Linux

Reverse engineering et analyse des logiciels malveillants avec REMnux

Il est facile d’être infecté par des logiciels malveillants. Vous n’avez qu’à ouvrir un fichier suspect, ou visiter un site Web malveillant, et boum, votre ordinateur est infecté. D’un autre côté, l’analyse et l’ingénierie inverse des logiciels malveillants est une tâche très difficile que seuls les experts peuvent effectuer avec des outils spécialisés. Si vous êtes de ceux qui sont curieux de savoir comment fonctionnent les logiciels malveillants, il existe une distribution Linux qui contient tous les outils nécessaires pour analyser les logiciels malveillants.

REMnux est une distribution Linux légère qui vous permet d’effectuer une analyse des logiciels malveillants, ou même de procéder à une ingénierie inverse du logiciel malveillant pour découvrir son fonctionnement.

REMnux est mieux utilisé dans un environnement isolé, tel qu’une machine virtuelle ou un Live CD, afin que le malware n’endommage pas la machine principale. Il est au format OVF/OVA où vous pouvez facilement importer dans votre machine virtuelle comme VirtualBox ou VMware. Il existe également une image ISO que vous pouvez graver sur un CD et démarrer sur votre ordinateur.

REMnux est basé sur Ubuntu et est fourni avec le bureau LXDE, principalement en raison de sa faible empreinte mémoire. Lors de la première exécution, vous n’avez peut-être aucune idée de ce que REMnux est capable de faire et du type d’outils inclus. Vérifier le menu de l’application n’est pas utile non plus car la plupart des outils sont basés sur la ligne de commande et n’apparaissent pas dans le menu. Un bon moyen de commencer est de parcourir les «Conseils REMnux» sur le bureau. Cela vous donnera un aperçu de ce que REMnux peut faire et les instructions pour effectuer l’analyse.

Choses que REMnux peut faire :

Analyser les logiciels malveillants réseau

Il existe plusieurs outils liés au réseau dans REMnux qui vous permettent d’analyser facilement le réseau à la recherche d’activités malveillantes. Wireshark est un analyseur de protocole réseau et il est parfait pour visualiser vos activités réseau à un niveau microscopique. Honeyd, stunnel et FakeDNS sont utiles pour créer des conteneurs virtuels pour simuler un nombre infini de réseaux informatiques et définir le banc d’essai parfait pour l’analyse des logiciels malveillants.

remnux-wireshark-interface

Analyser un site Web malveillant

Le navigateur Firefox de REMnux est livré avec de nombreuses extensions utiles préinstallées pour vous aider à analyser les sites Web malveillants. Firebug, javascript deobfuscator, falsification de données et user agent switcher sont quelques-uns d’entre eux qui vous permettent de vérifier facilement le fonctionnement d’un site malveillant.

remnux-firefox-addon

Analyser les fichiers malveillants

Si vous avez un fichier PDF ou un document Microsoft Office que vous soupçonnez d’être infecté, vous pouvez numériser les documents avec des outils tels que PDF Walker, pyOLEScanner, etc. Il existe également le PEScanner et le SCTest pour numériser les fichiers exécutables et le shellcode.

Psssssst :  Comment puis-je apprendre le langage Linux ?

Le Volatility Memory Forsenic Framework est également inclus dans REMnux et peut vous donner un aperçu de l’état d’exécution du système. Il peut repérer les processus cachés, répertorier tous les processus, afficher une clé de registre ou même rechercher et extraire des logiciels malveillants.

Conclusion

L’avantage de REMnux est qu’il contient la plupart des outils dont vous avez besoin pour analyser les fichiers PDF, Flash, Javascript et autres logiciels malveillants. Vous pouvez bien sûr installer ces outils sur votre distribution actuelle, mais cela demandera beaucoup de temps et de configuration. Avec REMnux, il vous suffit de le démarrer et vous pouvez l’exécuter immédiatement. Une chose cependant, REMnux n’est pas destiné à tout le monde. Soyez prêt à vous salir les mains car la plupart des outils sont basés sur la ligne de commande.

Cet article est-il utile ? Oui Non

Bouton retour en haut de la page

Adblock détecté

Veuillez désactiver votre bloqueur de publicités pour pouvoir visualiser le contenu de la page. Pour un site indépendant avec du contenu gratuit, c’est une question de vie ou de mort d’avoir de la publicité. Merci de votre compréhension! Merci