????? ???


امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 5
  • 1
  • 2
  • 3
  • 4
  • 5
درخواست ایده در حیطه تحلیل بدافزار
نویسنده پیام
nImaarek آفلاین
badtrip
****

ارسال‌ها: 76
موضوع‌ها: 40
تاریخ عضویت: مهر ۱۳۸۹

تشکرها : 206
( 97 تشکر در 44 ارسال )
ارسال: #1
درخواست ایده در حیطه تحلیل بدافزار
سلام،
دوستان من قصد (برای دل خودم، غیرتجاری) یه ابزار برای اتوماتیک کردن یک سری از مراحل تحلیل بدافزار بنویسم و نیاز دارم که شما ایده هاتونو باهام درمیون بزارید.

حالا، کدوم قسمتِ تحلیل بدافزار شما و اذیت میکنه ؟ یعنی کار تکراری هست ؟ (مثلا تحلیل یه Dll)

خودم خیلی فکر کردم و دیدم برای بدافزارهای لینوکسی اینطور ابزارها خیلی کم هستند. به نظرتون کلا روی چه بستری کار کنم ؟
مرسی کلی قلب عشق - بهینه شده برای ورژن جدید
۱۷-تير-۱۳۹۶, ۰۴:۰۸:۳۲
وب سایت ارسال‌ها
پاسخ
lord_viper غایب
مدیر کل انجمن
*****

ارسال‌ها: 4,075
موضوع‌ها: 0
تاریخ عضویت: بهمن ۱۳۸۴

تشکرها : 5083
( 9778 تشکر در 2940 ارسال )
ارسال: #2
RE: درخواست ایده در حیطه تحلیل بدافزار
ابزارهایی مثل ollydbg و دیباگرها با داشتن قابلیتها و پلاگینهای مختلف معمولا کار انالیز بدافزارها رو راحت کردن(البته روی ویندوز)
میتونین روی بستر اندروید کار کنین

[تصویر:  xshon.png]
از آن نماز که خود هیچ از آن نمی فهمی خدا چه فایده و بهره اکتساب کند
تفاخری نبود مر خدای عالم را که چون تو ابلهی او را خدا حساب کند
۱۷-تير-۱۳۹۶, ۱۰:۵۰:۵۳
وب سایت ارسال‌ها
پاسخ
تشکر شده توسط : babyy, nImaarek, 1نفر
nImaarek آفلاین
badtrip
****

ارسال‌ها: 76
موضوع‌ها: 40
تاریخ عضویت: مهر ۱۳۸۹

تشکرها : 206
( 97 تشکر در 44 ارسال )
ارسال: #3
RE: درخواست ایده در حیطه تحلیل بدافزار
بله میدونم دوست عزیز و فکر کنم شما متوجه منظور من نشدین گفتم مراحل تحلیل به صورت اتوماتیک انجام بده، مثلا همه url ها یا آدرس های آی پی هایی که تو بدافزار استفاده شده و لیست کنه، یا مثلا اگه شل کدی استفاده شده، اونو پیدا کنه و دیس اسمبلش کنه و از طریق هایی متوجه هدف شل کد بشه یا ...
دنبال اینطور ایده ها هستم.
۱۷-تير-۱۳۹۶, ۱۳:۵۵:۲۴
وب سایت ارسال‌ها
پاسخ
NO DONGLE آفلاین
مدیر بخش نفوذ و امنیت
*****

ارسال‌ها: 461
موضوع‌ها: 5
تاریخ عضویت: مهر ۱۳۹۱

تشکرها : 42
( 1611 تشکر در 457 ارسال )
ارسال: #4
RE: درخواست ایده در حیطه تحلیل بدافزار
چنین چیزی موجوده به نام Limon Linux Sandbox

NO.DONGLE.IR@Gmail.com
http://telegram.me/NODONGLE

[تصویر:  my.gif]
       

۱۷-تير-۱۳۹۶, ۱۴:۵۲:۱۲
ارسال‌ها
پاسخ
تشکر شده توسط : babyy, nImaarek, lord_viper, 1نفر
babyy آفلاین
ناظم کل انجمن
******

ارسال‌ها: 2,996
موضوع‌ها: 6
تاریخ عضویت: مرداد ۱۳۸۷

تشکرها : 33895
( 24524 تشکر در 9116 ارسال )
ارسال: #5
RE: درخواست ایده در حیطه تحلیل بدافزار
به فکر طراحی واسه لینوکس نباشید بنظرم, چون خیلی چیزهای مفیدی وجود داره واسش؛ تعداد ابزارهاش بیشتر و قوی تر از ویندوز هم هست!

ولی من با همونی که لرد گرامی فرمودند موافقم, تحلیل برنامه های اندرویدی خیلی میتونه خوب باشه و علاوه بر دل خودتون واسه دل ما هم شادی به ارمغان بیاره خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید

تنها چیزی که من دیدم روی این بحث داره کار میکنه سایت تلسکم هست که ربات تلگرامی داره و . . (به مدیریت ادمین محترم شبگرد؛ که سایتش رو خدابیامرزد)

بنظرم چنین چیزی بزنید خیلی خوب است؛


نقل قول: چنین چیزی موجوده به نام Limon Linux Sandbox


دست زدن - بهینه شده برای ورژن جدید دست زدن - بهینه شده برای ورژن جدید دست زدن - بهینه شده برای ورژن جدید لینوکس را عشق است

dd if=/dev/null of=/dev/sda bs=1 count=512
halt
۱۷-تير-۱۳۹۶, ۱۷:۴۳:۲۸
ارسال‌ها
پاسخ
تشکر شده توسط : nImaarek, lord_viper, 1نفر
nImaarek آفلاین
badtrip
****

ارسال‌ها: 76
موضوع‌ها: 40
تاریخ عضویت: مهر ۱۳۸۹

تشکرها : 206
( 97 تشکر در 44 ارسال )
ارسال: #6
RE: درخواست ایده در حیطه تحلیل بدافزار
(۱۷-تير-۱۳۹۶, ۱۴:۵۲:۱۲)NO DONGLE نوشته است: چنین چیزی موجوده به نام Limon Linux Sandbox


خب این سندباکس هست، من میتونم این فیچرها رو بدون اجرای بدافزار پیدا کنم..




نقل قول: ولی من با همونی که لرد گرامی فرمودند موافقم, تحلیل برنامه های اندرویدی خیلی میتونه خوب باشه و علاوه بر دل خودتون واسه دل ما هم شادی به ارمغان بیاره [تصویر:  biggrin.gif] [تصویر:  biggrin.gif] [تصویر:  biggrin.gif]

یعنی واقعا نیاز هست ؟

خب یه ایده چیزی هم بدید لطفا، چه فیچرهایی داشته باشه؟ چه کارهایی انجام بده؟ و ...
۱۷-تير-۱۳۹۶, ۱۹:۰۵:۰۸
وب سایت ارسال‌ها
پاسخ
تشکر شده توسط : babyy
NO DONGLE آفلاین
مدیر بخش نفوذ و امنیت
*****

ارسال‌ها: 461
موضوع‌ها: 5
تاریخ عضویت: مهر ۱۳۹۱

تشکرها : 42
( 1611 تشکر در 457 ارسال )
ارسال: #7
RE: درخواست ایده در حیطه تحلیل بدافزار
خب این سندباکس هست، من میتونم این فیچرها رو بدون اجرای بدافزار پیدا کنم..


هر دو حالت Static &Dynamic رو ساپورت میکنه

خصوصیت های انالیز در مد استاتیک :
  • Determines File Type
  • Determines File Size
  • Determines md5 hash
  • Determines fuzzy hash(ssdeep hash)
  • Comparison of fuzzy hash with previously submitted samples to determine similar variants
  • Display ELF header Structure
  • Dumps ASCII and UNICODE strings
  • Determines packers using YARA rules
  • Determines malware capability using YARA rules (ability to run custom YARA rules will be added soon)
  • Perfoms md5 search on VirusTotal(does not submit samples)
  • Displays dependencies of the malware (shared objects)
  • Displays program header structures
  • Displays section header information
  • Displays symbol table (both static and dynamic symbols)
خصوصیت های آنالیز در مد داینامیک :
  • Filtered call trace for tracing system calls related to file, process, network activity
  • Unfiltered call trace – traces all system calls (more noisy)
  • Filtered system event montioring to track file, process, network activity (less noisy)
  • Unfiltered system even monitoring to track file, process, network, memory allocations/unallocations, signals etc (more noisy)
  • Shows DNS summary
  • Shows TCP conversations
  • Stores packet captures
  • Stores event trace dump


خصوصیات آنالیز حافظه :
  • Option to perform verbose memory forensics (slow)
  • Process Listing (using different methods)
  • Process tree listing
  • Process listing with process arguments
  • Displays thread associated with each process
  • Dispays Network connections (TCP and UDP)
  • Displays Interface Information
  • Displays processes running with RAW sockets
  • Displays shared libaries associated with the processes (using different methods)
  • Displays kernel modules
  • Dislays kernel modules hidden from module list but present in SYSFS
  • Displays Kernel modules hidden from both module list and SYSFS
  • Displays files opened within kernel
  • Displays processes sharing credential structures
  • Checks for keyboard notifier hooks
  • Checks for TTY hooks
  • Checks for system call table modification
  • Displays BASH history
  • Checks for modified file operation structures
  • Checks hooked network operation function structures
  • Checks netfilter hooks
  • Check inline kernel hooks
  • Checks for code or binary injection
  • Check for PLT/GOT hooks (only in verbose mode)
  • Checks for userland api hooks (only in verbose mode)

NO.DONGLE.IR@Gmail.com
http://telegram.me/NODONGLE

[تصویر:  my.gif]
       

(آخرین ویرایش در این ارسال: ۱۸-تير-۱۳۹۶, ۰۱:۱۸:۱۲، توسط NO DONGLE.)
۱۸-تير-۱۳۹۶, ۰۱:۰۹:۲۸
ارسال‌ها
پاسخ
تشکر شده توسط : nImaarek, lord_viper, babyy
babyy آفلاین
ناظم کل انجمن
******

ارسال‌ها: 2,996
موضوع‌ها: 6
تاریخ عضویت: مرداد ۱۳۸۷

تشکرها : 33895
( 24524 تشکر در 9116 ارسال )
ارسال: #8
RE: درخواست ایده در حیطه تحلیل بدافزار
@دانگل نه:
اینایی که گفتی چی هست خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید



@نیماارک:
https://koodous.com
https://github.com/SUPERAndroidAnalyzer

اطلاعات اولیه و مهم که تمام این آنالیززها انجامش میدن؛
 ساختار فایلها و پوشه ها؛ نوع زبان هایی که باهاش برنامه رو نوشتند ... (مثلا بعضی موارد دات نت هست؛ یا بعضیا so و .. )
آنالیز dex و برگردوندن اون به زبان اصلی تا جایی که امکان داره و ..


یا اگه به فکر پول هم هستی به sandbox واسه اجرای برنامه درست کن تا عملکرد برنامه انالیز بشه

dd if=/dev/null of=/dev/sda bs=1 count=512
halt
۱۹-تير-۱۳۹۶, ۲۲:۰۳:۲۷
ارسال‌ها
پاسخ
تشکر شده توسط : 1نفر, nImaarek, lord_viper
nImaarek آفلاین
badtrip
****

ارسال‌ها: 76
موضوع‌ها: 40
تاریخ عضویت: مهر ۱۳۸۹

تشکرها : 206
( 97 تشکر در 44 ارسال )
ارسال: #9
RE: درخواست ایده در حیطه تحلیل بدافزار
سلام،

آقا من این برنامه که گفته بودم تا اینجا نوشتم که:
اطلاعات کلی از فایل apk مثل اسم، حجم و هش
فایل AndroidManifst.xml به صورت کامل پارس میکنه و همه تگ هاشو هم ساپورت میکنه و اطلاعات و کلا استخراج میکنه.
فایل DEX هم نصف و نیمه تحلیل میکنه. هدر و اطلاعاتش + رشته ها + یه regex هم گذاشتم برای گرفتن رشته های به خصوص مثل url و ip و ایمیل و .. .
اینترفیس و هم با django نوشتم.
الان یه مشکلی هست من نیاز دارم که یه محیط ایزوله (vmware یا docker) به همراه یه سندباکس داشته باشم که بتونم فایل apk اجرا کنم و لاگ و بگیرم و در نهایت ریستارتش کنم. پیشنهادی ندارید ؟

One Ring to rule them all, One Ring to find them, One Ring to bring them all and in the darkness bind them

Tell me, what you think about me
۲۰-آذر-۱۳۹۶, ۱۰:۴۳:۵۱
وب سایت ارسال‌ها
پاسخ
تشکر شده توسط : babyy
babyy آفلاین
ناظم کل انجمن
******

ارسال‌ها: 2,996
موضوع‌ها: 6
تاریخ عضویت: مرداد ۱۳۸۷

تشکرها : 33895
( 24524 تشکر در 9116 ارسال )
ارسال: #10
RE: درخواست ایده در حیطه تحلیل بدافزار
این خارجکیا و بعضا یک مورد ایرانی هم دیدم؛ چطوری سندباکس واسه ویندوز درست میکنند؟ فکر میکنم با همون vmware انجامش میدن،

نمیشه بجای ویندوز روش یدونه اندروید نصب کرد و .. ؟

یا اینکه مثلا از نرم افزار شبیه ساز اندروید روی شبیه ساز ویندوز استفاده کنید، بعدی ماشین مجازی رو ریست میزنید و ...

یا اینکه کلا نظر ندم بهتره؟ خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید

dd if=/dev/null of=/dev/sda bs=1 count=512
halt
۲۲-آذر-۱۳۹۶, ۰۳:۰۷:۱۳
ارسال‌ها
پاسخ
تشکر شده توسط : nImaarek
nImaarek آفلاین
badtrip
****

ارسال‌ها: 76
موضوع‌ها: 40
تاریخ عضویت: مهر ۱۳۸۹

تشکرها : 206
( 97 تشکر در 44 ارسال )
ارسال: #11
RE: درخواست ایده در حیطه تحلیل بدافزار
مقاله یا آموزشی راجع به درست کردن سندباکس و نحوه ارتباطش و این چیزا ندارید؟ یا حدامکان چطوری هی vm و ریست کنم و این قضیه ها.

One Ring to rule them all, One Ring to find them, One Ring to bring them all and in the darkness bind them

Tell me, what you think about me
۲۲-آذر-۱۳۹۶, ۱۰:۱۷:۳۰
وب سایت ارسال‌ها
پاسخ
تشکر شده توسط : babyy


موضوعات مرتبط با این موضوع...
موضوع نویسنده پاسخ بازدید آخرین ارسال
Question تجزیه و تحلیل آنتی ویروس های موجود mri_6889 61 41,511 ۱۹-آذر-۱۳۸۹, ۲۱:۴۴:۱۵
آخرین ارسال: Scorpion

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان

صفحه‌ی تماس | IranVig | بازگشت به بالا | | بایگانی | پیوند سایتی RSS