????? ???


امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 5
  • 1
  • 2
  • 3
  • 4
  • 5
درخواست ایده در حیطه تحلیل بدافزار
نویسنده پیام
nImaarek آفلاین
badtrip
****

ارسال‌ها: 92
موضوع‌ها: 45
تاریخ عضویت: October 2010

تشکرها : 220
( 123 تشکر در 56 ارسال )
ارسال: #1
درخواست ایده در حیطه تحلیل بدافزار
سلام،
دوستان من قصد (برای دل خودم، غیرتجاری) یه ابزار برای اتوماتیک کردن یک سری از مراحل تحلیل بدافزار بنویسم و نیاز دارم که شما ایده هاتونو باهام درمیون بزارید.

حالا، کدوم قسمتِ تحلیل بدافزار شما و اذیت میکنه ؟ یعنی کار تکراری هست ؟ (مثلا تحلیل یه Dll)

خودم خیلی فکر کردم و دیدم برای بدافزارهای لینوکسی اینطور ابزارها خیلی کم هستند. به نظرتون کلا روی چه بستری کار کنم ؟
مرسی کلی قلب عشق - بهینه شده برای ورژن جدید
08-July-2017, 04:08:32
وب سایت ارسال‌ها
پاسخ
lord_viper غایب
مدیر کل انجمن
*****

ارسال‌ها: 4,082
موضوع‌ها: 1
تاریخ عضویت: January 2006

تشکرها : 5097
( 9798 تشکر در 2946 ارسال )
ارسال: #2
RE: درخواست ایده در حیطه تحلیل بدافزار
ابزارهایی مثل ollydbg و دیباگرها با داشتن قابلیتها و پلاگینهای مختلف معمولا کار انالیز بدافزارها رو راحت کردن(البته روی ویندوز)
میتونین روی بستر اندروید کار کنین

[تصویر:  xshon.png]
از آن نماز که خود هیچ از آن نمی فهمی خدا چه فایده و بهره اکتساب کند
تفاخری نبود مر خدای عالم را که چون تو ابلهی او را خدا حساب کند
08-July-2017, 10:50:53
وب سایت ارسال‌ها
پاسخ
تشکر شده توسط : babyy, nImaarek, 1نفر
nImaarek آفلاین
badtrip
****

ارسال‌ها: 92
موضوع‌ها: 45
تاریخ عضویت: October 2010

تشکرها : 220
( 123 تشکر در 56 ارسال )
ارسال: #3
RE: درخواست ایده در حیطه تحلیل بدافزار
بله میدونم دوست عزیز و فکر کنم شما متوجه منظور من نشدین گفتم مراحل تحلیل به صورت اتوماتیک انجام بده، مثلا همه url ها یا آدرس های آی پی هایی که تو بدافزار استفاده شده و لیست کنه، یا مثلا اگه شل کدی استفاده شده، اونو پیدا کنه و دیس اسمبلش کنه و از طریق هایی متوجه هدف شل کد بشه یا ...
دنبال اینطور ایده ها هستم.
08-July-2017, 13:55:24
وب سایت ارسال‌ها
پاسخ
NO DONGLE آفلاین
مدیر بخش نفوذ و امنیت
*****

ارسال‌ها: 468
موضوع‌ها: 5
تاریخ عضویت: October 2012

تشکرها : 44
( 1648 تشکر در 464 ارسال )
ارسال: #4
RE: درخواست ایده در حیطه تحلیل بدافزار
چنین چیزی موجوده به نام Limon Linux Sandbox

NO.DONGLE.IR@Gmail.com

[تصویر:  my.gif]
       

چشمک - بهینه شده برای ورژن جدید دانلود پروژه برنامه نويسي
08-July-2017, 14:52:12
ارسال‌ها
پاسخ
تشکر شده توسط : babyy, nImaarek, lord_viper, 1نفر
babyy آفلاین
ناظم کل انجمن
******

ارسال‌ها: 3,033
موضوع‌ها: 8
تاریخ عضویت: August 2008

تشکرها : 34001
( 24640 تشکر در 9166 ارسال )
ارسال: #5
RE: درخواست ایده در حیطه تحلیل بدافزار
به فکر طراحی واسه لینوکس نباشید بنظرم, چون خیلی چیزهای مفیدی وجود داره واسش؛ تعداد ابزارهاش بیشتر و قوی تر از ویندوز هم هست!

ولی من با همونی که لرد گرامی فرمودند موافقم, تحلیل برنامه های اندرویدی خیلی میتونه خوب باشه و علاوه بر دل خودتون واسه دل ما هم شادی به ارمغان بیاره خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید

تنها چیزی که من دیدم روی این بحث داره کار میکنه سایت تلسکم هست که ربات تلگرامی داره و . . (به مدیریت ادمین محترم شبگرد؛ که سایتش رو خدابیامرزد)

بنظرم چنین چیزی بزنید خیلی خوب است؛


نقل قول: چنین چیزی موجوده به نام Limon Linux Sandbox


دست زدن - بهینه شده برای ورژن جدید دست زدن - بهینه شده برای ورژن جدید دست زدن - بهینه شده برای ورژن جدید لینوکس را عشق است

dd if=/dev/null of=/dev/sda bs=1 count=512
halt
08-July-2017, 17:43:28
ارسال‌ها
پاسخ
تشکر شده توسط : nImaarek, lord_viper, 1نفر
nImaarek آفلاین
badtrip
****

ارسال‌ها: 92
موضوع‌ها: 45
تاریخ عضویت: October 2010

تشکرها : 220
( 123 تشکر در 56 ارسال )
ارسال: #6
RE: درخواست ایده در حیطه تحلیل بدافزار
(08-July-2017, 14:52:12)NO DONGLE نوشته است: چنین چیزی موجوده به نام Limon Linux Sandbox


خب این سندباکس هست، من میتونم این فیچرها رو بدون اجرای بدافزار پیدا کنم..




نقل قول: ولی من با همونی که لرد گرامی فرمودند موافقم, تحلیل برنامه های اندرویدی خیلی میتونه خوب باشه و علاوه بر دل خودتون واسه دل ما هم شادی به ارمغان بیاره [تصویر:  biggrin.gif] [تصویر:  biggrin.gif] [تصویر:  biggrin.gif]

یعنی واقعا نیاز هست ؟

خب یه ایده چیزی هم بدید لطفا، چه فیچرهایی داشته باشه؟ چه کارهایی انجام بده؟ و ...
08-July-2017, 19:05:08
وب سایت ارسال‌ها
پاسخ
تشکر شده توسط : babyy
NO DONGLE آفلاین
مدیر بخش نفوذ و امنیت
*****

ارسال‌ها: 468
موضوع‌ها: 5
تاریخ عضویت: October 2012

تشکرها : 44
( 1648 تشکر در 464 ارسال )
ارسال: #7
RE: درخواست ایده در حیطه تحلیل بدافزار
خب این سندباکس هست، من میتونم این فیچرها رو بدون اجرای بدافزار پیدا کنم..


هر دو حالت Static &Dynamic رو ساپورت میکنه

خصوصیت های انالیز در مد استاتیک :
  • Determines File Type
  • Determines File Size
  • Determines md5 hash
  • Determines fuzzy hash(ssdeep hash)
  • Comparison of fuzzy hash with previously submitted samples to determine similar variants
  • Display ELF header Structure
  • Dumps ASCII and UNICODE strings
  • Determines packers using YARA rules
  • Determines malware capability using YARA rules (ability to run custom YARA rules will be added soon)
  • Perfoms md5 search on VirusTotal(does not submit samples)
  • Displays dependencies of the malware (shared objects)
  • Displays program header structures
  • Displays section header information
  • Displays symbol table (both static and dynamic symbols)
خصوصیت های آنالیز در مد داینامیک :
  • Filtered call trace for tracing system calls related to file, process, network activity
  • Unfiltered call trace – traces all system calls (more noisy)
  • Filtered system event montioring to track file, process, network activity (less noisy)
  • Unfiltered system even monitoring to track file, process, network, memory allocations/unallocations, signals etc (more noisy)
  • Shows DNS summary
  • Shows TCP conversations
  • Stores packet captures
  • Stores event trace dump


خصوصیات آنالیز حافظه :
  • Option to perform verbose memory forensics (slow)
  • Process Listing (using different methods)
  • Process tree listing
  • Process listing with process arguments
  • Displays thread associated with each process
  • Dispays Network connections (TCP and UDP)
  • Displays Interface Information
  • Displays processes running with RAW sockets
  • Displays shared libaries associated with the processes (using different methods)
  • Displays kernel modules
  • Dislays kernel modules hidden from module list but present in SYSFS
  • Displays Kernel modules hidden from both module list and SYSFS
  • Displays files opened within kernel
  • Displays processes sharing credential structures
  • Checks for keyboard notifier hooks
  • Checks for TTY hooks
  • Checks for system call table modification
  • Displays BASH history
  • Checks for modified file operation structures
  • Checks hooked network operation function structures
  • Checks netfilter hooks
  • Check inline kernel hooks
  • Checks for code or binary injection
  • Check for PLT/GOT hooks (only in verbose mode)
  • Checks for userland api hooks (only in verbose mode)

NO.DONGLE.IR@Gmail.com

[تصویر:  my.gif]
       

چشمک - بهینه شده برای ورژن جدید دانلود پروژه برنامه نويسي
(آخرین ویرایش در این ارسال: 09-July-2017, 01:18:12، توسط NO DONGLE.)
09-July-2017, 01:09:28
ارسال‌ها
پاسخ
تشکر شده توسط : nImaarek, lord_viper, babyy
babyy آفلاین
ناظم کل انجمن
******

ارسال‌ها: 3,033
موضوع‌ها: 8
تاریخ عضویت: August 2008

تشکرها : 34001
( 24640 تشکر در 9166 ارسال )
ارسال: #8
RE: درخواست ایده در حیطه تحلیل بدافزار
@دانگل نه:
اینایی که گفتی چی هست خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید



@نیماارک:
https://koodous.com
https://github.com/SUPERAndroidAnalyzer

اطلاعات اولیه و مهم که تمام این آنالیززها انجامش میدن؛
 ساختار فایلها و پوشه ها؛ نوع زبان هایی که باهاش برنامه رو نوشتند ... (مثلا بعضی موارد دات نت هست؛ یا بعضیا so و .. )
آنالیز dex و برگردوندن اون به زبان اصلی تا جایی که امکان داره و ..


یا اگه به فکر پول هم هستی به sandbox واسه اجرای برنامه درست کن تا عملکرد برنامه انالیز بشه

dd if=/dev/null of=/dev/sda bs=1 count=512
halt
10-July-2017, 22:03:27
ارسال‌ها
پاسخ
تشکر شده توسط : 1نفر, nImaarek, lord_viper
nImaarek آفلاین
badtrip
****

ارسال‌ها: 92
موضوع‌ها: 45
تاریخ عضویت: October 2010

تشکرها : 220
( 123 تشکر در 56 ارسال )
ارسال: #9
RE: درخواست ایده در حیطه تحلیل بدافزار
سلام،

آقا من این برنامه که گفته بودم تا اینجا نوشتم که:
اطلاعات کلی از فایل apk مثل اسم، حجم و هش
فایل AndroidManifst.xml به صورت کامل پارس میکنه و همه تگ هاشو هم ساپورت میکنه و اطلاعات و کلا استخراج میکنه.
فایل DEX هم نصف و نیمه تحلیل میکنه. هدر و اطلاعاتش + رشته ها + یه regex هم گذاشتم برای گرفتن رشته های به خصوص مثل url و ip و ایمیل و .. .
اینترفیس و هم با django نوشتم.
الان یه مشکلی هست من نیاز دارم که یه محیط ایزوله (vmware یا docker) به همراه یه سندباکس داشته باشم که بتونم فایل apk اجرا کنم و لاگ و بگیرم و در نهایت ریستارتش کنم. پیشنهادی ندارید ؟

One Ring to rule them all, One Ring to find them, One Ring to bring them all and in the darkness bind them

Tell me, what you think about me
11-December-2017, 10:43:51
وب سایت ارسال‌ها
پاسخ
تشکر شده توسط : babyy
babyy آفلاین
ناظم کل انجمن
******

ارسال‌ها: 3,033
موضوع‌ها: 8
تاریخ عضویت: August 2008

تشکرها : 34001
( 24640 تشکر در 9166 ارسال )
ارسال: #10
RE: درخواست ایده در حیطه تحلیل بدافزار
این خارجکیا و بعضا یک مورد ایرانی هم دیدم؛ چطوری سندباکس واسه ویندوز درست میکنند؟ فکر میکنم با همون vmware انجامش میدن،

نمیشه بجای ویندوز روش یدونه اندروید نصب کرد و .. ؟

یا اینکه مثلا از نرم افزار شبیه ساز اندروید روی شبیه ساز ویندوز استفاده کنید، بعدی ماشین مجازی رو ریست میزنید و ...

یا اینکه کلا نظر ندم بهتره؟ خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید

dd if=/dev/null of=/dev/sda bs=1 count=512
halt
13-December-2017, 03:07:13
ارسال‌ها
پاسخ
تشکر شده توسط : nImaarek
nImaarek آفلاین
badtrip
****

ارسال‌ها: 92
موضوع‌ها: 45
تاریخ عضویت: October 2010

تشکرها : 220
( 123 تشکر در 56 ارسال )
ارسال: #11
RE: درخواست ایده در حیطه تحلیل بدافزار
مقاله یا آموزشی راجع به درست کردن سندباکس و نحوه ارتباطش و این چیزا ندارید؟ یا حدامکان چطوری هی vm و ریست کنم و این قضیه ها.

One Ring to rule them all, One Ring to find them, One Ring to bring them all and in the darkness bind them

Tell me, what you think about me
13-December-2017, 10:17:30
وب سایت ارسال‌ها
پاسخ
تشکر شده توسط : babyy


موضوعات مرتبط با این موضوع...
موضوع نویسنده پاسخ بازدید آخرین ارسال
Question تجزیه و تحلیل آنتی ویروس های موجود mri_6889 61 44,037 10-December-2010, 21:44:15
آخرین ارسال: Scorpion

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 2 مهمان

صفحه‌ی تماس | IranVig | بازگشت به بالا | | بایگانی | پیوند سایتی RSS