????? ???


امتیاز موضوع:
  • 0 رأی - میانگین امتیازات: 0
  • 1
  • 2
  • 3
  • 4
  • 5
درخواست ایده در حیطه تحلیل بدافزار
نویسنده پیام
nImaarek آفلاین
كاربر
*

ارسال‌ها: 37
موضوع‌ها: 16
تاریخ عضویت: مهر ۱۳۸۹

تشکرها : 132
( 14 تشکر در 9 ارسال )
ارسال: #1
درخواست ایده در حیطه تحلیل بدافزار
سلام،
دوستان من قصد (برای دل خودم، غیرتجاری) یه ابزار برای اتوماتیک کردن یک سری از مراحل تحلیل بدافزار بنویسم و نیاز دارم که شما ایده هاتونو باهام درمیون بزارید.

حالا، کدوم قسمتِ تحلیل بدافزار شما و اذیت میکنه ؟ یعنی کار تکراری هست ؟ (مثلا تحلیل یه Dll)

خودم خیلی فکر کردم و دیدم برای بدافزارهای لینوکسی اینطور ابزارها خیلی کم هستند. به نظرتون کلا روی چه بستری کار کنم ؟
مرسی کلی قلب عشق - بهینه شده برای ورژن جدید
۱۷-تير-۱۳۹۶, ۰۴:۰۸:۳۲
وب سایت ارسال‌ها
پاسخ
lord_viper آنلاین
مدیر کل انجمن
*****

ارسال‌ها: 4,054
موضوع‌ها: 0
تاریخ عضویت: بهمن ۱۳۸۴

تشکرها : 5042
( 9712 تشکر در 2920 ارسال )
ارسال: #2
RE: درخواست ایده در حیطه تحلیل بدافزار
ابزارهایی مثل ollydbg و دیباگرها با داشتن قابلیتها و پلاگینهای مختلف معمولا کار انالیز بدافزارها رو راحت کردن(البته روی ویندوز)
میتونین روی بستر اندروید کار کنین

[تصویر:  xshon.png]
از آن نماز که خود هیچ از آن نمی فهمی خدا چه فایده و بهره اکتساب کند
تفاخری نبود مر خدای عالم را که چون تو ابلهی او را خدا حساب کند
۱۷-تير-۱۳۹۶, ۱۰:۵۰:۵۳
وب سایت ارسال‌ها
پاسخ
تشکر شده توسط : babyy, nImaarek, 1نفر
nImaarek آفلاین
كاربر
*

ارسال‌ها: 37
موضوع‌ها: 16
تاریخ عضویت: مهر ۱۳۸۹

تشکرها : 132
( 14 تشکر در 9 ارسال )
ارسال: #3
RE: درخواست ایده در حیطه تحلیل بدافزار
بله میدونم دوست عزیز و فکر کنم شما متوجه منظور من نشدین گفتم مراحل تحلیل به صورت اتوماتیک انجام بده، مثلا همه url ها یا آدرس های آی پی هایی که تو بدافزار استفاده شده و لیست کنه، یا مثلا اگه شل کدی استفاده شده، اونو پیدا کنه و دیس اسمبلش کنه و از طریق هایی متوجه هدف شل کد بشه یا ...
دنبال اینطور ایده ها هستم.
۱۷-تير-۱۳۹۶, ۱۳:۵۵:۲۴
وب سایت ارسال‌ها
پاسخ
NO DONGLE آنلاین
مدیر بخش نفوذ و امنیت
*****

ارسال‌ها: 447
موضوع‌ها: 4
تاریخ عضویت: مهر ۱۳۹۱

تشکرها : 41
( 1554 تشکر در 441 ارسال )
ارسال: #4
RE: درخواست ایده در حیطه تحلیل بدافزار
چنین چیزی موجوده به نام Limon Linux Sandbox

NO.DONGLE.IR@Gmail.com
http://telegram.me/NODONGLE

[تصویر:  my.gif]
       

۱۷-تير-۱۳۹۶, ۱۴:۵۲:۱۲
ارسال‌ها
پاسخ
تشکر شده توسط : babyy, nImaarek, lord_viper, 1نفر
babyy آفلاین
ناظم کل انجمن
******

ارسال‌ها: 2,937
موضوع‌ها: 4
تاریخ عضویت: مرداد ۱۳۸۷

تشکرها : 33658
( 24237 تشکر در 8996 ارسال )
ارسال: #5
RE: درخواست ایده در حیطه تحلیل بدافزار
به فکر طراحی واسه لینوکس نباشید بنظرم, چون خیلی چیزهای مفیدی وجود داره واسش؛ تعداد ابزارهاش بیشتر و قوی تر از ویندوز هم هست!

ولی من با همونی که لرد گرامی فرمودند موافقم, تحلیل برنامه های اندرویدی خیلی میتونه خوب باشه و علاوه بر دل خودتون واسه دل ما هم شادی به ارمغان بیاره خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید

تنها چیزی که من دیدم روی این بحث داره کار میکنه سایت تلسکم هست که ربات تلگرامی داره و . . (به مدیریت ادمین محترم شبگرد؛ که سایتش رو خدابیامرزد)

بنظرم چنین چیزی بزنید خیلی خوب است؛


نقل قول: چنین چیزی موجوده به نام Limon Linux Sandbox


دست زدن - بهینه شده برای ورژن جدید دست زدن - بهینه شده برای ورژن جدید دست زدن - بهینه شده برای ورژن جدید لینوکس را عشق است

dd if=/dev/null of=/dev/sda bs=1 count=512
halt
۱۷-تير-۱۳۹۶, ۱۷:۴۳:۲۸
ارسال‌ها
پاسخ
تشکر شده توسط : nImaarek, lord_viper, 1نفر
nImaarek آفلاین
كاربر
*

ارسال‌ها: 37
موضوع‌ها: 16
تاریخ عضویت: مهر ۱۳۸۹

تشکرها : 132
( 14 تشکر در 9 ارسال )
ارسال: #6
RE: درخواست ایده در حیطه تحلیل بدافزار
(۱۷-تير-۱۳۹۶, ۱۴:۵۲:۱۲)NO DONGLE نوشته است: چنین چیزی موجوده به نام Limon Linux Sandbox


خب این سندباکس هست، من میتونم این فیچرها رو بدون اجرای بدافزار پیدا کنم..




نقل قول: ولی من با همونی که لرد گرامی فرمودند موافقم, تحلیل برنامه های اندرویدی خیلی میتونه خوب باشه و علاوه بر دل خودتون واسه دل ما هم شادی به ارمغان بیاره [تصویر:  biggrin.gif] [تصویر:  biggrin.gif] [تصویر:  biggrin.gif]

یعنی واقعا نیاز هست ؟

خب یه ایده چیزی هم بدید لطفا، چه فیچرهایی داشته باشه؟ چه کارهایی انجام بده؟ و ...
۱۷-تير-۱۳۹۶, ۱۹:۰۵:۰۸
وب سایت ارسال‌ها
پاسخ
تشکر شده توسط : babyy
NO DONGLE آنلاین
مدیر بخش نفوذ و امنیت
*****

ارسال‌ها: 447
موضوع‌ها: 4
تاریخ عضویت: مهر ۱۳۹۱

تشکرها : 41
( 1554 تشکر در 441 ارسال )
ارسال: #7
RE: درخواست ایده در حیطه تحلیل بدافزار
خب این سندباکس هست، من میتونم این فیچرها رو بدون اجرای بدافزار پیدا کنم..


هر دو حالت Static &Dynamic رو ساپورت میکنه

خصوصیت های انالیز در مد استاتیک :
  • Determines File Type
  • Determines File Size
  • Determines md5 hash
  • Determines fuzzy hash(ssdeep hash)
  • Comparison of fuzzy hash with previously submitted samples to determine similar variants
  • Display ELF header Structure
  • Dumps ASCII and UNICODE strings
  • Determines packers using YARA rules
  • Determines malware capability using YARA rules (ability to run custom YARA rules will be added soon)
  • Perfoms md5 search on VirusTotal(does not submit samples)
  • Displays dependencies of the malware (shared objects)
  • Displays program header structures
  • Displays section header information
  • Displays symbol table (both static and dynamic symbols)
خصوصیت های آنالیز در مد داینامیک :
  • Filtered call trace for tracing system calls related to file, process, network activity
  • Unfiltered call trace – traces all system calls (more noisy)
  • Filtered system event montioring to track file, process, network activity (less noisy)
  • Unfiltered system even monitoring to track file, process, network, memory allocations/unallocations, signals etc (more noisy)
  • Shows DNS summary
  • Shows TCP conversations
  • Stores packet captures
  • Stores event trace dump


خصوصیات آنالیز حافظه :
  • Option to perform verbose memory forensics (slow)
  • Process Listing (using different methods)
  • Process tree listing
  • Process listing with process arguments
  • Displays thread associated with each process
  • Dispays Network connections (TCP and UDP)
  • Displays Interface Information
  • Displays processes running with RAW sockets
  • Displays shared libaries associated with the processes (using different methods)
  • Displays kernel modules
  • Dislays kernel modules hidden from module list but present in SYSFS
  • Displays Kernel modules hidden from both module list and SYSFS
  • Displays files opened within kernel
  • Displays processes sharing credential structures
  • Checks for keyboard notifier hooks
  • Checks for TTY hooks
  • Checks for system call table modification
  • Displays BASH history
  • Checks for modified file operation structures
  • Checks hooked network operation function structures
  • Checks netfilter hooks
  • Check inline kernel hooks
  • Checks for code or binary injection
  • Check for PLT/GOT hooks (only in verbose mode)
  • Checks for userland api hooks (only in verbose mode)

NO.DONGLE.IR@Gmail.com
http://telegram.me/NODONGLE

[تصویر:  my.gif]
       

(آخرین ویرایش در این ارسال: ۱۸-تير-۱۳۹۶, ۰۱:۱۸:۱۲، توسط NO DONGLE.)
۱۸-تير-۱۳۹۶, ۰۱:۰۹:۲۸
ارسال‌ها
پاسخ
تشکر شده توسط : nImaarek, lord_viper, babyy
babyy آفلاین
ناظم کل انجمن
******

ارسال‌ها: 2,937
موضوع‌ها: 4
تاریخ عضویت: مرداد ۱۳۸۷

تشکرها : 33658
( 24237 تشکر در 8996 ارسال )
ارسال: #8
RE: درخواست ایده در حیطه تحلیل بدافزار
@دانگل نه:
اینایی که گفتی چی هست خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید



@نیماارک:
https://koodous.com
https://github.com/SUPERAndroidAnalyzer

اطلاعات اولیه و مهم که تمام این آنالیززها انجامش میدن؛
 ساختار فایلها و پوشه ها؛ نوع زبان هایی که باهاش برنامه رو نوشتند ... (مثلا بعضی موارد دات نت هست؛ یا بعضیا so و .. )
آنالیز dex و برگردوندن اون به زبان اصلی تا جایی که امکان داره و ..


یا اگه به فکر پول هم هستی به sandbox واسه اجرای برنامه درست کن تا عملکرد برنامه انالیز بشه

dd if=/dev/null of=/dev/sda bs=1 count=512
halt
۱۹-تير-۱۳۹۶, ۲۲:۰۳:۲۷
ارسال‌ها
پاسخ
تشکر شده توسط : 1نفر, nImaarek, lord_viper


موضوعات مرتبط با این موضوع...
موضوع نویسنده پاسخ بازدید آخرین ارسال
Question تجزیه و تحلیل آنتی ویروس های موجود mri_6889 61 37,622 ۱۹-آذر-۱۳۸۹, ۲۱:۴۴:۱۵
آخرین ارسال: Scorpion

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان

صفحه‌ی تماس | IranVig | بازگشت به بالا | | بایگانی | پیوند سایتی RSS