REMnux adalah distribusi Linux berbasis Ubuntu gratis yang dirancang untuk rekayasa balik dan analisis malware.
Itu dilengkapi dengan banyak alat, sebagian besar dari mereka tercantum di bawah ini.
Itu dilengkapi dengan banyak alat, sebagian besar dari mereka tercantum di bawah ini.
- Thug: Ini adalah sarang lebah interaksi rendah Python yang bertujuan meniru perilaku peramban web untuk mendeteksi dan mengemulasi konten berbahaya.
- mitmproxy:Ini adalah alat konsol yang memungkinkan pemeriksaan interaktif dan modifikasi lalu lintas HTTP.
- Network Miner Free Edition: Ini adalah Network Forensic Analysis Tool (NFAT) untuk Windows (tetapi juga berfungsi di Linux / Mac OS X / FreeBSD).
- ikal: Alat untuk mentransfer data dari atau ke server, menggunakan salah satu protokol yang didukung (DICT, FILE, FTP, FTPS, GOPHER, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMB, SMBS, SMTP, SMTPS, TELNET dan TFTP).
- Wget: Paket perangkat lunak gratis untuk mengambil file menggunakan HTTP, HTTPS, dan FTP, protokol Internet yang paling banyak digunakan.
- Burp Proxy Free Edition: Toolkit untuk pengujian keamanan aplikasi web.
- Automater: Ini adalah URL / Domain, Alamat IP, dan alat intelijen open-source (OSINT) Md5 Hash yang ditujukan untuk mempermudah proses analisis bagi Analis intrusi.
- pdnstool: Alat untuk menanyakan penyedia DNS pasif.
- Tor:Ini adalah perangkat lunak gratis untuk mengaktifkan komunikasi anonim.
- tcpextract: Alat untuk mengekstraksi file dari lalu lintas jaringan berdasarkan tanda tangan file.
- tcpflow: Ini adalah alat untuk memahami aliran paket jaringan dan melakukan forensik jaringan.
- passive.py: Alat DNS pasif (versi Virustotal + Mnemonic).
- CapTipper: Alat python untuk menganalisis, menjelajahi, dan menghidupkan kembali traffic jahat HTTP.
- yaraPcap.py: Pemindai Yara Untuk Umpan IMAP dan Stream yang disimpan.
- xxxswf: Ini adalah skrip Python untuk mengukir, memindai, mengompresi, mendekompresi, dan menganalisis file Flash SWF.
- Alat SWF: Ini adalah kumpulan utilitas untuk bekerja dengan file Adobe Flash (file SWF). Koleksi alat mencakup program untuk membaca file SWF, menggabungkannya, dan membuatnya dari konten lain (seperti gambar, file suara, video atau kode sumber).
- RABCDAsm: Ini adalah kumpulan utilitas termasuk assembler / disassembler ActionScript 3, dan beberapa alat untuk memanipulasi file SWF.
- extract_swf: Alat untuk mengekstrak file SWF potensial dari binari proyektor.
- Flare: Ini adalah dekompiler ActionScript gratis.
- Java Cache IDX Parser: Ini mem-parsing file Java Cache IDX.
- JD-GUI Java Decompiler: Ini adalah utilitas grafis mandiri yang menampilkan kode sumber Java dari file ".class".
- JAD Java Decompiler: Program yang membaca satu atau lebih file kelas Java dan mengubahnya menjadi file sumber Java.
- Javassist: Ini adalah perpustakaan kelas untuk mengedit bytecodes di Jawa; itu memungkinkan program Java untuk mendefinisikan kelas baru saat runtime dan untuk memodifikasi file kelas ketika JVM memuatnya.
- CFR: Dekompiler Java lain.
- Debino Debino: GUI yang memungkinkan debugging skrip JavaScript yang diinterpretasikan berjalan di Rhino.
- ExtractScripts: Memungkinkan Anda untuk mengekstrak (berpotensi) skrip berbahaya dari halaman web.
- SpiderMonkey: Ini adalah mesin JavaScript Mozilla yang ditulis dalam C dan C ++.
- V8: Mesin JavaScript kinerja tinggi open source Google, ditulis dalam C ++.
- JS Beautifier: Ini memungkinkan Anda untuk mempercantik, membongkar, atau menghilangkan JavaScript.
- AnalyzePDF: Menganalisis file PDF dengan melihat karakteristiknya.
- Pdfobjflow: Program ini dimaksudkan untuk digunakan dengan pdf-parser dari Didier Stevens. Bunyinya output dari pdf-parser dan membuat peta objek mengalir di bawah bentuk file DOT.
- pdfid: Ini dapat memindai file untuk mencari kata kunci PDF tertentu, memungkinkan Anda mengidentifikasi dokumen PDF yang berisi (misalnya) JavaScript atau menjalankan tindakan saat dibuka.
- pdf-parser: Alat untuk mem-parsing file PDF dan mengidentifikasi elemen-elemen mendasar.
- peepdf: Alat Python untuk menjelajahi file PDF untuk mengetahui apakah file tersebut dapat berbahaya atau tidak.
- Origami: Kerangka kerja Ruby yang dirancang untuk menguraikan, menganalisis, dan memalsukan dokumen PDF.
- PDF X-RAY Lite: Versi lite dari PDF X-RAY yang tidak menggunakan backend.
- PDFtk: Alat untuk menggabungkan dan memisahkan dokumen dan halaman PDF dengan cepat.
- swf_mastah: Memungkinkan Anda untuk mengambil SWF dari file PDF.
- qpdf: Ini adalah program baris perintah yang melakukan transformasi struktural, mempertahankan konten pada file PDF.
- pdfresurrect: Ini adalah alat yang bertujuan menganalisis dokumen PDF.
- officeparser: Skrip python yang mem-parsing format dokumen gabungan OLE yang digunakan oleh aplikasi Microsoft Office.
- pyOLEScanner.py: Ini memeriksa dokumen Office dan mencari contoh spesifik kode berbahaya.
- oletools: Ini adalah paket alat python untuk menganalisis file Microsoft OLE2 (juga disebut Structured Storage, Compound File Binary Format atau Compound Document File Format), seperti dokumen Microsoft Office atau pesan Outlook, terutama untuk analisis malware, forensik dan debugging.
- libolecf: Ini adalah perpustakaan untuk mengakses format OLE 2 Compound File (OLECF).
- oledump: Ini adalah program untuk menganalisis file OLE (Compound File Binary Format). File-file ini berisi aliran data. oledump memungkinkan Anda untuk menganalisis aliran ini.
- emldump: Ini adalah skrip python untuk menganalisis file MIME.
- MSGConvert: Konverter .MSG ke mbox.
- base64dump.py: Ini adalah program yang mengekstrak dan mendekodekan string base64 yang ditemukan di dalam file yang disediakan.
- Unicode: Ini menampilkan properti karakter Unicode.
- sctest: Berguna saat menguji fitur baru.
- unicode2hex-escaped: Mengubah string Unicode yang dikodekan menjadi hex.
- unicode2raw: Mengubah string yang dikodekan Unicode menjadi raw.
- dism-this: Skrip Python untuk menganalisis data yang dibongkar di dalam objek file.
- shellcode2exe: Sebuah shellcode ke konverter yang dapat dieksekusi.
- unXOR: Alat ini akan mencari melalui file yang disandikan XOR (biner, file teks, apa pun) dan menggunakan serangan teks biasa untuk menyimpulkan keystream asli. Bekerja pada tombol setengah sepanjang teks biasa, dalam kompleksitas linier.
- XORStrings: Ini akan mencari string dalam file (biner) yang Anda berikan, menggunakan pengkodean yang sama seperti XORSearch (XOR, ROL, ROT dan SHIFT).
- ex_pe_xor: Mendeteksi single byte xor encoding dengan mencari MZ yang dikodekan, lfanew dan PE, kemudian XOR data dan menggunakan pefile untuk mengekstrak executable yang didekodekan.
- XORSearch: Suatu program untuk mencari string yang diberikan dalam file biner yang disandikan XOR, ROL, ROT atau SHIFT.
- brxor.py: Alat untuk bruteforcing string yang dikodekan dalam batas yang ditentukan oleh ekspresi reguler.
- xortool: Alat untuk menganalisis multi-byte xor cipher.
- NoMoreXOR: Alat untuk membantu menebak file kunci XOR 256 byte dengan menggunakan analisis frekuensi.
- XORBruteForcer: Sebuah skrip yang mengimplementasikan bruteforcing XOR dari file yang diberikan, meskipun kunci spesifik dapat digunakan juga.Dimungkinkan untuk mencari kata di hasil XOR, meminimalkan hasil.
- Balbuzard: Paket alat analisis malware di Python untuk mengekstraksi pola minat dari file yang mencurigakan (alamat IP, nama domain, header file yang diketahui, string yang menarik, dll). Itu juga dapat memecahkan kebingungan malware seperti XOR, ROL, dll dengan bruteforcing dan memeriksa pola-pola tersebut.
- FLOSS: FireEye Labs Obfuscated String Solver (FLOSS) adalah program yang dapat menghilangkan string dari biner malware dengan menggunakan teknik analisis statis lanjutan.
- strdeobj: Mengekstrak dan mendekode string yang didefinisikan sebagai array.
- pestr: Ini adalah toolkit multi platformuntuk bekerja dengan binari PE (Portable Executable). Tujuan utamanya adalah untuk menyediakan alat kaya fitur untuk menganalisis biner yang tepat, terutama yang mencurigakan.
- strings: Ini adalah program yang menemukan dan mencetak string teks yang tertanam dalam file biner seperti executable.
- Terutama: Program konsol untuk memulihkan file berdasarkan header, footer, dan struktur data internal.
- Scalpel: Program open source untuk memulihkan data yang dihapus awalnya berdasarkan Foremost, meskipun secara signifikan lebih efisien.
- bulk_extractor: Alat forensik komputer yang memindai gambar disk, file, atau direktori file dan mengekstrak informasi yang berguna tanpa mem-parsing sistem file atau struktur sistem file.
- Hachoir: Pustaka Python untuk melihat dan mengedit bidang aliran biner demi bidang. Dengan kata lain, Hachoir memungkinkan Anda untuk "menelusuri" aliran biner apa pun seperti Anda menjelajahi direktori dan file.
- Wireshark: Ini adalah penganalisa protokol jaringan terkemuka di dunia. Ini memungkinkan Anda melihat apa yang terjadi di jaringan Anda pada tingkat mikroskopis.
- ngrep: Ini adalah penganalisa paket jaringan yang bergantung pada pustaka pcap dan pustaka regeks GNU.
- TCPDump: Penganalisis paket baris perintah yang kuat.
- tcpick: Ini adalah textmode sniffer libpcap-based yang dapat melacak, merakit ulang, dan menyusun ulang stream TCP. Tcpick dapat menyimpan arus yang ditangkap dalam file yang berbeda atau menampilkannya di terminal, dan karenanya sangat berguna untuk mengendus file yang dikirim melalui FTP atau HTTP.
- FakeDNS: Server DNS MITM python berbasis ekspresi reguler dengan dukungan untuk serangan Rebinding DNS.
- Nginx: Ini adalah HTTP dan server proxy terbalik, server proxy surat, dan server proxy TCP / UDP umum.
- fakeMail: Menangkap e-mail sebagai file untuk pengujian penerimaan. Ini menghindari konfigurasi pengaturan server mail yang sebenarnya dan mencoba mengekstrak konten antrian email
- Honeyd: Daemon kecil yang membuat host virtual di jaringan.
- INetSim: Paket perangkat lunak untuk mensimulasikan layanan internet umum di lingkungan lab, misalnya untuk menganalisis perilaku jaringan sampel malware yang tidak dikenal.
- Inspire IRCd: Server Internet Relay Chat (IRC) modular yang ditulis dalam C ++ untuk sistem Linux, BSD, Windows dan Mac OS X.
- OpenSSH: Ini adalah alat konektivitas utama untuk login jarak jauh dengan protokol SSH. Ini mengenkripsi semua lalu lintas untuk menghilangkan menguping, pembajakan koneksi, dan serangan lainnya. Selain itu, OpenSSH menyediakan rangkaian besar kemampuan tunneling aman, beberapa metode otentikasi, dan opsi konfigurasi canggih.
- accept-all-ips: Ini adalah skrip bash shell yang mampu mengarahkan semua lalu lintas jaringan yang ditujukan untuk alamat IP.
- prettyping.sh: Sebuah pembungkus di sekitar alat ping standar dengan tujuan membuat output lebih cantik, lebih berwarna, lebih kompak, dan lebih mudah dibaca.
- set-static-ip: Memungkinkan Anda untuk sementara menetapkan IP statis.
- renew-dhcp: Memungkinkan Anda untuk memperbarui Sewa DHCP.
- Netcat: Utilitas jaringan berfitur yang membaca dan menulis data melalui koneksi jaringan, menggunakan protokol TCP / IP.
- EPIC IRC Client: Klien IRC yang telah dalam pengembangan aktif selama 20+ tahun dalam 5 generasi. Ini stabil dan matang, dan menawarkan antarmuka ircII yang sangat baik bagi kita yang terbiasa dengan cara ircII dalam melakukan sesuatu.
- Stunnel: Proxy yang dirancang untuk menambahkan fungsionalitas enkripsi TLS ke klien dan server yang ada tanpa perubahan dalam kode program.Arsitekturnya dioptimalkan untuk keamanan, portabilitas, dan skalabilitas (termasuk load-balancing), sehingga cocok untuk penggunaan besar.
- Just-Metadata: Alat yang mengumpulkan dan menganalisis metadata tentang alamat IP.
- Maltrieve: Alat untuk mengambil malware langsung dari sumbernya.
- Ragpicker: Perayap malware berbasis plugin dengan fungsi pra-analisis dan pelaporan.
- Viper: Analisis biner dan kerangka kerja manajemen.
- MASTIFF: Kerangka analisis statis yang mengotomatiskan proses mengekstraksi karakteristik kunci dari sejumlah format file yang berbeda.
- Scout Kepadatan: Alat ini menghitung kerapatan (seperti entropi) untuk file dari setiap jalur sistem file untuk akhirnya menampilkan daftar urutan yang sesuai.
- YaraGenerator: Toolset open-source yang memungkinkan untuk membuat tanda tangan YARA cepat, efektif, dan otomatis dari sejumlah filetypesi berbahaya (Executables, Office, PDF, Java, HTML, dan banyak lagi).
- IOCextractor: Suatu program untuk membantu mengekstraksi IOC (Indicator of Compromise) dari file teks.
- Autorule: Alat untuk mengekstraksi pola biner dalam perangkat malware dan membuat aturan Yara.
- Editor Aturan
- ioc-parser: Ini adalah alat untuk mengekstraksi indikator kompromi dari laporan keamanan dalam format PDF.
- Yara: Alat yang bertujuan (tetapi tidak terbatas pada) membantu peneliti malware untuk mengidentifikasi dan mengklasifikasikan sampel malware.
- ClamAV: Mesin antivirus open source untuk mendeteksi trojan, virus, malware & ancaman berbahaya lainnya.
- TrID: Utilitas yang dirancang untuk mengidentifikasi jenis file dari tanda tangan biner mereka.
- ExifTool: Aplikasi baris perintah platform-independen untuk membaca, menulis dan mengedit informasi meta dalam berbagai file.
- virustotal-submit: Ini adalah program Python untuk mengirimkan file ke VirusTotal.
- Disitool: Program Python kecil untuk memanipulasi tanda tangan digital tertanam.
- nsrllookup: Ini adalah alat baris perintah yang memungkinkan Anda untuk triase file dengan cepat dan efisien hash MD5.
- Hash Identifier: Program untuk mengidentifikasi berbagai jenis hash yang digunakan untuk mengenkripsi data dan terutama kata sandi.
- totalhash: Skrip python untuk berinteraksi dengan totalhash.com.
- ssdeep: Program untuk konteks komputasi yang dipicu hash piecewise (CTPH).
- virustotal-search: Program python untuk mencari VirusTotal untuk hash.
- VirusTotalApi: API lengkap VirusTotal.
- Sysdig: Ini adalah solusi pemantauan Docker asli-wadah pertama yang menggabungkan visibilitas wadah dengan Swarm, Mesos, dan intelijen pemantauan Kubernetes.
- Unhide: Alat forensik untuk menemukan proses tersembunyi dan port TCP / UDP dengan rootkit / LKM atau dengan teknik tersembunyi lainnya.
- Vivisect: Ini adalah analisis statis dan kerangka emulasi berbasis Python.
- Udis86: Perpustakaan disassembler untuk arsitektur x86 yang memungkinkan Anda untuk men-decode aliran byte sebagai instruksi x86, memeriksa berbagai bit informasi tentangnya, dan bahkan menerjemahkan ke bentuk bahasa assembly yang dapat dibaca manusia.
- objdump: Program untuk menampilkan berbagai informasi tentang file objek.
- Evan's Debugger (EDB): Platform lintas x86 / x86-64 debugger.
- GNU Project Debugger (GDB):Memungkinkan Anda untuk melihat apa yang terjadi 'di dalam' program lain saat dijalankan - atau apa yang sedang dilakukan program lain pada saat crash.
- strace: Pelacak userspace diagnostik, debugging dan instruksional untuk Linux.
- ltrace: Program yang hanya menjalankan perintah yang ditentukan sampai keluar. Ini memotong dan merekam panggilan perpustakaan dinamis yang dipanggil oleh proses yang dieksekusi dan sinyal yang diterima oleh proses itu. Itu juga dapat mencegat dan mencetak panggilan sistem yang dijalankan oleh program.
- Radare2: Kerangka portabel untuk rekayasa balik dan menganalisis binari.
- Pyew: Alat python untuk menganalisis malware.
- Bokken: GUI untuk alat analisis malware Pyew dan Radare kerangka kerja rekayasa terbalik.
- m2elf: Konversi Kode Mesin ke x86 (32-bit) Linux dapat dieksekusi (pembungkus otomatis dengan header ELF).
- ELF Parser: Alat untuk dengan cepat menentukan kemampuan biner ELF melalui analisis statis. Ini memungkinkan Anda untuk mengetahui apakah biner itu dikenal sebagai malware atau kemungkinan ancaman tanpa pernah mengeksekusi file.
- SciTE: Editor teks berbasis SCIntilla.
- Geany: Geany adalah editor teks GUI ringan menggunakan Scintilla dan GTK +, termasuk fitur IDE dasar.
- Vim: Editor teks yang sangat dapat dikonfigurasi yang dibuat untuk membuat membuat dan mengubah segala jenis teks menjadi sangat efisien.
- feh: Penampil gambar X11 sebagian besar ditujukan untuk pengguna konsol.
- ImageMagick: Paket perangkat lunak untuk membuat, mengedit, menulis, atau mengkonversi gambar bitmap.
- wxHexEditor: Editor heks yang mendukung file hingga 2 ^ 64 byte.
- VBinDiff: Ini menampilkan file dalam heksadesimal dan ASCII (atau EBCDIC).Itu juga dapat menampilkan dua file sekaligus, dan menyoroti perbedaan di antara mereka.
- Xpdf: Penampil sumber terbuka untuk file Portable Document Format (PDF).
- Volatility Framework: Kerangka forensik memori tingkat lanjut.
- findaes: Utilitas kecil untuk mencari kunci AES.
- AESKeyFinder: Alat untuk menemukan dan merekonstruksi kunci AES.
- RSAKeyFinder: Alat untuk menemukan kunci privat dan publik RSA.
- VolDiff: Skrip python yang memanfaatkan kerangka Volatilitas untuk mengidentifikasi ancaman malware pada gambar memori Windows.
- Rekall: Ini adalah kerangka Analisis Memori canggih.
- linux_mem_diff_tool: Script untuk melakukan analisis memori Linux menggunakan Volatility.
- UPX: Packer executable gratis, portabel, dapat diperpanjang, berkinerja tinggi untuk beberapa format yang dapat dieksekusi.
- Bytehist: Alat untuk membuat byte-use-histogram untuk semua jenis file dengan fokus khusus pada executable biner dalam format-PE.
- PackerID: Skrip berbasis python yang ditulis oleh Jim Clausing untuk membantu mengidentifikasi apa yang nantinya digunakan oleh packer dalam file yang dapat dieksekusi.
- Signsrch: Alat untuk mencari tanda tangan di dalam file, sangat berguna dalam membalikkan teknik untuk mencari atau memiliki ide awal tentang algoritma enkripsi / kompresi apa yang digunakan untuk protokol atau file berpemilik.
- pescanner: Alat analisis PE yang ditulis dengan python.
- ExeScan: detektor anomali file PE.
- Peframe: Alat open source untuk melakukan analisis statis pada malwares (portable executable).
- pedump: Implementasi ruby murni dari file binary win32 PE.
- RATDecoders: decoder Python untuk Trojan Remote Access (RAT) umum.
- readpe.py: Pustaka python untuk membaca dan menulis file PE / PE +.
- PyInstaller Extractor: Alat untuk mengekstrak isi file yang dapat dieksekusi windows yang dibuat oleh pyinstaller.
- DC3-MWCP: Ini adalah kerangka kerja untuk mem- parsing informasi konfigurasi dari malware.
- Androwarn: Penganalisa kode statis untuk aplikasi Android berbahaya.
- AndroGuard: Ini adalah toolkit yang dibangun dengan Python yang menyediakan rekayasa terbalik dan analisis malware untuk Android.
- ProcDOT: Alat ini memproses Sysinternals Process Monitor (Procmon) logfiles dan PCAP-logs (Windump, Tcpdump) untuk menghasilkan grafik melalui suite GraphViz. Grafik ini memvisualisasikan setiap kegiatan yang relevan (dapat disesuaikan) dan dapat dianalisis secara interaktif.
- bashhacks: Satu set open source (GPL) fungsi bash yang mungkin berguna untuk programmer, analis keamanan dan pengguna umum yang perlu melakukan beberapa jenis operasi tingkat rendah.
- Docker: Ini adalah platform wadah perangkat lunak terkemuka di dunia.Pengembang menggunakan Docker untuk menghilangkan masalah "bekerja pada mesin saya" saat berkolaborasi dalam kode dengan rekan kerja. Operator menggunakan Docker untuk menjalankan dan mengelola aplikasi berdampingan dalam wadah terisolasi untuk mendapatkan kepadatan komputasi yang lebih baik. Perusahaan menggunakan Docker untuk membangun jaringan pengiriman perangkat lunak yang gesit untuk mengirimkan fitur-fitur baru dengan lebih cepat, lebih aman dan dengan kepercayaan diri untuk aplikasi Linux dan Windows Server.
- vtTool: Ia menawarkan cara yang mudah untuk menentukan kemungkinan nama malware dengan menanyakan VirusTotal menggunakan hash file melalui baris perintah.
- REMnux Updater: Perbarui atau perbarui distro REMnux pada host lokal.
- Decompyle ++: A python Byte-code disassembler / decompiler.
Alat tambahan
- Kerangka Metasploit tidak diinstal pada REMnux; namun, Anda dapat menjalankannya sebagai wadah Docker jika diperlukan.
- WIPSTER menawarkan antarmuka berbasis web ke beberapa alat REMnux.Anda dapat dengan mudah menginstal WIPSTER di REMnux dengan menjalankan perintah " install-wipster ".
- BinNavi adalah alat untuk memeriksa kode yang dibongkar secara statis. Anda dapat menginstalnya di REMnux dengan menjalankan perintah " install-binnavi "