Die Infektion durch Malware ist einfach. Sie müssen nur eine verdächtige Datei öffnen oder eine bösartige Website besuchen und boom, Ihr Computer ist infiziert. Auf der anderen Seite ist das Analysieren und Reverse-Engineering von Malware eine sehr schwierige Aufgabe, die nur Experten mit spezialisierten Tools ausführen können. Wenn Sie neugierig auf die Funktionsweise von Malware sind, gibt es eine Linux-Distribution, die mit allen erforderlichen Tools zur Analyse von Malware ausgestattet ist.

REMnux ist eine leichtgewichtige Linux-Distribution, die es Ihnen ermöglicht, Malware-Analysen durchzuführen oder sogar die Malware rückzuentwickeln, um herauszufinden, wie sie funktioniert.

REMnux wird am besten in einer isolierten Umgebung wie einer virtuellen Maschine oder Live-CD verwendet, damit die Malware den Hauptcomputer nicht verletzt. Es kommt im OVF / OVA-Format, in dem Sie einfach in Ihre virtuelle Maschine wie VirtualBox oder VMware importieren können. Es gibt auch ein ISO-Image, mit dem Sie eine CD brennen und auf Ihrem Computer booten können.

REMnux basiert auf Ubuntu und kommt mit LXDE Desktop, hauptsächlich wegen seines geringen Speicherbedarfs. Beim ersten Durchlauf haben Sie möglicherweise keine Ahnung, was REMnux kann und welche Art von Werkzeugen enthalten ist. Das Auschecken des Anwendungsmenüs ist ebenfalls nicht hilfreich, da die meisten Tools kommandozeilenbasiert sind und nicht im Menü angezeigt werden. Ein guter Einstieg ist es, die "REMnux-Tipps" auf dem Desktop durchzugehen. Dies gibt Ihnen einen Überblick darüber, was REMnux kann und die Anweisungen zur Durchführung der Analyse.

Dinge, die REMnux kann:

Analysieren Sie Netzwerk-Malware

In REMnux gibt es mehrere netzwerkbezogene Tools, mit denen Sie das Netzwerk problemlos nach Malware-Aktivitäten durchsuchen können. Wireshark ist ein Netzwerk-Protokoll-Analysator und eignet sich perfekt zum Betrachten Ihrer Netzwerkaktivitäten auf einer mikroskopischen Ebene. Honeyd, Stunnel und FakeDNS sind nützlich für die Erstellung virtueller Container, um eine unendliche Anzahl von Computernetzwerken zu simulieren und die perfekte Testumgebung für Malware-Analysen zu schaffen.

Analysieren Sie bösartige Websites

Der Firefox-Browser in REMnux enthält viele nützliche Erweiterungen, die vorinstalliert sind, um Sie bei der Analyse bösartiger Websites zu unterstützen. Firebug, Javascript deobfuscator, manipulieren Daten und User Agent Switcher sind nur einige von ihnen, die es Ihnen leicht machen, das Funktionieren einer bösartigen Website zu überprüfen.

Analysieren Sie bösartige Dateien

Wenn Sie eine PDF-Datei oder ein Microsoft Office-Dokument haben, von dem Sie glauben, dass es infiziert ist, können Sie die Dokumente mit Tools wie PDF Walker, pyOLEScanner usw. scannen. Es gibt auch den PEScanner und SCTest zum Scannen von ausführbaren Dateien und Shellcode.

Der Volatilitätsspeicher Forsenic Framework ist ebenfalls in REMnux enthalten und gibt Ihnen einen Einblick in den Laufzeitstatus des Systems. Es kann versteckte Prozesse erkennen, alle Prozesse auflisten, einen Registrierungsschlüssel anzeigen oder sogar Malware finden und extrahieren.

Fazit

Das Gute an REMnux ist, dass es die meisten Tools enthält, die Sie zur Analyse von PDF, Flash, Javascript und anderer Malware benötigen. Sie können diese Tools natürlich auf Ihrer aktuellen Distribution installieren, aber das erfordert viel Zeit und Konfiguration. Mit REMnux booten Sie es einfach und Sie können es sofort ausführen. Eine Sache, REMnux ist nicht für alle gedacht. Bereite dich darauf vor, deine Hände schmutzig zu machen, da die meisten Tools auf Kommandozeilen basieren.