Door malware besmet raken is eenvoudig. Je hoeft alleen maar een verdacht bestand te openen, of een kwaadwillende website te bezoeken, en boem, je computer is geïnfecteerd. Aan de andere kant is het analyseren en reverse-engineering van malware een veel lastige taak die alleen experts met gespecialiseerde tools kunnen doen. Als u een van degenen bent die nieuwsgierig zijn naar hoe malware werkt, is er een Linux-distro die wordt geleverd met alle benodigde hulpmiddelen voor het analyseren van malware.

REMnux is een lichtgewicht Linux-distributie waarmee je malware-analyse kunt uitvoeren of zelfs malware kunt reverse-engineeren om erachter te komen hoe het werkt.

REMnux kan het beste worden gebruikt in een geïsoleerde omgeving, zoals een virtuele machine of live-cd, zodat de malware de hoofdmachine niet beschadigt. Het wordt geleverd in het OVF / OVA-formaat, waar u eenvoudig kunt importeren in uw virtuele machine zoals VirtualBox of VMware. Er is ook een ISO-image waarmee je op een CD kunt branden en deze op je computer kunt opstarten.

REMnux is gebaseerd op Ubuntu en wordt geleverd met LXDE-bureaublad, voornamelijk vanwege zijn beperkte geheugenvoetafdruk. Tijdens de eerste run heb je misschien geen idee wat REMnux kan en welk type tools is inbegrepen. Het controleren van het applicatiemenu is ook niet nuttig, omdat de meeste hulpprogramma's op de opdrachtregel zijn gebaseerd en niet in het menu worden weergegeven. Een goede manier om aan de slag te gaan, is door de "REMnux Tips" op de desktop te gaan. Dit geeft u een overzicht van wat REMnux kan doen en de instructies om de analyse uit te voeren.

Dingen die REMnux kan doen:

Analyseer netwerk-malware

Er zijn verschillende netwerkgerelateerde hulpmiddelen in REMnux waarmee u eenvoudig het netwerk kunt scannen op malwareactiviteiten. Wireshark is een netwerkprotocol-analyzer en het is perfect voor het bekijken van uw netwerkactiviteiten op een microscopisch niveau. Honeyd, stunnel en FakeDNS zijn handig voor het maken van virtuele containers om een ​​oneindig aantal computernetwerken te simuleren en het perfecte testbed voor malware-analyse in te stellen.

Analyseer schadelijke websites

De Firefox-browser in REMnux wordt geleverd met veel handige extensies vooraf geïnstalleerd om u te helpen bij het analyseren van kwaadwillende websites. Firebug, javascript deobfuscator, tamper data en user agent switcher zijn er een paar die het voor u gemakkelijk maken om de werking van een kwaadwillende site te bekijken.

Analyseer schadelijke bestanden

Als u een PDF-bestand of een Microsoft Office-document hebt waarvan u vermoedt dat het is geïnfecteerd, kunt u de documenten scannen met hulpmiddelen zoals PDF Walker, pyOLEScanner, enzovoort. Er zijn ook de PEScanner en SCTest voor het scannen van uitvoerbare bestanden en shell-code.

Het Volatility Memory Forsenic Framework is ook opgenomen in REMnux en kan u inzicht geven in de runtime-status van het systeem. Het kan verborgen processen herkennen, alle processen weergeven, een registersleutel weergeven of zelfs malware vinden en extraheren.

Conclusie

Het goede ding over REMnux is dat het de meeste tools bevat die je nodig hebt om PDF, Flash, Javascript en andere malware te analyseren. Je kunt die tools natuurlijk op je huidige distro installeren, maar dat vereist veel tijd en configuratie. Met REMnux start je het gewoon op en kun je het meteen uitvoeren. Maar één ding is dat REMnux niet voor iedereen is bedoeld. Wees erop voorbereid je handen vies te maken, want de meeste tools zijn gebaseerd op de opdrachtregel.