سلام،
دوستان من قصد (برای دل خودم، غیرتجاری) یه ابزار برای اتوماتیک کردن یک سری از مراحل تحلیل بدافزار بنویسم و نیاز دارم که شما ایده هاتونو باهام درمیون بزارید.
حالا، کدوم قسمتِ تحلیل بدافزار شما و اذیت میکنه ؟ یعنی کار تکراری هست ؟ (مثلا تحلیل یه Dll)
خودم خیلی فکر کردم و دیدم برای بدافزارهای لینوکسی اینطور ابزارها خیلی کم هستند. به نظرتون کلا روی چه بستری کار کنم ؟
مرسی کلی
ابزارهایی مثل ollydbg و دیباگرها با داشتن قابلیتها و پلاگینهای مختلف معمولا کار انالیز بدافزارها رو راحت کردن(البته روی ویندوز)
میتونین روی بستر اندروید کار کنین
بله میدونم دوست عزیز و فکر کنم شما متوجه منظور من نشدین گفتم مراحل تحلیل به صورت اتوماتیک انجام بده، مثلا همه url ها یا آدرس های آی پی هایی که تو بدافزار استفاده شده و لیست کنه، یا مثلا اگه شل کدی استفاده شده، اونو پیدا کنه و دیس اسمبلش کنه و از طریق هایی متوجه هدف شل کد بشه یا ...
دنبال اینطور ایده ها هستم.
چنین چیزی موجوده به نام Limon Linux Sandbox
به فکر طراحی واسه لینوکس نباشید بنظرم, چون خیلی چیزهای مفیدی وجود داره واسش؛ تعداد ابزارهاش بیشتر و قوی تر از ویندوز هم هست!
ولی من با همونی که لرد گرامی فرمودند موافقم, تحلیل برنامه های اندرویدی خیلی میتونه خوب باشه و علاوه بر دل خودتون واسه دل ما هم شادی به ارمغان بیاره
تنها چیزی که من دیدم روی این بحث داره کار میکنه سایت تلسکم هست که ربات تلگرامی داره و . . (به مدیریت ادمین محترم شبگرد؛ که سایتش رو خدابیامرزد)
بنظرم چنین چیزی بزنید خیلی خوب است؛
نقل قول: چنین چیزی موجوده به نام Limon Linux Sandbox
لینوکس را عشق است
(۱۷-تير-۱۳۹۶, ۱۴:۵۲:۱۲)NO DONGLE نوشته است: [ -> ]چنین چیزی موجوده به نام Limon Linux Sandbox
خب این سندباکس هست، من میتونم این فیچرها رو بدون اجرای بدافزار پیدا کنم..
نقل قول: ولی من با همونی که لرد گرامی فرمودند موافقم, تحلیل برنامه های اندرویدی خیلی میتونه خوب باشه و علاوه بر دل خودتون واسه دل ما هم شادی به ارمغان بیاره
یعنی واقعا نیاز هست ؟
خب یه ایده چیزی هم بدید لطفا، چه فیچرهایی داشته باشه؟ چه کارهایی انجام بده؟ و ...
خب این سندباکس هست، من میتونم این فیچرها رو بدون اجرای بدافزار پیدا کنم..
هر دو حالت Static &Dynamic رو ساپورت میکنه
خصوصیت های انالیز در مد استاتیک :
- Determines File Type
- Determines File Size
- Determines md5 hash
- Determines fuzzy hash(ssdeep hash)
- Comparison of fuzzy hash with previously submitted samples to determine similar variants
- Display ELF header Structure
- Dumps ASCII and UNICODE strings
- Determines packers using YARA rules
- Determines malware capability using YARA rules (ability to run custom YARA rules will be added soon)
- Perfoms md5 search on VirusTotal(does not submit samples)
- Displays dependencies of the malware (shared objects)
- Displays program header structures
- Displays section header information
- Displays symbol table (both static and dynamic symbols)
خصوصیت های آنالیز در مد داینامیک :
- Filtered call trace for tracing system calls related to file, process, network activity
- Unfiltered call trace – traces all system calls (more noisy)
- Filtered system event montioring to track file, process, network activity (less noisy)
- Unfiltered system even monitoring to track file, process, network, memory allocations/unallocations, signals etc (more noisy)
- Shows DNS summary
- Shows TCP conversations
- Stores packet captures
- Stores event trace dump
خصوصیات آنالیز حافظه :
- Option to perform verbose memory forensics (slow)
- Process Listing (using different methods)
- Process tree listing
- Process listing with process arguments
- Displays thread associated with each process
- Dispays Network connections (TCP and UDP)
- Displays Interface Information
- Displays processes running with RAW sockets
- Displays shared libaries associated with the processes (using different methods)
- Displays kernel modules
- Dislays kernel modules hidden from module list but present in SYSFS
- Displays Kernel modules hidden from both module list and SYSFS
- Displays files opened within kernel
- Displays processes sharing credential structures
- Checks for keyboard notifier hooks
- Checks for TTY hooks
- Checks for system call table modification
- Displays BASH history
- Checks for modified file operation structures
- Checks hooked network operation function structures
- Checks netfilter hooks
- Check inline kernel hooks
- Checks for code or binary injection
- Check for PLT/GOT hooks (only in verbose mode)
- Checks for userland api hooks (only in verbose mode)
@دانگل نه:
اینایی که گفتی چی هست
@نیماارک:
https://koodous.com
https://github.com/SUPERAndroidAnalyzer
اطلاعات اولیه و مهم که تمام این آنالیززها انجامش میدن؛
ساختار فایلها و پوشه ها؛ نوع زبان هایی که باهاش برنامه رو نوشتند ... (مثلا بعضی موارد دات نت هست؛ یا بعضیا so و .. )
آنالیز dex و برگردوندن اون به زبان اصلی تا جایی که امکان داره و ..
یا اگه به فکر پول هم هستی به sandbox واسه اجرای برنامه درست کن تا عملکرد برنامه انالیز بشه
سلام،
آقا من این برنامه که گفته بودم تا اینجا نوشتم که:
اطلاعات کلی از فایل apk مثل اسم، حجم و هش
فایل AndroidManifst.xml به صورت کامل پارس میکنه و همه تگ هاشو هم ساپورت میکنه و اطلاعات و کلا استخراج میکنه.
فایل DEX هم نصف و نیمه تحلیل میکنه. هدر و اطلاعاتش + رشته ها + یه regex هم گذاشتم برای گرفتن رشته های به خصوص مثل url و ip و ایمیل و .. .
اینترفیس و هم با django نوشتم.
الان یه مشکلی هست من نیاز دارم که یه محیط ایزوله (vmware یا docker) به همراه یه سندباکس داشته باشم که بتونم فایل apk اجرا کنم و لاگ و بگیرم و در نهایت ریستارتش کنم. پیشنهادی ندارید ؟
این خارجکیا و بعضا یک مورد ایرانی هم دیدم؛ چطوری سندباکس واسه ویندوز درست میکنند؟ فکر میکنم با همون vmware انجامش میدن،
نمیشه بجای ویندوز روش یدونه اندروید نصب کرد و .. ؟
یا اینکه مثلا از نرم افزار شبیه ساز اندروید روی شبیه ساز ویندوز استفاده کنید، بعدی ماشین مجازی رو ریست میزنید و ...
یا اینکه کلا نظر ندم بهتره؟
مقاله یا آموزشی راجع به درست کردن سندباکس و نحوه ارتباطش و این چیزا ندارید؟ یا حدامکان چطوری هی vm و ریست کنم و این قضیه ها.