Introduktion till verktyg för analys av skadlig programvara
Fördelarna med att använda datorer för officiella och personliga ändamål är många, men det finns också hot av bedrägerier som fungerar online. Sådana bedrägerier kallas cyberbrottslingar. De stjäl vår identitet och annan information genom att skapa skadliga program som kallas skadlig programvara. Processen att analysera och bestämma skadlig programmets syfte och funktionalitet kallas skadlig analys. Malware består av skadliga koder som ska upptäckas med effektiva metoder och analys av skadlig programvara används för att utveckla dessa detekteringsmetoder. Malware-analys är också viktigt för att utveckla verktyg för borttagning av skadlig programvara efter att skadliga koder har upptäckts.
Verktyg för analys av skadlig programvara
Några av verktyg och tekniker för skadlig analys är listade nedan:
1. PEiD
Cybercriminals försöker packa sin malware så att det är svårt att fastställa och analysera. En applikation som används för att upptäcka sådan packad eller krypterad skadlig kod är PEiD. Användare dB är en textfil från vilken PE-filerna laddas och 470 former av olika signaturer i PE-filerna kan upptäckas av PEiD.
2. Beroende Walker
Modulerna för 32-bitars och 64-bitarsfönster kan skannas med ett program som kallas Dependency walker. Modulens funktioner som importeras och exporteras kan listas ut med beroende-rullator. Filberoenden kan också visas med hjälp av en beroende-rullator och detta reducerar den uppsättning filer som krävs till ett minimum. Informationen i dessa filer som filsökväg, versionnummer osv. Kan också visas med beroende-rullator. Detta är en gratis applikation.
3. Resurshacker
Resurserna från windows-binärerna kan extraheras med ett program som heter Resource Hacker. Extraktion, tillägg, modifiering av resurser som strängar, bilder etc. kan göras med hjälp av resurshacker. Detta är en gratis applikation.
4. PEview
Filhuvudena för bärbara körbara filer består av information tillsammans med de andra avsnitten i filen och denna information kan nås med ett program som heter PEview. Detta är en gratis applikation.
5. FileAlyzer
FileAlyzer är också ett verktyg för att få åtkomst till informationen i filhuvuden för bärbara körbara filer tillsammans med de andra avsnitten i filen, men FileAlyzer ger fler funktioner och funktioner jämfört med PEview. Några av funktionerna är VirusTotal för analys accepterar skadlig programvara från fliken VirusTotal och funktioner packar upp UPX och andra filer som är packade.
6. SysAnalyzer Github Repo
De olika aspekterna av systemtillstånd och processtillstånd övervakas med hjälp av en applikation som heter SysAnalyzer. Denna applikation används för runtime-analys. De åtgärder som vidtagits av det binära i systemet rapporteras av analytikerna som använder SysAnalyzer.
7. Regshot 1.9.0
Regshot är ett verktyg som jämför registeret efter att systemändringarna har gjorts med registret innan systemet ändras.
8. Wireshark
Analysen av nätverkspaket görs via Wireshark. Nätverkspaketen fångas och data som finns i paketen visas.
9. Robtex Online Service
Analysen av Internetleverantörer, domäner, strukturen i nätverket görs med hjälp av Robtex onlinetjänstverktyg.
10. VirusTotal
Analys av filer, URL: er för upptäckt av virus, maskar etc. görs med VirusTotal-tjänsten.
11. Mobil-sandlåda
Malware-analysen av smartphones med Android-operativsystem görs med mobil-sandlåda.
12. Malzilla
De skadliga sidorna utforskas av ett program som heter Malzilla. Med malzilla kan vi välja vår användaragent och referent och malzilla kan använda proxyer. Källan från vilken webbsidorna och HTTP-rubrikerna härleds visas av malzilla.
13. Flyktighet
Artefakterna i det flyktiga minnet som också kallas RAM som är digitala extraheras med Volatility-ramverket och det är en samling verktyg.
14. APKTool
Android-appar kan vara omvända med APKTool. Resurserna kan avkodas till sin ursprungliga form och kan byggas om med nödvändiga ändringar.
15. Dex2Jar
Det körbara formatet Android Dalvik kan läsas med Dex2Jar. Dexinstruktionerna läses i dex-ir-format och kan ändras till ASM-format.
16. Smali
Dalvik och Android: s virtuella maskinimplementering använder dex-formatet och det kan monteras eller sätts samman med Smali.
17. PeePDF
Skadliga PDF-filer kan identifieras med hjälp av PeePDF-verktyget skrivet på pythonspråk.
18. Gök Sandbox
Den misstänkta filanalysen kan automatiseras med hjälp av gökens sandlåda.
19. Droidbox
Applikationerna för Android kan analyseras med droidbox.
20. Malwasm
Databasen som består av alla skadliga aktiviteter, analysstegen kan upprätthållas med verktyget malwasm och detta verktyg är baserat på gökens sandlåda.
21. Yara-regler
Klassificeringen av skadlig kod som är baserad på text eller binär efter att de har analyserats med Cuckoo-verktyget görs av verktyget som heter Yara. Mönsterbaserade beskrivningar av skadlig programvara skrivs med Yara. Verktyget kallas Yara-regler eftersom dessa beskrivningar kallas regler. Yaras förkortning är Yet Another Recursive Acronym.
22. Google Rapid Response (GRR)
De fotspår som kvarlämnas av skadlig programvara på specifika arbetsstationer analyseras av Google Rapid Response-ramverket. Forskarna som tillhör säkerhet åt google har utvecklat denna ram. Målsystemet består av en agent från Google Rapid Response och agenten interagerar med servern. Efter att servern och agenten har distribuerats blir de GRR: s klienter och underlättar utredningarna på varje system.
23. REMnux
Detta verktyg är utformat för att omvända skadlig programvara. Den kombinerar flera verktyg i ett för att enkelt bestämma skadlig programvara baserat på Windows och Linux. Det används för att undersöka skadlig programvara som är baserad på en webbläsare, bedriva kriminaltekniker på minne, analysera varianter av skadlig programvara etc. De misstänkta artiklarna kan också extraheras och avkodas med REMnux.
25. Bro
Ramens ram är kraftfull och baseras på ett nätverk. Trafiken i nätverket konverteras till händelser och som i sin tur kan utlösa skript. Bro är som ett intrångsdetekteringssystem (IDS) men dess funktionaliteter är bättre än IDS. Det används för att utföra kriminalteknisk utredning, övervakning av nätverk, etc.
Slutsats
Malware-analys spelar en viktig roll för att undvika och bestämma cyberattacker. Cybersäkerhetsexperter brukade utföra malware-analysen manuellt före femton år och det var en tidskrävande process men nu kan experterna inom cybersecurity analysera livscykeln för skadlig programvara med hjälp av analysverktyg för skadlig programvara och därmed öka hotintelligensen.
Rekommenderad artikel
Detta är en guide till Malware-analysverktyg. Här diskuterar vi några av de mest använda verktygen som PEiD, Dependency Walker, Resource Hacker, etc. Du kan också gå igenom våra andra föreslagna artiklar för att lära dig mer -
- Vad behöver vi betatestning?
- Introduktion till verktyg för kodtäckning
- Topp 10 framgångsrika molntestverktyg
- 7 Olika IPS-verktyg för systemförebyggande