Einführung in die Tools zur Malware-Analyse
Die Vorteile der Verwendung von Computern für offizielle und persönliche Zwecke sind vielfältig, aber auch die Betrugsfälle im Internet bergen Gefahren. Solche Betrügereien werden als Cyberkriminelle bezeichnet. Sie stehlen unsere Identität und andere Informationen, indem sie schädliche Programme namens Malware erstellen. Der Prozess der Analyse und Bestimmung des Zwecks und der Funktionalität der Malware wird als Malware-Analyse bezeichnet. Malware besteht aus böswilligen Codes, die mit wirksamen Methoden erkannt werden sollen, und Malware-Analyse wird verwendet, um diese Erkennungsmethoden zu entwickeln. Eine Malware-Analyse ist auch wichtig, um Tools zum Entfernen von Malware zu entwickeln, nachdem die Schadcodes erkannt wurden.
Malware-Analyse-Tools
Einige der Tools und Techniken zur Malware-Analyse sind nachfolgend aufgeführt:
1. PEiD
Cyberkriminelle versuchen, ihre Malware so zu packen, dass es schwierig ist, sie zu bestimmen und zu analysieren. Eine Anwendung, die zur Erkennung solcher gepackter oder verschlüsselter Malware verwendet wird, ist PEiD. User dB ist eine Textdatei, aus der die PE-Dateien geladen werden, und 470 Formen unterschiedlicher Signaturen in den PE-Dateien können von PEiD erkannt werden.
2. Abhängigkeitsläufer
Die Module von 32-Bit- und 64-Bit-Fenstern können mit einer Anwendung namens Dependency Walker gescannt werden. Die Funktionen des Moduls, die importiert und exportiert werden, können mit dem Abhängigkeits-Walker aufgelistet werden. Die Dateiabhängigkeiten können auch mit einem Abhängigkeitsassistenten angezeigt werden, wodurch der erforderliche Dateisatz auf ein Minimum reduziert wird. Die in diesen Dateien enthaltenen Informationen wie Dateipfad, Versionsnummer usw. können auch mit dem Abhängigkeits-Walker angezeigt werden. Dies ist eine kostenlose Anwendung.
3. Resource Hacker
Die Ressourcen aus den Windows-Binärdateien können mit einer Anwendung namens Resource Hacker extrahiert werden. Das Extrahieren, Hinzufügen und Ändern von Ressourcen wie Zeichenfolgen, Bildern usw. kann mit dem Ressourcen-Hacker erfolgen. Dies ist eine kostenlose Anwendung.
4. PEview
Die Dateiheader von tragbaren ausführbaren Dateien bestehen aus Informationen zusammen mit den anderen Abschnitten der Datei. Auf diese Informationen kann mit einer Anwendung namens PEview zugegriffen werden. Dies ist eine kostenlose Anwendung.
5. FileAlyzer
FileAlyzer ist auch ein Tool, mit dem Sie auf die Informationen in den Dateiköpfen von tragbaren ausführbaren Dateien sowie auf die anderen Abschnitte der Datei zugreifen können. FileAlyzer bietet jedoch im Vergleich zu PEview mehr Features und Funktionen. Einige der Funktionen sind VirusTotal für die Analyse akzeptiert die Malware von der Registerkarte VirusTotal und Funktionen entpacken UPX und andere Dateien, die gepackt werden.
6. SysAnalyzer Github Repo
Die verschiedenen Aspekte der Systemzustände und Prozesszustände werden mithilfe einer Anwendung namens SysAnalyzer überwacht. Diese Anwendung wird zur Laufzeitanalyse verwendet. Die von der Binärdatei auf dem System ausgeführten Aktionen werden von den Analysten mithilfe von SysAnalyzer gemeldet.
7. Regshot 1.9.0
Regshot ist ein Dienstprogramm, das die Registrierung vergleicht, nachdem die Systemänderungen mit der Registrierung durchgeführt wurden, bevor sich das System ändert.
8. Wireshark
Die Analyse der Netzwerkpakete erfolgt über Wireshark. Die Netzwerkpakete werden erfasst und die in den Paketen enthaltenen Daten werden angezeigt.
9. Robtex Online Service
Die Analyse von Internetprovidern, Domains und der Struktur des Netzwerks erfolgt mit dem Robtex Online Service Tool.
10. VirusTotal
Die Analyse von Dateien, URLs zur Erkennung von Viren, Würmern usw. erfolgt mit dem VirusTotal-Dienst.
11. Mobile-Sandbox
Die Malware-Analyse des Android-Betriebssystems Smartphones erfolgt mit Mobile-Sandbox.
12. Malzilla
Die bösartigen Seiten werden von einem Programm namens Malzilla untersucht. Mit malzilla können wir unseren User Agent und Referrer auswählen und malzilla kann Proxies verwenden. Die Quelle, von der die Webseiten und HTTP-Header abgeleitet sind, wird von malzilla angezeigt.
13. Volatilität
Die Artefakte im flüchtigen Speicher, die auch als RAM bezeichnet werden und digital sind, werden mithilfe des Volatility-Frameworks extrahiert. Dabei handelt es sich um eine Sammlung von Tools.
14. APKTool
Android-Apps können mit APKTool rückentwickelt werden. Die Ressourcen können in ihre ursprüngliche Form decodiert und mit den erforderlichen Änderungen neu erstellt werden.
15. Dex2Jar
Das ausführbare Android-Dalvik-Format kann mit Dex2Jar gelesen werden. Die dex-Anweisungen werden im dex-ir-Format gelesen und können in das ASM-Format geändert werden.
16. Smali
Die Implementierung der virtuellen Maschine von Dalvik und Android verwendet das Dex-Format und kann mit Smali zusammen- oder auseinandergesetzt werden.
17. PeePDF
Schädliche PDF-Dateien können mithilfe des in Python geschriebenen PeePDF-Tools identifiziert werden.
18. Kuckucksandkasten
Die Analyse verdächtiger Dateien kann mithilfe der Kuckucksandbox automatisiert werden.
19. Droidbox
Die Anwendungen von Android können mit Droidbox analysiert werden.
20. Malwasm
Die Datenbank besteht aus allen Malware-Aktivitäten, die Analyseschritte können mit dem Malwasm-Tool gepflegt werden und dieses Tool basiert auf der Kuckucksandbox.
21. Yara-Regeln
Die Klassifizierung von Malware, die auf Text oder Binärdateien basiert, nachdem sie vom Tool Cuckoo analysiert wurden, wird vom Tool Yara vorgenommen. Musterbasierte Beschreibungen von Malware werden mit Yara geschrieben. Das Tool heißt Yara Rules, da diese Beschreibungen als Regeln bezeichnet werden. Die Abkürzung von Yara ist ein weiteres rekursives Akronym.
22. Google Rapid Response (GRR)
Die von Malware an bestimmten Arbeitsplätzen hinterlassenen Spuren werden vom Google Rapid Response-Framework analysiert. Die Forscher von security ate google haben dieses Framework entwickelt. Das Zielsystem besteht aus einem Agenten von Google Rapid Response und der Agent interagiert mit dem Server. Nachdem der Server und der Agent bereitgestellt wurden, werden sie zu Clients von GRR und erleichtern die Untersuchung der einzelnen Systeme.
23. REMnux
Dieses Tool wurde entwickelt, um Malware rückgängig zu machen. Es kombiniert mehrere Tools zu einem, um die Malware auf Windows- und Linux-Basis zu ermitteln. Es wird verwendet, um die Malware zu untersuchen, die auf einem Browser basiert, Forensik im Speicher durchzuführen, verschiedene Malware-Arten zu analysieren usw. Die verdächtigen Elemente können auch mit REMnux extrahiert und dekodiert werden.
25. Bro
Das Framework von bro ist mächtig und basiert auf einem Netzwerk. Der Verkehr im Netzwerk wird in Ereignisse umgewandelt, die wiederum die Skripte auslösen können. Bro ist wie ein Intrusion Detection System (IDS), aber seine Funktionen sind besser als die des IDS. Es wird zur forensischen Untersuchung, Überwachung von Netzwerken usw. verwendet.
Fazit
Die Malware-Analyse spielt eine wichtige Rolle bei der Vermeidung und Ermittlung von Cyber-Angriffen. Die Cybersicherheitsexperten führten die Malware-Analyse vor fünfzehn Jahren manuell durch. Dies war ein zeitaufwändiger Prozess. Jetzt können die Cybersicherheitsexperten den Lebenszyklus von Malware mithilfe von Malware-Analysetools analysieren und so die Bedrohungsinformationen verbessern.
Empfohlener Artikel
Dies ist eine Anleitung zu Malware Analysis Tools. Hier besprechen wir einige der am häufigsten verwendeten Tools wie PEiD, Dependency Walker, Resource Hacker usw. Sie können auch unsere anderen Artikel durchgehen, um mehr zu erfahren -
- Was brauchen wir Beta-Tests?
- Einführung in Code Coverage Tools
- Top 10 erfolgreiche Cloud-Test-Tools
- 7 Verschiedene IPS-Tools zur Systemverhütung