Специалисты по информационной безопасности руководствуются принципом "Знай своего врага", который применим и к вредоносному ПО. Существует множество бесплатных и открытых инструментов, помогающих исследовать зловреды. Сегодня мы рассмотрим некоторые из них.
Инструменты для исследования вредоносного ПО.
Исследование зловредов.
Инструменты для исследования вредоносного ПО.
Исследование зловредов.
- VirusTotal - это бесплатный онлайн-сервис, который сканирует подозрительные файлы и URL-адреса с помощью десятков антивирусных движков и инструментов для анализа вредоносного ПО. Он позволяет пользователям быстро проверить файлы на наличие вирусов, вредоносных программ, шпионского ПО и других угроз.
- Triage - работает путем статического анализа подозрительных файлов. Он извлекает тысячи функций из файлов и использует их для обучения моделей машинного обучения, которые могут классифицировать вредоносное ПО и определять его поведение.
- FileScan.IO - это бесплатный онлайн-сканер вредоносных программ, который позволяет пользователям сканировать подозрительные файлы с использованием нескольких антивирусных движков. Он поддерживает широкий спектр форматов файлов, включая исполняемые файлы, документы, архивы и сценарии. FileScan.IO использует технологию VirusTotal для сканирования файлов.
Дистрибутивы для анализа вредоносных программ.
- REMnux - это дистрибутив Linux, специально разработанный для реагирования на инциденты и анализа вредоносных программ. Он основан на Ubuntu и включает в себя широкий спектр инструментов для цифровой криминалистики, анализа вредоносных программ и реагирования на инциденты.
- Tsurugi Linux - это дистрибутив Linux, специально разработанный для пентестинга и анализа безопасности. Он основан на Ubuntu и включает в себя широкий спектр инструментов для тестирования на проникновение, анализа уязвимостей и оценки безопасности.
Tsurugi Linux предназначен для использования пентестерами, исследователями безопасности и специалистами по ИТ-безопасности.
Комбайны и тулкиты.
- Ghidra Software Reverse Engineering Framework - это набор инструментов с открытым исходным кодом для анализа программного обеспечения. Ghidra может использоваться для выполнения широкого спектра задач по анализу программного обеспечения.
- FLARE VM - это виртуальная машина, которая содержит набор инструментов для анализа вредоносных программ и реагирования на инциденты. Он разработан и поддерживается командой FireEye Mandiant.
- MobSF (Mobile Security Framework) - это открытая платформа для анализа мобильных приложений. Он позволяет исследователям безопасности и разработчикам приложений анализировать мобильные приложения на предмет уязвимостей и вредоносного поведения.
Инструменты анализа сетевой активности.
- Zeek (ранее известный как Bro) - это сетевая платформа анализа трафика с открытым исходным кодом, которая используется для обнаружения угроз, мониторинга сети и анализа трафика. Он предоставляет мощный язык сценариев и обширную библиотеку встроенных функций, которые позволяют пользователям создавать настраиваемые сценарии для анализа сетевого трафика.
- Maltrail - это платформа с открытым исходным кодом для отслеживания вредоносных веб-сайтов и доменов. Он собирает данные из различных источников, включая отчеты пользователей, списки вредоносных программ и данные разведки об угрозах, и предоставляет пользователям доступ к этим данным через веб-интерфейс и API.
- MiTMProxy - это бесплатный и открытый прокси-сервер с возможностями перехвата трафика, который позволяет пользователям перехватывать, просматривать и изменять сетевой трафик в режиме реального времени.
Надеемся, наша статья была вам полезна.