Logiciels malveillants

Analyse des logiciels malveillants Linux

Analyse des logiciels malveillants Linux
Logiciels malveillants est un morceau de code malveillant envoyé dans l'intention de nuire à son système informatique. Les logiciels malveillants peuvent être de tout type, tels que les rootkits, les logiciels espions, les logiciels publicitaires, les virus, les vers, etc., qui se cache et fonctionne en tâche de fond tout en communiquant avec son système de commande et de contrôle sur le réseau extérieur. De nos jours, la plupart des malwares sont ciblés et spécialement programmés pour contourner les mesures de sécurité du système cible. C'est pourquoi les logiciels malveillants avancés peuvent être très difficiles à détecter avec des solutions de sécurité normales. Les logiciels malveillants sont généralement spécifiques à une cible, et une étape importante dans le déclenchement d'un logiciel malveillant est son vecteur d'infection, je.e., comment le malware atteindra la surface de la cible. Par exemple, une clé USB quelconque ou des liens téléchargeables malveillants (via l'ingénierie sociale/phishing) peuvent être utilisés. Les logiciels malveillants doivent être capables d'exploiter une vulnérabilité pour infecter le système cible. Dans la plupart des cas, les logiciels malveillants sont dotés de la capacité d'effectuer plus d'une fonction ; par exemple, le malware pourrait contenir un code pour exploiter une certaine vulnérabilité et pourrait également transporter une charge utile ou un programme pour communiquer avec la machine attaquante.

REMnux

Le désassemblage d'un malware informatique pour étudier son comportement et comprendre ce qu'il fait réellement s'appelle Ingénierie inverse des logiciels malveillants. Pour déterminer si un fichier exécutable contient des logiciels malveillants ou s'il s'agit simplement d'un exécutable ordinaire, ou pour savoir ce que fait réellement un fichier exécutable et l'impact qu'il a sur le système, il existe une distribution Linux spéciale appelée REMnux. REMnux est une distribution légère basée sur Ubuntu équipée de tous les outils et scripts nécessaires pour effectuer une analyse détaillée des logiciels malveillants sur un fichier ou un logiciel exécutable donné. REMnux est équipé d'outils gratuits et open source qui peuvent être utilisés pour examiner tous les types de fichiers, y compris les exécutables. Certains outils en REMnux peut même être utilisé pour examiner du code JavaScript peu clair ou obscurci et des programmes Flash.

Installation

REMnux peut être exécuté sur n'importe quelle distribution basée sur Linux, ou dans une boîte virtuelle avec Linux comme système d'exploitation hôte. La première étape consiste à télécharger le REMnux distribution depuis son site officiel, ce qui peut être fait en entrant la commande suivante :

[email protégé] :~$ wget https://REMnux.org/remnux-cli

Assurez-vous de vérifier qu'il s'agit du même fichier que vous vouliez en comparant la signature SHA1. La signature SHA1 peut être produite à l'aide de la commande suivante :

[email protégé] :~$ sha256sum remnux-cli

Ensuite, déplacez-le vers un autre répertoire nommé « remnux » et donnez-lui des autorisations exécutables en utilisant "chmod +x." Maintenant, exécutez la commande suivante pour démarrer le processus d'installation :

[email protégé] :~$ mkdir remnux
[email protégé] : ~$ cd remnux
[email protégé] : ~$ mv… /remux-cli ./
[email protégé] :~$ chmod +x remnux-cli
//Installer Remnux
[email protected]:~$ sudo install remnux

Redémarrez votre système et vous pourrez utiliser le nouveau REMnux distribution contenant tous les outils disponibles pour la procédure de rétro-ingénierie.

Une autre chose utile à propos REMnux est que vous pouvez utiliser des images docker de populaires REMnux outils pour effectuer une tâche spécifique au lieu d'installer toute la distribution. Par exemple, le Déc.Ret l'outil est utilisé pour désassembler le code machine et il prend des entrées dans divers formats de fichiers, tels que les fichiers exe 32 bits/62 bits, les fichiers elf, etc. Rekall est un autre excellent outil contenant une image docker qui peut être utilisée pour effectuer des tâches utiles, comme extraire des données de mémoire et récupérer des données importantes. Pour examiner un code JavaScript peu clair, un outil appelé JSdetox peut également être utilisé. Les images Docker de ces outils sont présentes dans le REMnux référentiel dans le Docker Hub.

Analyse des logiciels malveillants

La vérification de l'imprévisibilité d'un flux de données s'appelle Entropie. Un flux cohérent d'octets de données, par exemple, tous les zéros ou tous les uns, ont 0 Entropie. D'autre part, si les données sont cryptées ou constituées de bits alternatifs, elles auront une valeur d'entropie plus élevée. Un paquet de données bien crypté a une valeur d'entropie plus élevée qu'un paquet de données normal car les valeurs de bits dans les paquets cryptés sont imprévisibles et changent plus rapidement. L'entropie a une valeur minimale de 0 et une valeur maximale de 8. L'utilisation principale d'Entropie dans l'analyse des logiciels malveillants est de trouver les logiciels malveillants dans les fichiers exécutables. Si un exécutable contient un malware malveillant, la plupart du temps, il est entièrement crypté afin qu'AntiVirus ne puisse pas enquêter sur son contenu. Le niveau d'entropie de ce type de fichier est très élevé, par rapport à un fichier normal, ce qui enverra un signal à l'enquêteur concernant quelque chose de suspect dans le contenu d'un fichier. Une valeur d'entropie élevée signifie un brouillage élevé du flux de données, ce qui est une indication claire de quelque chose de louche.

Cet outil utile est créé dans un seul but : trouver des logiciels malveillants dans un système. Généralement, ce que font les attaquants, c'est d'encapsuler le malware dans des données brouillées (ou de le coder/chiffrer) afin qu'il ne puisse pas être détecté par un logiciel antivirus. Density Scout scanne le chemin du système de fichiers spécifié et imprime les valeurs d'entropie de chaque fichier dans chaque chemin (en commençant du plus haut au plus bas). Une valeur élevée rendra l'enquêteur suspicieux et il approfondira l'enquête sur le dossier. Cet outil est disponible pour les systèmes d'exploitation Linux, Windows et Mac. Density Scout dispose également d'un menu d'aide affichant une variété d'options qu'il propose, avec la syntaxe suivante :

ubuntu@ubuntu:~ densitéscout --h

ByteHist est un outil très utile pour générer un graphique ou un histogramme en fonction du niveau de brouillage (entropie) des données de différents fichiers. Cela facilite encore le travail d'un enquêteur, car cet outil fait même des histogrammes des sous-sections d'un fichier exécutable. Cela signifie que maintenant, l'enquêteur peut facilement se concentrer sur la partie où la suspicion se produit en regardant simplement l'histogramme. L'histogramme d'un fichier d'apparence normale serait complètement différent d'un fichier malveillant.

Détection d'une anomalie

Les logiciels malveillants peuvent être compressés normalement à l'aide de différents utilitaires, tels que UPX. Ces utilitaires modifient les en-têtes des fichiers exécutables. Lorsque quelqu'un essaie d'ouvrir ces fichiers à l'aide d'un débogueur, les en-têtes modifiés bloquent le débogueur afin que les enquêteurs ne puissent pas l'examiner. Pour ces cas, Détection d'anomalies des outils sont utilisés.

PE Scanner est un script utile écrit en Python qui est utilisé pour détecter les entrées TLS suspectes, les horodatages invalides, les sections avec des niveaux d'entropie suspects, les sections avec des tailles brutes de longueur nulle et les malwares emballés dans des fichiers exe, entre autres fonctions.

Un autre excellent outil pour analyser les fichiers exe ou dll pour un comportement étrange est l'analyse EXE. Cet utilitaire vérifie le champ d'en-tête des exécutables pour les niveaux d'entropie suspects, les sections avec des tailles brutes de longueur nulle, les différences de somme de contrôle et tous les autres types de comportement non régulier des fichiers. EXE Scan a d'excellentes fonctionnalités, générant un rapport détaillé et automatisant les tâches, ce qui permet de gagner beaucoup de temps.

Chaînes obscurcies

Les attaquants peuvent utiliser un déplacement méthode pour masquer les chaînes dans les fichiers exécutables malveillants. Il existe certains types d'encodage qui peuvent être utilisés pour l'obscurcissement. Par example, POURRIR l'encodage est utilisé pour faire pivoter tous les caractères (alphabets minuscules et majuscules) d'un certain nombre de positions. OU exclusif l'encodage utilise une clé secrète ou une phrase secrète (constante) pour encoder ou XOR un fichier. ROL encode les octets d'un fichier en les faisant pivoter après un certain nombre de bits. Il existe différents outils pour extraire ces chaînes perplexes d'un fichier donné.

XORsearch est utilisé pour rechercher le contenu d'un fichier encodé à l'aide de Algorithmes ROT, XOR et ROL. Il forcera brutalement toutes les valeurs de clé d'un octet. Pour des valeurs plus longues, cet utilitaire prendra beaucoup de temps, c'est pourquoi vous devez spécifier la chaîne que vous recherchez. Certaines chaînes utiles que l'on trouve généralement dans les logiciels malveillants sont "http” (la plupart du temps, les URL sont cachées dans le code malveillant), "Ce programme" (l'en-tête du fichier est modifié en écrivant "Ce programme ne peut pas être exécuté sous DOS" dans de nombreux cas). Après avoir trouvé une clé, tous les octets peuvent être décodés en l'utilisant. La syntaxe XORsearch est la suivante :

ubuntu@ubuntu:~ xorsearch -s

  • brutexor

Après avoir trouvé des clés à l'aide de programmes tels que xor search, xor strings, etc., on peut utiliser un excellent outil appelé brutexor pour forcer brutalement n'importe quel fichier pour les chaînes sans spécifier une chaîne donnée. Lors de l'utilisation du -F option, le fichier entier peut être sélectionné. Un fichier peut être brutalement forcé en premier et les chaînes extraites sont copiées dans un autre fichier. Ensuite, après avoir regardé les chaînes extraites, on peut trouver la clé, et maintenant, en utilisant cette clé, toutes les chaînes encodées à l'aide de cette clé particulière peuvent être extraites.

ubuntu@ubuntu:~ brutexor.py >> voulez copier les chaînes extraites>
ubuntu@ubuntu:~ brutexor.py -f -k

Extraction d'artefacts et de données précieuses (supprimé)

Pour analyser des images de disque et des disques durs et en extraire des artefacts et des données précieuses à l'aide de divers outils tels que Scalpel, Avant toute chose, etc., il faut d'abord en créer une image bit par bit pour qu'aucune donnée ne soit perdue. Pour créer ces copies d'images, différents outils sont disponibles.

  • jj

jj est utilisé pour faire une image légale d'un lecteur. Cet outil fournit également un contrôle d'intégrité en permettant la comparaison des hachages d'une image avec le lecteur de disque d'origine. L'outil dd peut être utilisé comme suit :

ubuntu@ubuntu:~ dd if= de= bs=512
if=Lecteur source (par exemple, /dev/sda)
of=Lieu de destination
bs=Taille du bloc (le nombre d'octets à copier à la fois)

  • dcfldd

dcfldd est un autre outil utilisé pour la création d'image disque. Cet outil est comme une version améliorée de l'utilitaire dd. Il offre plus d'options que dd, telles que le hachage au moment de l'imagerie. Vous pouvez explorer les options de dcfldd à l'aide de la commande suivante :

ubuntu@ubuntu:~ dcfldd -h
Utilisation : dcfldd [OPTION]…
bs=BYTES force ibs=BYTES et obs=BYTES
conv=KEYWORDS convertit le fichier selon la liste de mots-clés séparés par des virgules
count=BLOCKS copie uniquement les BLOCKS blocs d'entrée
ibs=BYTES lit BYTES octets à la fois
if=FILE lu à partir de FILE au lieu de stdin
obs=BYTES écrit BYTES octets à la fois
of=FILE écrire dans FILE au lieu de stdout
REMARQUE : of=FILE peut être utilisé plusieurs fois pour écrire
sortie vers plusieurs fichiers simultanément
of:=COMMAND exec et écriture de la sortie pour traiter la COMMANDE
skip=BLOCKS ignore les BLOCKS blocs de taille ibs au début de l'entrée
pattern=HEX utilise le modèle binaire spécifié comme entrée
textpattern=TEXT utilise la répétition du TEXTE comme entrée
errlog=FILE envoie des messages d'erreur à FILE ainsi qu'à stderr
hash=NOM soit md5, sha1, sha256, sha384 ou sha512
l'algorithme par défaut est md5. Pour sélectionner plusieurs
algorithmes à exécuter simultanément saisir les noms
dans une liste séparée par des virgules
hashlog=FILE envoie la sortie de hachage MD5 à FILE au lieu de stderr
si vous utilisez plusieurs algorithmes de hachage, vous
pouvez envoyer chacun dans un fichier séparé en utilisant le
convention ALGORITHMlog=FICHIER, par exemple
md5log=FILE1, sha1log=FILE2, etc.
hashlog:=COMMAND exécutez et écrivez le hashlog pour traiter la COMMANDE
ALGORITHMlog:=COMMAND fonctionne également de la même manière
hashconv=[before|after] effectuer le hachage avant ou après les conversions
format de hachage=FORMAT afficher chaque fenêtre de hachage selon FORMAT
le format de hachage mini-langage est décrit ci-dessous
totalhash format=FORMAT afficher la valeur de hachage totale selon FORMAT
status=[on|off] affiche un message d'état continu sur stderr
l'état par défaut est « on »
statusinterval=N met à jour le message d'état tous les N blocs
la valeur par défaut est 256
vf=FILE vérifie que FILE correspond à l'entrée spécifiée
verifylog=FILE envoie les résultats de la vérification à FILE au lieu de stderr
verifylog:=COMMAND exécutez et écrivez les résultats de la vérification pour traiter la COMMANDE
--help afficher cette aide et quitter
--version sortie des informations de version et sortie

  • Avant toute chose

Foremost est utilisé pour extraire des données d'un fichier image à l'aide d'une technique connue sous le nom de découpage de fichier. L'objectif principal de la sculpture de fichiers est la sculpture de données à l'aide d'en-têtes et de pieds de page. Son fichier de configuration contient plusieurs en-têtes, qui peuvent être modifiés par l'utilisateur. Foremost extrait les en-têtes et les compare à ceux du fichier de configuration. S'il correspond, il sera affiché.

  • Scalpel

Scalpel est un autre outil utilisé pour la récupération et l'extraction de données et est comparativement plus rapide que Foremost. Scalpel examine la zone de stockage de données bloquée et commence à récupérer les fichiers supprimés. Avant d'utiliser cet outil, la ligne des types de fichiers doit être décommentée en supprimant # de la ligne désirée. Scalpel est disponible pour les systèmes d'exploitation Windows et Linux et est considéré comme très utile dans les enquêtes médico-légales.

  • Extracteur en vrac

Bulk Extractor est utilisé pour extraire des fonctionnalités, telles que les adresses e-mail, les numéros de carte de crédit, les URL, etc. Cet outil contient de nombreuses fonctions qui donnent une vitesse énorme aux tâches. Pour décompresser les fichiers partiellement corrompus, Bulk Extractor est utilisé. Il peut récupérer des fichiers comme des jpg, des pdf, des documents Word, etc. Une autre caractéristique de cet outil est qu'il crée des histogrammes et des graphiques des types de fichiers récupérés, ce qui permet aux enquêteurs de rechercher plus facilement les endroits ou les documents souhaités.

Analyser des PDF

Avoir un système informatique entièrement patché et le dernier antivirus ne signifie pas nécessairement que le système est sécurisé. Le code malveillant peut pénétrer dans le système de n'importe où, y compris les PDF, les documents malveillants, etc. Un fichier pdf se compose généralement d'un en-tête, d'objets, d'un tableau de références croisées (pour rechercher des articles) et d'une bande-annonce. "/OpenAction" et « / AA » (Action supplémentaire) veille à ce que le contenu ou l'activité se déroule naturellement. "/Noms", "/AcroForme", et "/Action" peut également indiquer et diffuser des contenus ou des activités. "/JavaScript" indique JavaScript à exécuter. "/Aller à*" change la vue en un objectif prédéfini dans le PDF ou dans un autre enregistrement PDF. "/Lancer" envoie un programme ou ouvre une archive. "/URI" obtient un actif par son URL. "/Soumettre le formulaire" et "/GoToR" peut envoyer des informations à l'URL. "/Un média riche" peut être utilisé pour installer Flash en PDF. "/ObjStm" peut envelopper des objets à l'intérieur d'un flux d'objets. Soyez conscient de la confusion avec les codes hexadécimaux, par exemple, "/JavaScript" contre "/J#61vaScript." Les fichiers PDF peuvent être examinés à l'aide de divers outils pour déterminer s'ils contiennent du JavaScript ou du shellcode malveillant.

  • pdfid.py

pdfid.py est un script Python utilisé pour obtenir des informations sur un PDF et ses en-têtes. Examinons avec désinvolture l'analyse d'un PDF à l'aide de pdfid :

ubuntu@ubuntu:~ python pdfid.py malveillant.pdf
PDFiD 0.2.1 /home/ubuntu/Desktop/malveillant.pdf
En-tête PDF : %PDF-1.7
obj 215
endobj 215
flux 12
courant final 12
xréf 2
remorque 2
startxref 2
/Page 1
/Crypter 0
/ObjStm 2
/JS 0
/JavaScript 2
/AA 0
/OpenAction 0
/AcroForm 0
/JBIG2Décoder 0
/RichMedia 0
/Lancer 0
/Fichier Intégré 0
/XFA 0
/Couleurs > 2^24 0

Ici, vous pouvez voir qu'un code JavaScript est présent à l'intérieur du fichier PDF, qui est le plus souvent utilisé pour exploiter Adobe Reader.

  • pipipdf

peepdf contient tout le nécessaire pour l'analyse des fichiers PDF. Cet outil donne à l'enquêteur un aperçu des flux d'encodage et de décodage, de la modification des métadonnées, du shellcode, de l'exécution des shellcodes et du code JavaScript malveillant. Peepdf a des signatures pour de nombreuses vulnérabilités. En l'exécutant avec un fichier pdf malveillant, peepdf exposera toute vulnérabilité connue. Peepdf est un script Python et il fournit une variété d'options pour analyser un PDF. Peepdf est également utilisé par des codeurs malveillants pour emballer un PDF avec du JavaScript malveillant, exécuté lors de l'ouverture du fichier PDF. L'analyse de shellcode, l'extraction de contenu malveillant, l'extraction d'anciennes versions de documents, la modification d'objets et la modification de filtres ne sont que quelques-unes des nombreuses fonctionnalités de cet outil.

ubuntu@ubuntu:~ python pipipdf.py malveillant.pdf
Fichier : malveillant.pdf
MD5 : 5b92c62181d238f4e94d98bd9cf0da8d
SHA1 : 3c81d17f8c6fc0d5d18a3a1c110700a9c8076e90
SHA256 : 2f2f159d1dc119dcf548a4cb94160f8c51372a9385ee60dc29e77ac9b5f34059
Taille : 263069 octets
Version 1.7
Binaire : vrai
Linéarisé : Faux
Crypté : Faux
Mises à jour : 1
Objets : 1038
Flux : 12
URI : 156
Commentaires : 0
Erreurs : 2
Flux (12) : [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1036, 1038]
Flux Xréf (1) : [1038]
Flux d'objets (2) : [204, 705]
Encodé (11) : [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1038]
Objets avec URI (156) : [11, 12, 13, 14, 15, 16, 24, 27, 28, 29, 30, 31, 32, 33,
34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53,
54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73,
74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93,
94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110,
111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 122, 123, 124, 125, 126,
127, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142,
143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158,
159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175]
 
Éléments suspects :/Noms (1) : [200]

Bac à sable coucou

Le sandboxing est utilisé pour vérifier le comportement de programmes non testés ou non fiables dans un environnement sûr et réaliste. Après avoir mis un fichier dans Bac à sable coucou, en quelques minutes, cet outil vous dévoilera toutes les informations et comportements pertinents. Les logiciels malveillants sont la principale arme des attaquants et Coucou est la meilleure défense que l'on puisse avoir. De nos jours, il ne suffit pas de savoir qu'un malware entre dans un système et de le supprimer, et un bon analyste en sécurité doit analyser et examiner le comportement du programme pour déterminer l'effet sur le système d'exploitation, son contexte dans son ensemble et ses principales cibles.

Installation

Cuckoo peut être installé sur les systèmes d'exploitation Windows, Mac ou Linux en téléchargeant cet outil via le site officiel : https://cuckoosandbox.org/

Pour que Cuckoo fonctionne correctement, il faut installer quelques modules et bibliothèques Python. Cela peut être fait en utilisant les commandes suivantes :

ubuntu@ubuntu:~ sudo apt-get install python python-pip
python-dev mongodb postgresql libpq-dev

Pour que Cuckoo affiche la sortie révélant le comportement du programme sur le réseau, il faut un renifleur de paquets comme tcpdump, qui peut être installé à l'aide de la commande suivante :

ubuntu@ubuntu:~ sudo apt-get install tcpdump

Pour donner au programmeur Python la fonctionnalité SSL pour implémenter les clients et les serveurs, m2crypto peut être utilisé :

ubuntu@ubuntu:~ sudo apt-get install m2crypto

Usage

Cuckoo analyse une variété de types de fichiers, y compris les PDF, les documents Word, les exécutables, etc. Avec la dernière version, même les sites Web peuvent être analysés à l'aide de cet outil. Coucou peut également supprimer le trafic réseau ou le router via un VPN. Cet outil vide même le trafic réseau ou le trafic réseau SSL, et cela peut être analysé à nouveau. Les scripts PHP, les URL, les fichiers html, les scripts Visual Basic, les fichiers zip, dll et presque tous les autres types de fichiers peuvent être analysés à l'aide de Cuckoo Sandbox.

Pour utiliser Coucou, vous devez soumettre un échantillon puis analyser son effet et son comportement.

Pour soumettre des fichiers binaires, utilisez la commande suivante :

# coucou soumettre

Pour soumettre une URL, utilisez la commande suivante :

# coucou soumettre

Pour configurer un délai d'attente pour l'analyse, utilisez la commande suivante :

# coucou soumettre timeout=60s

Pour définir une propriété supérieure pour un binaire donné, utilisez la commande suivante :

# coucou soumettre --priorité 5

La syntaxe de base de Cuckoo est la suivante :

# coucou soumettre --package exe --options arguments=dosometask

Une fois l'analyse terminée, un certain nombre de fichiers peuvent être consultés dans le répertoire « CWD/stockage/analyse », contenant les résultats de l'analyse sur les échantillons fournis. Les fichiers présents dans ce répertoire incluent les suivants :

  • Analyse.Journal: Contient les résultats du processus au moment de l'analyse, tels que les erreurs d'exécution, la création de fichiers, etc.
  • Mémoire.décharger: Contient l'analyse complète du vidage de la mémoire.
  • Décharger.pcap : Contient le vidage réseau créé par tcpdump.
  • Des dossiers: Contient tous les fichiers sur lesquels le malware a travaillé ou affecté.
  • Dump_sorted.pcap : Contient une forme de décharge facilement compréhensible.pcap pour rechercher le flux TCP.
  • Journaux : Contient tous les journaux créés.
  • Coups: Contient des instantanés du bureau pendant le traitement du malware ou pendant le temps que le malware était en cours d'exécution sur le système Cuckoo.
  • Tlsmaster.SMS: Contient les secrets principaux TLS capturés lors de l'exécution du malware.

Conclusion

Il y a une perception générale que Linux est exempt de virus, ou que la chance d'obtenir des logiciels malveillants sur ce système d'exploitation est très rare. Plus de la moitié des serveurs Web sont basés sur Linux ou Unix. Avec autant de systèmes Linux servant des sites Web et d'autres trafics Internet, les attaquants voient un grand vecteur d'attaque dans les logiciels malveillants pour les systèmes Linux. Ainsi, même l'utilisation quotidienne des moteurs antivirus ne suffirait pas. Pour se défendre contre les menaces de logiciels malveillants, de nombreuses solutions antivirus et de sécurité des terminaux sont disponibles. Mais pour analyser un malware manuellement, REMnux et bac à sable coucou sont les meilleures options disponibles. REMnux fournit une large gamme d'outils dans un système de distribution léger et facile à installer qui serait idéal pour tout enquêteur judiciaire dans l'analyse des fichiers malveillants de tous types pour les malwares. Certains outils très utiles sont déjà décrits en détail, mais ce n'est pas tout ce que REMnux a, ce n'est que la pointe de l'iceberg. Certains des outils les plus utiles du système de distribution REMnux sont les suivants :

Pour comprendre le comportement d'un programme suspect, non fiable ou tiers, cet outil doit être exécuté dans un environnement sécurisé et réaliste, tel que Bac à sable coucou, afin que les dommages ne puissent pas être causés au système d'exploitation hôte.

L'utilisation de contrôles réseau et de techniques de renforcement du système fournit une couche de sécurité supplémentaire au système. Les techniques de réponse aux incidents ou d'investigation médico-légale numérique doivent également être mises à niveau régulièrement pour surmonter les menaces de logiciels malveillants sur votre système.

Jeux Ports Open Source des moteurs de jeux commerciaux
Ports Open Source des moteurs de jeux commerciaux
Les récréations de moteur de jeu gratuites, open source et multiplateformes peuvent être utilisées pour jouer à d'anciens ainsi qu'à certains des titr...
Jeux Meilleurs jeux de ligne de commande pour Linux
Meilleurs jeux de ligne de commande pour Linux
La ligne de commande n'est pas seulement votre plus grand allié lorsque vous utilisez Linux, elle peut également être une source de divertissement car...
Jeux Meilleures applications de mappage de manette de jeu pour Linux
Meilleures applications de mappage de manette de jeu pour Linux
Si vous aimez jouer à des jeux sur Linux avec une manette de jeu au lieu d'un système de saisie clavier et souris typique, il existe des applications ...