Introduction aux outils d'analyse des logiciels malveillants
Les avantages de l'utilisation des ordinateurs à des fins officielles et personnelles sont nombreux, mais il existe également des menaces de fraude en ligne. Ces fraudes sont appelées cybercriminels. Ils volent notre identité et d'autres informations en créant des programmes malveillants appelés logiciels malveillants. Le processus d'analyse et de détermination de la finalité et des fonctionnalités du malware est appelé analyse de malware. Les logiciels malveillants se composent de codes malveillants qui doivent être détectés à l'aide de méthodes efficaces et une analyse de logiciels malveillants est utilisée pour développer ces méthodes de détection. L'analyse des logiciels malveillants est également essentielle pour développer des outils de suppression des logiciels malveillants après la détection des codes malveillants.
Outils d'analyse des logiciels malveillants
Certains des outils et techniques d'analyse des logiciels malveillants sont répertoriés ci-dessous:
1. PEiD
Les cybercriminels essaient d'emballer leurs logiciels malveillants de sorte qu'il est difficile à déterminer et à analyser. Une application utilisée pour détecter de tels logiciels malveillants compressés ou chiffrés est PEiD. L'utilisateur dB est un fichier texte à partir duquel les fichiers PE sont chargés et PEID peut détecter 470 formes de signatures différentes dans les fichiers PE.
2. Marcheur de dépendance
Les modules des fenêtres 32 bits et 64 bits peuvent être analysés à l'aide d'une application appelée Dependency walker. Les fonctions du module qui sont importées et exportées peuvent être répertoriées à l'aide du marcheur de dépendances. Les dépendances de fichiers peuvent également être affichées à l'aide d'un marcheur de dépendances, ce qui réduit au minimum l'ensemble de fichiers requis. Les informations contenues dans ces fichiers comme le chemin d'accès au fichier, le numéro de version, etc. peuvent également être affichées à l'aide du marcheur de dépendances. Ceci est une application gratuite.
3. Pirate de ressources
Les ressources des binaires Windows peuvent être extraites à l'aide d'une application appelée Resource Hacker. L'extraction, l'ajout, la modification de ressources telles que des chaînes, des images, etc. peuvent être effectués à l'aide d'un pirate de ressources. Ceci est une application gratuite.
4. PEview
Les en-têtes de fichiers des fichiers exécutables portables sont constitués d'informations avec les autres sections du fichier et ces informations sont accessibles à l'aide d'une application appelée PEview. Ceci est une application gratuite.
5. FileAlyzer
FileAlyzer est également un outil pour accéder aux informations dans les en-têtes de fichiers des fichiers exécutables portables ainsi que les autres sections du fichier, mais FileAlyzer offre plus de fonctionnalités et de fonctions par rapport à PEview. Certaines des fonctionnalités sont VirusTotal pour l'analyse accepte les logiciels malveillants de l'onglet VirusTotal et les fonctions sont le déballage UPX et d'autres fichiers qui sont emballés.
6. SysAnalyzer Github Repo
Les différents aspects des états du système et des états du processus sont surveillés à l'aide d'une application appelée SysAnalyzer. Cette application est utilisée pour l'analyse d'exécution. Les actions prises par le binaire sur le système sont rapportées par les analystes utilisant SysAnalyzer.
7. Regshot 1.9.0
Regshot est un utilitaire qui compare le registre après que les modifications du système ont été effectuées avec le registre avant que le système ne change.
8. Wireshark
L'analyse des paquets réseau se fait via Wireshark. Les paquets réseau sont capturés et les données contenues dans les paquets sont affichées.
9. Service en ligne Robtex
L'analyse des fournisseurs Internet, des domaines et de la structure du réseau se fait à l'aide de l'outil de service en ligne Robtex.
10. VirusTotal
L'analyse des fichiers, des URL pour la détection des virus, vers, etc. se fait à l'aide du service VirusTotal.
11. Mobile-Sandbox
L'analyse des logiciels malveillants des smartphones du système d'exploitation Android se fait à l'aide d'un bac à sable mobile.
12. Malzilla
Les pages malveillantes sont explorées par un programme appelé Malzilla. En utilisant malzilla, nous pouvons choisir notre agent utilisateur et notre référent et malzilla peut utiliser des proxys. La source à partir de laquelle les pages Web et les en-têtes HTTP sont dérivés est indiquée par malzilla.
13. Volatilité
Les artefacts de la mémoire volatile également appelés RAM qui sont numériques sont extraits à l'aide du cadre de volatilité et il s'agit d'une collection d'outils.
14. APKTool
Les applications Android peuvent être rétroconçues à l'aide d'APKTool. Les ressources peuvent être décodées dans leur forme d'origine et peuvent être reconstruites avec les modifications requises.
15. Dex2Jar
Le format exécutable Android Dalvik peut être lu à l'aide de Dex2Jar. Les instructions dex sont lues au format dex-ir et peuvent être modifiées au format ASM.
16. Smali
L'implémentation de la machine virtuelle de Dalvik et Android utilise le format dex et peut être assemblée ou démontée à l'aide de Smali.
17. PeePDF
Les fichiers PDF nuisibles peuvent être identifiés à l'aide de l'outil PeePDF écrit en langage python.
18. Cuckoo Sandbox
L'analyse des fichiers suspects peut être automatisée à l'aide du bac à sable coucou.
19. Droidbox
Les applications d'Android peuvent être analysées à l'aide de droidbox.
20. Malwasm
La base de données comprenant toutes les activités de malware, les étapes d'analyse peuvent être maintenues en utilisant l'outil malwasm et cet outil est basé sur le bac à sable du coucou.
21. Règles de Yara
La classification des logiciels malveillants basée sur du texte ou des fichiers binaires après leur analyse par l'outil Coucou est effectuée par l'outil appelé Yara. Les descriptions de malware basées sur des modèles sont écrites à l'aide de Yara. L'outil s'appelle Yara Rules car ces descriptions sont appelées règles. L'abréviation de Yara est un autre acronyme récursif.
22. Google Rapid Response (GRR)
Les empreintes laissées par les logiciels malveillants sur des postes de travail spécifiques sont analysées par le framework Google Rapid Response. Les chercheurs appartenant à la sécurité de Google ont développé ce cadre. Le système cible se compose d'un agent de Google Rapid Response et l'agent interagit avec le serveur. Une fois le serveur et l'agent déployés, ils deviennent les clients de GRR et facilitent les investigations sur chaque système.
23. REMnux
Cet outil est conçu pour désosser les logiciels malveillants. Il combine plusieurs outils en un seul pour déterminer facilement les logiciels malveillants basés sur Windows et Linux. Il est utilisé pour enquêter sur les logiciels malveillants basés sur un navigateur, effectuer des analyses judiciaires sur la mémoire, analyser des variétés de logiciels malveillants, etc. Les éléments suspects peuvent également être extraits et décodés à l'aide de REMnux.
25. Bro
Le framework de bro est puissant et repose sur un réseau. Le trafic sur le réseau est converti en événements et cela peut déclencher à son tour les scripts. Bro est comme un système de détection d'intrusion (IDS) mais ses fonctionnalités sont meilleures que l'IDS. Il est utilisé pour mener des enquêtes médico-légales, surveiller des réseaux, etc.
Conclusion
L'analyse des logiciels malveillants joue un rôle important pour éviter et déterminer les cyberattaques. Les experts en cybersécurité effectuaient manuellement l'analyse des logiciels malveillants avant quinze ans et ce processus prenait beaucoup de temps, mais les experts en cybersécurité peuvent désormais analyser le cycle de vie des logiciels malveillants à l'aide d'outils d'analyse de logiciels malveillants, augmentant ainsi les renseignements sur les menaces.
Article recommandé
Ceci est un guide des outils d'analyse des logiciels malveillants. Ici, nous discutons de certains des outils les plus couramment utilisés comme PEiD, Dependency Walker, Resource Hacker, etc. Vous pouvez également consulter nos autres articles suggérés pour en savoir plus -
- De quoi avons-nous besoin pour le test bêta?
- Introduction aux outils de couverture de code
- Les 10 meilleurs outils de test cloud réussis
- 7 différents outils IPS pour la prévention du système