressemitteilung:

• Ich bin aufgeregt, um die v6 Release des REMnux Distribution, die Analysten zu prüfen Malware mit kostenlosen Utilities in hilft, bekannt zu geben eine Linux-Umgebung. REMnux v6 aktualisiert die Tools, die in den früheren Versionen der Distribution vorhanden waren, und führt mehrere neue. Darüber hinaus setzt sie bedeutenden architektonischen Veränderungen hinter den Kulissen, damit REMnux Benutzern, zukünftige Updates, ohne die volle REMnux Umgebung von Grund auf neu downloaden leicht anwenden.
• Get REMnux v6:
• Der einfachste Weg, um die neuesten REMnux Verteilung zu erhalten, ist ihre virtuelle Appliance OVA-Datei herunterzuladen, dann importieren Sie sie in Ihrem Lieblings-Virtualisierungsanwendung wie VMware Workstation und VirtualBox. Nach dem Start der importierten virtuellen Maschine laufen die & quot; update-remnux Voll & quot; zu befehlen, ihre Software zu aktualisieren. Eine ausführliche Anleitung finden Sie in REMnux Installationsanweisungen.
• Alternativ können Sie die REMnux Distribution zu einem vorhandenen physischen oder virtuellen System, auf denen eine kompatible Version von Ubuntu, einschließlich SIFT Arbeitsstation hinzuzufügen. Sie können dies, indem Sie das Installationsskript REMnux wie in der Dokumentation erläutert durchzuführen.
• Nach der Installation REMnux v6, hast du Zugriff auf Updates, indem Sie das & quot bekommen; update-remnux & quot; Befehl. Folgen Sie REMnux Konten auf Twitter, Facebook und Google Plus, um Benachrichtigungen zu erhalten, wenn ihre Malware-Analyse-Pakete aktualisiert werden oder wenn neue werden zu dem Toolkit hinzugefügt.
• Tools Hinzu REMnux v6:
• REMnux v6 beinhaltet die folgenden Tools, die nicht in früheren Versionen war ein Teil der Verteilung haben.
• pedump, readpe.py: Statisch untersuchen Eigenschaften eines Windows PE-Datei
• Virustotal-Werkzeuge: Interagieren Sie mit der Virustotal-Datenbank von der Befehlszeile
• Nginx: Web-Server, die Tiny HTTPD, die auf REMnux früher
vorlag ersetzt
• VolDiff: Vergleichen Speicher Forensik Bildern auf Veränderungen mit Volatility beschmutzen
• Rule Editor: Bearbeiten IOC Yara, Snort und OpenIOC Regeln ersetzt sein Vorläufer Yara Editor
• Rekall: Memory-Forensik-Tool und Rahmen
• m2elf: Erstellen Sie ein ELF Binärdatei von Shellcode
• Yara Regeln: Signaturen zum Erkennen bösartiger Eigenschaften in Dateien
• OfficeDissector MASTIFF Plugins: Untersuchen Sie Microsoft Office XML-basierte Dateien mit MASTIFF
• Docker: Führen Sie Anwendungen als isolierte Container auf dem lokalen Host
• AndroGuard: Analysieren Sie verdächtige Android Anwendungen
• vtTool: Bestimmen Sie die Probe Malware Familiennamen durch Abfragen Virustotal
• oletools, libolecf: Analysieren Sie Microsoft Office OLE2-Dateien
• tcpflow: Überprüfen Sie den Netzwerkverkehr und schnitzen PCAP Capture-Dateien
• passive.py: Führen Sie passive DNS-Lookups mit der pdns Bibliothek
• CapTipper: Überprüfen Sie den Netzwerkverkehr und schnitzen PCAP Capture-Dateien
• oledump: Untersuchen Sie verdächtige Microsoft Office-Dateien
• CFR: Decompile verdächtige Java-Klassendateien
• update-remnux: Aktualisieren Sie die Distribution, ein Upgrade seiner Software und die Installation neu hinzugefügten Tools
• REMnux v6 enthält außerdem die folgenden Bibliotheken, die Software-Entwickler für den Bau neuer Malware-Analyse-Tools und Aufgaben verwenden können.
• IOC Writer: Python-Bibliothek zum Erstellen und Bearbeiten OpenIOC Objekte
• Cybox: Python-Bibliothek für das Parsen, Manipulieren und Erzeugen CyBox Inhalte
• diStorm3, Capstone: Python-Bibliotheken zum Zerlegen von Binärdateien
• pylibemu: Python-Bibliothek für den Zugriff auf libemu Shellcode-Emulationsfunktionalität
• Yara Bibliothek: Python-Bibliothek zu identifizieren und zu klassifizieren Malware-Samples
• olefile: Python-Bibliothek zum Lesen / Schreiben von Microsoft Office OLE2-Dateien
• PyV8: Python-Wrapper-Bibliothek für die V8-JavaScript-Engine
• pyssdeep: Python-Wrapper-Bibliothek für die ssdeep Fuzzy Hashing-Tool
• pyexiftool: Python-Wrapper-Bibliothek für die ExifTool
• OfficeDissector: Python-Bibliothek, um verdächtige Microsoft Office XML-basierte Dateien
• pdns: Python-Bibliothek zur Durchführung passiver DNS-Lookups
• Javassist: Java-Bibliothek, die mit der Prüfung Java-Bytecode
unterstützt
• Eine Liste der Malware-Analyse Dienstprogramme auf REMnux erhältlich, siehe deren Dokumentation vor Ort, die eine Tabellenkalkulation und einer Mind Map der Werkzeuge umfasst und bietet einige Tipps zur Verwendung.
• Aktualisiert REMnux Architecture:
• Ein Hauptziel der v6 Freisetzung von REMnux, über die Modernisierung und den Ausbau des Werkzeug-Set, ist es, die Distribution Gründung modernisiert unter Beibehaltung der vertrauten Optik und Haptik. Menschen mit den früheren REMnux Releases vertraut sind, sollten in der Lage, die Umwelt, ohne ihre Gewohnheiten anpassen verwenden. Update-remnux & quot; am wichtigsten ist, kann REMnux v6 Nutzer zukünftige Aktualisierungen der Distribution mit Hilfe der & quot zu empfangen; Skript ohne Download eine neue virtuelle Maschine, um Upgrades durchzuführen.
• Um diese Ziele zu erreichen, wird REMnux v6 auf Ubuntu 14.04 64-Bit-basierte. Es ist ein beliebtes und stabiles Betriebssystem, das sich für eine Weile sein wird, weil es ein Long Term Support (LTS) Release. Auch REMnux stützt sich jetzt stark auf Debian-Pakete in seinem Repository auf bequeme Updates zu erleichtern statt.
• Als Ergebnis REMnux kann auf jedem neuen oder bestehenden System Ubuntu 14.04 64-bit, unabhängig davon, ob es sich um eine physische oder virtuelle Maschine installiert werden. Diese Version wurde entwickelt, mit SIFT Workstation kompatibel sein, so dass die Menschen sowohl Ausschüttungen auf demselben System zu installieren, wenn sie wollen.

Was ist neu in der Version 5.0:

• Key Aktuelles zu bestehenden Tools und Komponenten:
• Core-System: Upgrade der zugrunde liegenden Ubuntu OS-Komponenten und Verpackungen; erhöhten Ausfall RAM der virtuellen Appliance zu 512 MB; OpenJDK ersetzt mit Oracle Java Runtime 7.
• Speicheranalyse:. Aktualisiert Volatilität auf Version 2.2
• PDF-Analyse: Aktualisiert pdfid und pdf-Parser, Origami, peepdf
• Web-Analyse: Aktualisiert SWFTools, V8, libemu, Network, Burp Proxy, Wireshark, Firefox und dessen Add-ons
.
• Weitere Änderungen: Updated xorsearch, DensityScout, Pyew, passiv-dns, ClamAV, capabilities.yara; ersetzt Freemind mit XMind
• New Tools, um REMnux hinzugefügt:
• Windows-Tools: Installierte Wein; Mehr OfficeMalScanner, Malzilla
• XOR-Analyse: Added NoMoreXOR, brutexor, XORBruteForcer
• PE-Datei-Analyse: Hinzugefügt PEV, dism-dies, ExeScan, udis86 (udcli), autorule (/ usr / local / autorule), distool
• Weitere Datei-Analyse: Hinzugefügt extract_swf.py, ExifTool, MASTIFF
• Sonstige Zugänge: Hinzugefügt Hack-Funktionen (/ usr / local / hack-Funktionen), bulk_extractor, ProcDot

Was ist neu in der Version 3.0:

• REMnux wurde wieder aufgebaut, um auf Ubuntu 11.10 auf der Basis zu verbessern Wartbarkeit , während die Kompatibilität beibehalten hinten, wo immer praktisch.
• Die Desktop-Umgebung auf REMnux migriert wurde, um LXDE für verbesserte Benutzerfreundlichkeit zu verwenden, während die leichte Art der Verteilung.
• Die Malware-Analyse-Tools in der früheren Version von REMnux haben den neuesten stabilen Versionen aufgerüstet, um die neuesten Funktionen und Verbesserungen zur Verfügung. Die wichtigsten Änderungen sind:
• Die Volatilität Framework 2.0 für Speicherforensik mit den neuesten Malware und Timeliner Module
• Origami Rahmen 1.2.3 für PDF-Analyse, einschließlich pdfcop, pdfextract, pdfwalker, pdfsh, etc.
• REMnux umfasst mehrere Malware-Analyse-Tools, die in früheren Versionen der Verteilung vorhanden waren, zB:
• Netzwerkanalyse: Network, ngrep, pdnstool
• PDF-Analyse: PDF Röntgen Lite (pdfxray_lite und swf_mastah), peepdf
• JavaScript-Analyse: Chrome JavaScript-Engine (D8), js-verschönern
• Prüfungsdateien: Hachoir (hachoir-Unterdatei, hachoir-Metadaten, hachoir-urwid), pyew, densityscout, findaes
• Sonstiges: jd-gui, xxxswf.py, freemind, xpdf, xortool