|
|
|
Подборка программ для анализа вредоносного кода и исполняемых файлов |
[+] [обсудить] |
|
- Анализ web-сайтов: Thug, mitmproxy, Network Miner Free Edition, Burp Proxy Free Edition, Automater, pdnstool, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py;
- Анализ вредоносных Flash-роликов: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare;
- Анализ Java: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR;
- Анализ JavaScript: Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier;
- Анализ PDF: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah, qpdf, pdfresurrect;
- Анализ документов Microsoft Office: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
- Анализ Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe;
- Приведение запутанного кода в читаемый вид (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, FLOSS
- Извлечение строковых данных: strdeobj, pestr, strings;
- Восстановление файлов: Foremost, Scalpel, bulk_extractor, Hachoir;
- Определение сигнатур: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser;
- Сканирование: Yara, TrID, ExifTool, virustotal-submit, Disitool;
- Работа с хэшами: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search, VirusTotalApi;
- Анализ вредоносного ПО для Linux: Sysdig, Unhide
- Дизассемблеры: Vivisect, Udis86, objdump;
- Отладчики: Evan’s Debugger (EDB), GNU Project Debugger (GDB);
- Системы трассировки: strace, ltrace
- Investigate: Radare 2, Pyew, Bokken, m2elf, ELF Parser;
li class="l"> Работа с бинарными файлами: wxHexEditor, VBinDiff;
- Анализ дампов памяти: Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall, linux_mem_diff_tool;
- Анализ исполняемых PE-файлов UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, Bokken, RATDecoders, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
- Анализ вредоносного ПО для мобильных устройств: Androwarn, AndroGuard.
|
|
|
|
|
REMnux - Linux Distribution for Reverse-Engineering Malware |
[+] [обсудить] |
| Специализированный Linux-дистрибутив REMnux, построенный на пакетной базе Ubuntu и предназначенный для изучения и обратного инжиниринга кода вредоносных программ. REMnux позволяет обеспечить в процессе анализа условия изолированного лабораторного окружения, в котором можно сэмулировать работу определенного атакуемого сетевого сервиса для изучения поведения вредоносного ПО в условиях приближенных к реальным. Другой областью применения REMnux является изучение свойств вредоносных вставок на web-сайтах, реализованных на JavaScript, Java или Flash.
В комплект дистрибутива включена достаточно полная подборка инструментов для анализа вредоносного ПО, утилит для проведения обратного инжиниринга кода, программ для изучения модифицированных злоумышленниками PDF и офисных документов, средств мониторинга активности в системе. Размер загрузочного образа REMnux, оптимизированного для запуска внутри систем виртуализации, составляет 578 Мб.
Пользовательский интерфейс дистрибутива построен на базе Enlightenment. В качестве web-браузера поставляется Firefox с дополнениями NoScript, JavaScript Deobfuscator и Firebug. В комплект входят следующие инструменты:
- Анализ вредоносных Flash-роликов: swftools, flasm, flare;
- Анализ IRC-ботов: IRC-сервер Inspire IRCd) и IRC-клиент (Irssi);
- Мониторинг сетевой активности: Wireshark, Honeyd, INetSim, fakedns, скрипты fakesmtp, NetCat;
- Приведение запутанного JavaScript кода в читаемый вид (deobfuscation): JavaScript Deobfuscator, отладчик Rhino, две модифицированные версии SpiderMonkey, Windows Script Decoder, Jsunpack-n;
- Слежение за вредоносным ПО в лабораторных условиях: http-сервер TinyHTTPd и прокси Paros proxy
- Анализ shell-кода: gdb, objdump, Radare (hex editor+disassembler), shellcode2exe
- Разбор защищенных исполняемых файлов: upx, packerid, bytehist, xorsearch, TRiD;
- Анализаторы PDF-файлов: Didier's PDF tools, Origami framework, Jsunpack-n, pdftk;
- Исследование остаточного содержимого памяти: Volatility Framework;
- Дополнительные пакеты: unzip, strings, ssdeep, просмотрщик изображений feh, текстовый редактор SciTE, OpenSSH.
|
|
|
|
|
|
SquidClamAV Redirector |
(Версия: 6.11 от 2014-03-13) [+] [есть мнение] |
| Редиректор для прокси сервера Squid, предназначенный для вырезания вирусов из транзитного трафика, используя антивирусный пакет ClamAV. Написан на языке Python.
squidclam - небольшой и быстрый редиректор на Си для замены SquidClamAV-Redirector.py, использует libclamav и libcurl. |
|
|
|
|
Viralator - virus scanner for squid |
[+] [есть мнение] |
| Perl скрипт для проверки транзитно, скачиваемых через прокси сервер squid, файлов на предмет заражения вирусами. Перенаправление запросов на скрипт осуществляется путем использования редиректора squirm (с помощью squirm можно организовать переброс запросов наиболее часто скачиваемых файлов на локальный миррор). |
|
|
|
|
|
ClamAV (Clam AntiVirus) - GPL anti-virus toolkit for UNIX |
(Версия: 20051001 от 2005-10-03) [+] [обсудить] |
| Открытый антивирусный пакет для проверки на вирусы пересылаемых посредством электронной почты или в файловых архивах. Состоит из многопоточного демона, утилиты-сканера для проверки из командной строки. В базе около 10000 вирусов, червей и троянских программ. Имеются средства для автоматического обновления базы через Интернет. Поддерживает архивы RAR (2.0), Zip, Gzip, Bzip2, может проверять вирусы прямо в mailbox или maildir.
clamfilter - небольшой контент-фильтр между Postfix и ClamAV, на Си; |
|
|
|
|
|
File::Scan - Perl extension for Scanning files for Viruses (доп. ссылка 1) |
[+] [обсудить] |
| Модуль File::Scan может использоваться как многоплатформенный интерфейс для написания сканера для обнаружения Windows/DOS/Mac вирусов (присутствует CLI утилита для поиска вирусов в файле). В комплект также входит небольшая база сигнатур вирусов, которую удобно использовать, например, при написании фильтров для блокировки почты.
|
|
|
|
|
|
OpenAntiVirus - integrative platform to virus protection
|
[+] [обсудить] |
| Открытый антивирусный пакет для сканирования почты и файловых архивов на предмет наличия вирусов. Пакет состоит из следующих программ:
PatternFinder/ScannerDaemon - система для поиска и уничтожения вирусов,
Virus-Signatures - постоянно обновляемая база сигнатур вирусов,
samba-vscan - модуль для автоматической проверки вирусов встраиваемый в samba, Mail Virus Scanner - система проверки почты, httpf - прокси для проверки файлов перекачиваемых по HTTP. |
|
|
|
|
AMaViS - A Mail Virus Scanner |
[+] [обсудить] |
| Программа-фильтр для разбиения письма на части и осуществления проверок путем обращения к антивирусу или системе блокирования спама, при блокировании письма позволяет генерировать письмо-уведомление.
Для уменьшения нагрузки может работать в качестве демона. Так как для проверки используются уже разобранные части письма, антивирусному и антиспам ПО работает с готовыми блоками, что значительно компенсирует потерю производительности из-за реализации фильтра на скриптовом языке (Perl).
amavisd-new - переписанная версия amavisd, отличающаяся повышенной производительностью (рекомендуется использовать);
amavis-ng - модульная версия amavisd от оригинальной команды разработчиков, отличается более гибким процессом управления конфигурацией.
myAmavis - web-интерфейс для конфигурации amavisd-new. Поддерживает ведение базы индивидуальных настроек для отдельных адресов, имеет средства для управления соедержимым карантинного хранилища, позволяет просмотреть статистику по фильтрации спама и вирусов. |
|
|
|
|
DSI - Distributed Security Infrastructure |
[+] [обсудить] |
| Модуль для Linux ядра и набор утилит реализующих идею использования цифровых подписей для защиты целостности исполняемых файлов (на данной системе, могут исполняться только подписанные файлы, что исключает возможность появления вирусов и троянских программ). |
|
|
|
|