REMnux就是Linux的开放源代码的基于Ubuntu的发行专门针对谁是寻找一个自由选择操作系统的Microsoft Windows恶意软件分析设计的,以便他们进行反向工程恶意软件。
在功能一览
主要功能包括检查Web浏览器的恶意软件的能力,网络交互,解码和提取文物的管理,检查文档文件,研究Linux的恶意软件,静态检查PE文件,检查文件属性和内容,处理多个样本,检查内存快照,以及编辑和查看大量文件。
分布式作为一个Live DVD和虚拟设备档案
操作系统可以下载的,同时支持32位和64位硬件平台和必须写在2GB或更高容量的DVD光盘或USB闪存驱动器,以便从启动它一个活DVD ISO镜像PC机的BIOS,以及作为一个虚拟应用归档(OVA)的VirtualBox和VMware的虚拟化软件。
它配备了标准的引导装载程序,可以在广泛的基于Ubuntu的Linux发行版中找到,允许用户开始使用默认选项,或在安全图形模式下通过强制VESA帧缓冲的现场环境,进行系统内存(RAM)的测试,并且从第一盘引导现有操作系统
最小,快速,高效的桌面环境搭载LXDE
默认情况下,Live CD的设计是开放从一开始走的终端模拟器。它使用轻量级X11桌面环境(LXDE)与暗的艺术品和位于屏幕的底部边缘,从那里,用户可以访问应用程序或者与正在运行的程序进行交互。
的单一面板在预装的应用程序,我们可以提到赛特文本编辑器,wxHexEditor十六进制编辑器,Wireshark的网络扫描仪,XMind的思维导图工具,SQLite数据库浏览器,Mozilla的Firefox网页浏览器,并LXMusic音乐播放器。
底线
综上,REMnux绝对不是一个Linux发行版的普通用户。它是基于Ubuntu(11.10 - 解梦山猫)较旧,不支持的版本,而是提供了一个整洁的收藏等实用功能,将帮助恶意软件分析师进行反向工程恶意软件
什么是此版本的新:
- 在我很高兴地宣布REMnux发行,这有助于分析检查恶意软件使用免费的实用程序的V6版本Linux环境。 REMnux V6更新了存在于发行版的早期版本的工具,并引入了一些新的。此外,它实现的幕后主要架构的变化,让REMnux用户能够轻松应用未来的更新,而不必从头开始下载完整REMnux环境。
- 获取REMnux V6:
- 要获得最新REMnux分布最简单的方法就是下载它的虚拟设备OVA文件,然后将其导入自己喜欢的虚拟化应用程序如VMware Workstation和VirtualBox。开始导入虚拟机后,运行[更新-remnux全"命令来更新其软件。有关详细说明,请参阅REMnux安装说明。
- 另外,您可以添加REMnux发行到正在运行一个兼容版本的Ubuntu,包括SIFT工作站现有的物理或虚拟系统。您可以通过运行REMnux安装脚本,如文档中说明实现这一目标。
- 在安装REMnux V6之后,你就可以通过运行&QUOT得到更新;更新-remnux"命令。按照REMnux帐户在Twitter,Facebook和谷歌加收到通知时,它的恶意软件分析软件包更新或者新添加到工具包。
- 工具添加到REMnux V6:
- REMnux V6包括尚未分配的一部分,在早期版本中使用以下工具。
- pedump,readpe.py:静态检查在Windows PE文件的属性
- virustotal-工具:互动与在命令行中VirusTotal数据库
- Nginx的:Web服务器,它取代微小的httpd,这是存在于REMnux早期
- VolDiff:比较内存取证图像发现用波动率的变化
- 在规则编辑器:编辑IOC亚拉,Snort和OpenIOC规则,取代其前身亚拉编辑器
- Rekall可:内存取证工具和框架
- m2elf:创建一个ELF二进制文件出来的shellcode
- 在亚拉规则:为察觉的文件中的恶意特征签名
- OfficeDissector獒插件:检查使用獒的Microsoft Office基于XML的文件
- 泊坞窗:在本地主机上运行的应用程序作为单独的容器
- AndroGuard:分析可疑的Android应用程序
- vtTool:通过查询VirusTotal确定样本的恶意软件系列名称
- oletools,libolecf:分析的Microsoft Office OLE2文件
- tcpflow:检查网络流量和雕刻PCAP捕获文件
- passive.py:使用PDNS库进行被动的DNS查询
- CapTipper:检查网络流量和雕刻PCAP捕获文件
- oledump:检查可疑的Microsoft Office文件
- CFR:可疑反编译Java类文件
- 更新 - remnux:更新的发行版,升级其软件并安装新增的工具
- REMnux V6还包括以下内容库,软件开发人员可以使用的建设新的恶意软件分析工具和任务。
- 国际奥委会作家:Python库,用于创建和编辑OpenIOC对象
- Cybox:Python库进行解析,操纵,并产生CybOX含量
- diStorm3,凯普斯:Python库拆卸的二进制文件
- pylibemu:Python库访问libemu shellcode的仿真功能
- 在亚拉库:Python库来识别和分类的恶意软件样本
- olefile:Python库进行读/写的Microsoft Office OLE2文件
- PyV8:对于V8 JavaScript引擎Python包装库
- pyssdeep:为ssdeep模糊哈希工具的Python包装库
- pyexiftool:为ExifTool Python包装库
- OfficeDissector:Python库可疑的Microsoft Office基于XML的文件
- PDNS:Python库进行被动DNS查找
- Javassist是:Java库,以检查Java字节码 助攻
- 有关可REMnux恶意软件分析实用程序的列表,请参阅其文档的网站,其中包括一个电子表格,这些工具的思维导图,并提供了一些使用技巧。
- 更新REMnux架构:
- 的V6版本REMnux,超越升级和扩展工具集的一个主要目标,就是以现代化的发行版的基础上,同时保持了熟悉的外观和感觉。人们熟悉早期REMnux版本应该能够使用环境而无需调整他们的习惯。最重要的是,REMnux V6用户可以接收将来的更新使用&QUOT的发行,更新,remnux"无需下载一个全新的虚拟机进行升级脚本。
- 要实现这些目标,REMnux V6是基于Ubuntu 14.04 64位。这是一个流行和稳定的操作系统,这将是一段时间了,因为它是一个长期支持(LTS)版本。此外,REMnux现在严重依赖于托管在其资料库,以方便方便的更新Debian软件包。
- 结果,REMnux可以安装在运行Ubuntu 14.04 64位,不管它是一个物理机或虚拟机的任何新的或现有的系统。此版本的设计是与SIFT工作站兼容,使人们可以同时安装分发到同一个系统中,如果他们的愿望。
什么是5.0版新:
- 在关键更新现有工具和组件:
- 核心系统:升级基础的Ubuntu的操作系统组件和包;虚拟设备为512MB的增加缺省的RAM; OpenJDK的替代与Oracle的Java 7运行。
- 存储分析:更新波幅至2.2版
- 在PDF解析:更新pdfid和PDF解析器,折纸,peepdf
- 网页分析:更新SWFTools,V8,libemu,NetworkMiner,打嗝代理,Wireshark的,Firefox和及其附加 。
- 其他的变化:更新xorsearch,DensityScout,Pyew,被动DNS,ClamAV的,capabilities.yara;与XMind的更换FreeMind的
- 添加到REMnux的新工具:
- Windows工具:已安装的酒;新增OfficeMalScanner,Malzilla
- XOR分析:新增NoMoreXOR,brutexor,XORBruteForcer
- 在PE文件的分析:加PEV,DISM - 这,ExeScan,udis86(udcli),autorule(在/ usr /本地/ autorule),distool
- 在其他文件分析:新增extract_swf.py,ExifTool,MASTIFF
- 其他补充:补充下锅功能(在/ usr /本地/下锅功能),bulk_extractor,ProcDot
什么是3.0版本中新的:
- 在REMnux重建将基于Ubuntu 11.10,提高可维护性,同时保持向后兼容性在可行。
- 在REMnux桌面环境已经迁移到使用LXDE改善可用性,同时保持分布的轻巧性。
- 在REMnux的早期版本的恶意软件分析工具已经升级到最新的稳定版本,以提供最新的功能和改进。最显著更新包括:
- 在波动Framework 2.0的内存取证与最新的恶意软件和timeliner模块
- 折纸框架1.2.3 PDF分析,包括pdfcop,pdfextract,pdfwalker,pdfsh等。
- REMnux包括几个恶意软件分析工具不存在于早期版本的发行,其中包括:
- 网络分析:NetworkMiner,的ngrep,pdnstool
- PDF分析:PDF X射线精简版(pdfxray_lite和swf_mastah),peepdf
- 的JavaScript分析:Chrome浏览器的JavaScript引擎(D8),JS-美化
- 检查文件:Hachoir(hachoir-子文件,hachoir元数据,hachoir-urwid),pyew,densityscout,findaes
- 其他:JD-GUI,xxxswf.py,FreeMind的,xpdf的,xortool
评论没有发现