Phenquestions
REMnux
Imenuje se razstavljanje računalniške zlonamerne programske opreme, da bi preučili njeno vedenje in razumeli, kaj dejansko počne Povratno inženirstvo zlonamerne programske opreme. Da bi ugotovili, ali izvršljiva datoteka vsebuje zlonamerno programsko opremo ali gre le za navadno izvedljivo datoteko ali vedeti, kaj izvršljiva datoteka v resnici počne in kakšen vpliv ima na sistem, obstaja posebna distribucija Linuxa REMnux. REMnux je lahka distribucija na osnovi Ubuntuja, opremljena z vsemi orodji in skripti, potrebnimi za izvedbo podrobne analize zlonamerne programske opreme na določeni datoteki ali izvršljivi programski opremi. REMnux je opremljen z brezplačnimi in odprtokodnimi orodji, s katerimi je mogoče pregledati vse vrste datotek, vključno z izvršljivimi datotekami. Nekaj orodij v REMnux se lahko uporablja tudi za pregled nejasne ali nejasne kode JavaScript in programov Flash.
Namestitev
REMnux lahko zaženete v kateri koli distribuciji, ki temelji na Linuxu, ali v navideznem polju z Linuxom kot gostiteljskim operacijskim sistemom. Prvi korak je prenos datoteke REMnux distribucijo s svojega uradnega spletnega mesta, kar lahko storite z vnosom naslednjega ukaza:
[zaščiteno po e-pošti]: ~ $ wget https: // REMnux.org / remnux-cliPreverite, ali gre za isto datoteko, kot ste jo želeli, s primerjavo podpisa SHA1. Podpis SHA1 lahko ustvarite z naslednjim ukazom:
[e-pošta zaščitena]: ~ $ sha256sum remnux-cliNato ga premaknite v drug imenik z imenom “Remnux” in mu z uporabo dodeli izvedljiva dovoljenja “Chmod + x." Zdaj zaženite naslednji ukaz, da začnete postopek namestitve:
[e-pošta zaščitena]: ~ $ mkdir remnux[zaščiteno po e-pošti]: ~ $ cd remnux
[zaščiteno po e-pošti]: ~ $ mv… / remux-cli ./
[zaščiteno po e-pošti]: ~ $ chmod + x remnux-cli
// Namestite Remnux
[zaščiteno po e-pošti]: ~ $ sudo install remnux
Znova zaženite sistem in lahko boste uporabili novo nameščene REMnux distro, ki vsebuje vsa orodja, ki so na voljo za postopek obratnega inženiringa.
Še ena uporabna stvar glede REMnux je, da lahko uporabite priljubljene slike dockerjev REMnux orodja za izvajanje določene naloge namesto namestitve celotne distribucije. Na primer RetDec orodje se uporablja za razstavljanje strojne kode in vnaša podatke v različnih oblikah datotek, kot so 32-bitne / 62-bitne datoteke exe, datoteke elf itd. Rekall je še eno odlično orodje, ki vsebuje sliko dockerja, ki se lahko uporablja za izvajanje nekaterih uporabnih nalog, na primer za pridobivanje podatkov iz pomnilnika in pridobivanje pomembnih podatkov. Za pregled nejasnega JavaScripta je orodje z imenom JSdetox se lahko uporablja tudi. Slike Dockerja teh orodij so na voljo v REMnux odlagališče v Docker Hub.
Analiza zlonamerne programske opreme
-
Entropija
Kliče se preverjanje nepredvidljivosti podatkovnega toka Entropija. Stalni tok bajtov podatkov, na primer vse ničle ali vse, ima 0 entropijo. Če pa so podatki šifrirani ali so sestavljeni iz nadomestnih bitov, bodo imeli višjo vrednost entropije. Dobro šifriran podatkovni paket ima višjo vrednost entropije kot običajni paket podatkov, ker so bitne vrednosti v šifriranih paketih nepredvidljive in se hitreje spreminjajo. Entropija ima najmanjšo vrednost 0 in največ 8. Glavna uporaba entropije v analizi zlonamerne programske opreme je iskanje zlonamerne programske opreme v izvršljivih datotekah. Če izvršljiva datoteka vsebuje zlonamerno zlonamerno programsko opremo, je večino časa v celoti šifrirana, tako da AntiVirus ne more raziskati njene vsebine. Vrednost entropije te vrste datoteke je zelo visoka v primerjavi z običajno datoteko, ki bo preiskovalcu poslala signal o nečem sumljivem v vsebini datoteke. Visoka vrednost entropije pomeni veliko kodiranje podatkovnega toka, kar je jasen znak za nekaj zapletenega.
-
Gostota skavt
To uporabno orodje je ustvarjeno za en namen: iskanje zlonamerne programske opreme v sistemu. Napadalci ponavadi zavijejo zlonamerno programsko opremo v kodirane podatke (ali jo kodirajo / šifrirajo), tako da je protivirusna programska oprema ne more zaznati. Density Scout skenira določeno pot datotečnega sistema in natisne vrednosti entropije vsake datoteke na vsaki poti (od najvišje do najnižje). Zaradi visoke vrednosti bo preiskovalec sumljiv in bo nadalje raziskal spis. To orodje je na voljo za operacijske sisteme Linux, Windows in Mac. Density Scout ima tudi meni za pomoč, ki prikazuje različne možnosti, ki jih ponuja, z naslednjo sintakso:
ubuntu @ ubuntu: ~ densityscout --h
-
ByteHist
ByteHist je zelo uporabno orodje za generiranje grafa ali histograma glede na raven iskanja podatkov (entropija) različnih datotek. Olajša delo raziskovalca, saj to orodje celo naredi histograme pododdelkov izvršljive datoteke. To pomeni, da se lahko preiskovalec zdaj preprosto osredotoči na del, kjer se pojavi sum, tako da samo pogleda histogram. Histogram datoteke običajnega videza bi se popolnoma razlikoval od zlonamerne.
Odkrivanje nepravilnosti
Malwares je mogoče zapakirati normalno z različnimi pripomočki, kot je UPX. Ti pripomočki spreminjajo glave izvršljivih datotek. Ko nekdo poskuša te datoteke odpreti z razhroščevalnikom, spremenjene glave zrušijo razhroščevalnik, tako da preiskovalci tega ne morejo pogledati. Za te primere, Odkrivanje nepravilnosti orodja.
-
PE (prenosni izvršljivi) skener
PE Scanner je uporaben skript, napisan v Pythonu, ki se med drugim uporablja za odkrivanje sumljivih vnosov TLS, neveljavnih časovnih žigov, odsekov s sumljivimi nivoji entropije, odsekov z neobremenjenimi velikostmi in zlonamernih programov, shranjenih v datotekah exe.
-
Exe Scan
Še eno odlično orodje za skeniranje datotek exe ali dll zaradi nenavadnega vedenja je skeniranje EXE. Ta pripomoček preveri v polju glave izvršljivih datotek sumljive ravni entropije, odseke z neobdelanimi velikostmi ničelne dolžine, razlike v kontrolni vsoti in vse druge vrste nerednega obnašanja datotek. EXE Scan ima odlične funkcije, ki ustvarjajo podrobno poročilo in avtomatizirajo naloge, kar prihrani veliko časa.
Nejasne strune
Napadalci lahko uporabljajo a prestavljanje metoda za zakrivanje nizov v zlonamernih izvedljivih datotekah. Obstajajo nekatere vrste kodiranja, ki jih je mogoče uporabiti za zamegljevanje. Na primer, ROT kodiranje se uporablja za zasuk vseh znakov (manjših in velikih črk) za določeno število položajev. XOR kodiranje uporablja tajni ključ ali geslo (konstanto) za kodiranje ali XOR datoteke. ROL kodira bajte datoteke tako, da jih zasuka po določenem številu bitov. Obstajajo različna orodja za pridobivanje teh zmedenih nizov iz dane datoteke.
-
XORsearch
XORsearch se uporablja za iskanje vsebine v datoteki, ki je kodirana z uporabo ROT, XOR in ROL algoritmi. Vseboval bo vse enobajtne ključne vrednosti. Za daljše vrednosti bo ta pripomoček vzel veliko časa, zato morate določiti iskani niz. Nekateri uporabni nizi, ki jih običajno najdemo v zlonamerni programski opremi, so »http«(URL-ji so večinoma prikriti v kodi zlonamerne programske opreme), "Ta program" (glava datoteke je v mnogih primerih spremenjena s pisanjem »Tega programa ni mogoče zagnati v DOS-u«). Po iskanju ključa lahko z njim dešifrirate vse bajte. Sintaksa XORsearch je naslednja:
ubuntu @ ubuntu: ~ xorsearch -s-
brutexor
Po iskanju ključev s pomočjo programov, kot so iskanje xor, nizi xor itd., lahko uporabimo odlično orodje, imenovano brutexor za bruteforce katere koli datoteke za nize, ne da bi podali dani niz. Ko uporabljate -f možnost, lahko izberete celotno datoteko. Datoteko je mogoče najprej vsiliti, ekstrahirani nizi pa se kopirajo v drugo datoteko. Potem lahko po ogledu izvlečenih nizov poiščemo ključ, zdaj pa lahko s tem ključem izvlečemo vse nize, kodirane s tem določenim ključem.
ubuntu @ ubuntu: ~ brutexor.pyubuntu @ ubuntu: ~ brutexor.py -f -k
Izvleček artefaktov in dragocenih podatkov (izbrisano)
Za analizo slik diskov in trdih diskov ter iz njih izvleči artefakte in dragocene podatke z različnimi orodji, kot je Skalpel, Predvsem, itd., najprej jih je treba ustvariti po bitnih podobah, da se podatki ne izgubijo. Za ustvarjanje teh kopij slik so na voljo različna orodja.
-
dd
dd se uporablja za izdelavo forenzično zvočne podobe pogona. To orodje omogoča tudi preverjanje celovitosti, tako da omogoča primerjavo zgoščenk slike z originalnim diskovnim pogonom. Orodje dd se lahko uporablja na naslednji način:
ubuntu @ ubuntu: ~ dd, če =if = izvorni pogon (na primer / dev / sda)
of = ciljna lokacija
bs = Velikost bloka (število bajtov za kopiranje hkrati)
-
dcfldd
dcfldd je drugo orodje za slikanje diskov. To orodje je kot nadgrajena različica pripomočka dd. Ponuja več možnosti kot dd, na primer razprševanje v času slikanja. Možnosti dcfldd lahko raziščete z naslednjim ukazom:
ubuntu @ ubuntu: ~ dcfldd -hUporaba: dcfldd [OPTION]…
bs = BYTES sila ibs = BYTES in obs = BYTES
conv = KLJUČNE BESEDE pretvori datoteko na seznam ključnih besed, ločenih z vejico
count = BLOKI kopirajo samo BLOKI vhodni bloki
ibs = BYTES prebere BYTES bajtov hkrati
if = DATOTEKA bere iz FILE namesto stdin
obs = BYTES naenkrat napiše BYTES bajtov
of = FILE piši v FILE namesto v stdout
OPOMBA: od = FILE lahko večkrat uporabite za pisanje
izhod v več datotek hkrati
of: = COMMAND exec in izhodni zapis za obdelavo COMMAND
preskoči = BLOKI preskoči BLOKE blokov velikosti ibs na začetku vnosa
pattern = HEX kot podatek uporabi določen binarni vzorec
textpattern = TEXT za vnos uporabi ponavljajoče se TEXT
errlog = FILE pošlji sporočila o napakah na FILE in stderr
hash = IME bodisi md5, sha1, sha256, sha384 ali sha512
privzeti algoritem je md5. Če želite izbrati več
algoritmi za istočasno vnašanje imen
na seznamu, ločenem z vejico
hashlog = FILE pošlji MD5 hash output v FILE namesto v stderr
če uporabljate več algoritmov zgoščevanja
lahko pošlje vsako datoteko v ločeno datoteko z
konvencija ALGORITHMlog = FILE, na primer
md5log = FILE1, sha1log = FILE2 itd.
hashlog: = COMMAND exec in napišite hashlog za obdelavo COMMAND
ALGORITHMlog: = COMMAND deluje tudi na enak način
hashconv = [pred | po] izvede razprševanje pred ali po pretvorbah
hash format = FORMAT prikaže vsako hashwindow v skladu s FORMAT
mini-jezik zgoščene oblike je opisan spodaj
totalhash format = FORMAT prikaže skupno razpršeno vrednost glede na FORMAT
status = [on | off] prikaže stalno sporočilo o stanju na stderr
privzeto stanje je "on"
statusinterval = N posodobite sporočilo o stanju vsakih N blokov
privzeta vrednost je 256
vf = FILE preveri, ali se FILE ujema z navedenim vhodom
verifylog = FILE pošlji rezultate preverjanja v FILE namesto v stderr
verifylog: = COMMAND exec in napišite rezultate preverjanja za obdelavo COMMAND
--pomoč pri prikazu te pomoči in izhodu
--različica izhod informacije o različici in izhod
-
Predvsem
Foremost se uporablja za izrezovanje podatkov iz slikovne datoteke s tehniko, imenovano rezbarjenje datotek. Glavni poudarek rezbarjenja datotek je izrezovanje podatkov z uporabo glave in noge. Njegova konfiguracijska datoteka vsebuje več glav, ki jih lahko uporabnik ureja. Foremost izvleče glave in jih primerja s tistimi v konfiguracijski datoteki. Če se ujema, bo prikazan.
-
Skalpel
Skalpel je drugo orodje, ki se uporablja za pridobivanje in pridobivanje podatkov in je sorazmerno hitrejše kot Foremost. Scalpel pregleda blokirano območje za shranjevanje podatkov in začne obnavljati izbrisane datoteke. Pred uporabo tega orodja je treba vrsto datotek razkomentirati z odstranitvijo # iz želene vrstice. Scalpel je na voljo za operacijski sistem Windows in Linux in velja za zelo koristnega v forenzičnih preiskavah.
-
Extractor za razsuti tovor
Bulk Extractor se uporablja za pridobivanje funkcij, kot so e-poštni naslovi, številke kreditnih kartic, URL-ji itd. To orodje vsebuje številne funkcije, ki dajejo izjemno hitrost nalog. Za stiskanje delno poškodovanih datotek se uporablja Bulk Extractor. Lahko pridobi datoteke, kot so jpgs, pdfs, besedilni dokumenti itd. Druga značilnost tega orodja je, da ustvarja histograme in grafe obnovljenih datotek, kar preiskovalcem olajša ogled želenih krajev ali dokumentov.
Analiziranje datotek PDF
Če imamo popolnoma popravljen računalniški sistem in najnovejši protivirusni program, še ne pomeni, da je sistem varen. Zlonamerna koda lahko vstopi v sistem od koder koli, vključno s PDF-ji, zlonamernimi dokumenti itd. Datoteka pdf je običajno sestavljena iz glave, predmetov, tabele navzkrižnih sklicev (za iskanje člankov) in napovednika. “/ OpenAction” in “/ AA” (dodatni ukrep) zagotavlja, da vsebina ali dejavnost deluje naravno. “/ Imena”, “/ AcroForm,” in “/ Akcija” lahko prav tako nakaže in pošlje vsebino ali dejavnosti. “/ JavaScript” označuje JavaScript za zagon. "/Pojdi do*" spremeni pogled na vnaprej določen cilj v PDF-ju ali v drugem zapisu PDF. "/Kosilo" pošlje program ali odpre arhiv. “/ URI” pridobi sredstvo s svojim URL-jem. “/ SubmitForm” in “/ GoToR” lahko pošlje informacije na URL. “/ RichMedia” se lahko uporablja za namestitev Flash v PDF. “/ ObjStm” lahko zavije predmete znotraj toka objektov. Zavedajte se na primer zmede s šestnajstiškimi kodami, “/ JavaScript” proti “/ J # 61vaScript." Datoteke PDF je mogoče raziskati z različnimi orodji, da se ugotovi, ali vsebujejo zlonamerni JavaScript ali lupinsko kodo.
-
pdfid.py
pdfid.py je skript Python, ki se uporablja za pridobivanje informacij o dokumentu PDF in njegovih glavah. Oglejmo si ležerno analizo PDF-ja z uporabo pdfid:
ubuntu @ ubuntu: ~ python pdfid.py zlonamerno.pdfPDFiD 0.2.1 / home / ubuntu / Desktop / zlonamerno.pdf
Glava PDF:% PDF-1.7
obj 215
endobj 215
tok 12
končni tok 12
xref 2
prikolica 2
startxref 2
/ Stran 1
/ Šifriraj 0
/ ObjStm 2
/ JS 0
/ JavaScript 2
/ AA 0
/ OpenAction 0
/ AcroForm 0
/ JBIG2Decode 0
/ RichMedia 0
/ Zagon 0
/ EmbeddedFile 0
/ XFA 0
/ Barve> 2 ^ 24 0
Tu lahko vidite, da je v datoteki PDF prisotna koda JavaScript, ki se najpogosteje uporablja za izkoriščanje Adobe Readerja.
-
peepdf
peepdf vsebuje vse, kar je potrebno za analizo datotek PDF. To orodje omogoča raziskovalcu vpogled v kodiranje in dekodiranje tokov, urejanje metapodatkov, ukazno lupino, izvajanje lupinskih kod in zlonamerni JavaScript. Peepdf ima podpise za številne ranljivosti. Ob zagonu z zlonamerno datoteko pdf bo peepdf izpostavil kakršno koli znano ranljivost. Peepdf je skript Python in ponuja številne možnosti za analizo PDF-ja. Peepdf uporabljajo tudi zlonamerni kodirniki za pakiranje PDF z zlonamernim JavaScriptom, ki se izvede ob odprtju datoteke PDF. Analiza Shellcode, izvlečenje zlonamerne vsebine, izvlečenje starih različic dokumentov, spreminjanje predmetov in spreminjanje filtrov so le nekatere izmed širokih možnosti tega orodja.
ubuntu @ ubuntu: ~ python peepdf.py zlonamerno.pdfDatoteka: zlonamerna.pdf
MD5: 5b92c62181d238f4e94d98bd9cf0da8d
SHA1: 3c81d17f8c6fc0d5d18a3a1c110700a9c8076e90
SHA256: 2f2f159d1dc119dcf548a4cb94160f8c51372a9385ee60dc29e77ac9b5f34059
Velikost: 263069 bajtov
Različica: 1.7
Binarno: Resnično
Linearizirano: napačno
Šifrirano: napačno
Posodobitve: 1
Predmeti: 1038
Potoki: 12
URI-ji: 156
Komentarji: 0
Napake: 2
Potoki (12): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1036, 1038]
Potoki Xref (1): [1038]
Tokovi predmetov (2): [204, 705]
Kodirano (11): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1038]
Predmeti z URI-ji (156): [11, 12, 13, 14, 15, 16, 24, 27, 28, 29, 30, 31, 32, 33,
34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53,
54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73,
74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93,
94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110,
111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 122, 123, 124, 125, 126,
127, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142,
143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158,
159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175]
Sumljivi elementi: / Imena (1): [200]
Cuckoo Sandbox
Peskovnik se uporablja za preverjanje vedenja nepreverjenih ali nezaupljivih programov v varnem, realističnem okolju. Po vstavitvi datoteke v Cuckoo Sandbox, v nekaj minutah bo to orodje razkrilo vse ustrezne informacije in vedenje. Malwares so glavno orožje napadalcev in Kukavica je najboljša obramba. Dandanes samo vedenje, da zlonamerna programska oprema vstopi v sistem in jo odstrani, ni dovolj, dober varnostni analitik pa mora analizirati in preučiti vedenje programa, da ugotovi učinek na operacijski sistem, celoten kontekst in njegove glavne cilje.
Namestitev
Cuckoo lahko namestite v operacijske sisteme Windows, Mac ali Linux tako, da to orodje prenesete z uradne spletne strani: https: // cuckoosandbox.org /
Da Cuckoo deluje nemoteno, je treba namestiti nekaj modulov in knjižnic Python. To lahko storite z naslednjimi ukazi:
ubuntu @ ubuntu: ~ sudo apt-get namestite python python-pippython-dev mongodb postgresql libpq-dev
Da Cuckoo prikaže izhod, ki razkriva vedenje programa v omrežju, potrebuje sniffer paketa, kot je tcpdump, ki ga lahko namestite z naslednjim ukazom:
ubuntu @ ubuntu: ~ sudo apt-get namestite tcpdumpDa bi programerju Python omogočili SSL funkcionalnost za izvajanje odjemalcev in strežnikov, lahko uporabimo m2crypto:
ubuntu @ ubuntu: ~ sudo apt-get install m2cryptoUporaba
Cuckoo analizira različne vrste datotek, vključno s PDF-ji, besedilnimi dokumenti, izvršljivimi datotekami itd. Z najnovejšo različico je mogoče s tem orodjem analizirati celo spletna mesta. Cuckoo lahko tudi spusti omrežni promet ali ga usmeri prek VPN-ja. To orodje celo odvrže omrežni promet ali omrežni promet z omogočeno SSL, kar je mogoče znova analizirati. S pomočjo Cuckoo Sandbox je mogoče analizirati PHP skripte, URL-je, html datoteke, visual basic skripte, zip, dll datoteke in skoraj vse druge vrste datotek.
Če želite uporabiti Cuckoo, morate predložiti vzorec in nato analizirati njegov učinek in vedenje.
Za oddajo binarnih datotek uporabite naslednji ukaz:
# cuckoo submitČe želite oddati URL, uporabite naslednji ukaz:
# cuckoo submitČe želite nastaviti časovno omejitev za analizo, uporabite naslednji ukaz:
# Časovna omejitev oddaje kukavice = 60sČe želite določiti višjo lastnost za dano binarno datoteko, uporabite naslednji ukaz:
# cuckoo submit --priority 5Osnovna sintaksa Cuckoo je naslednja:
# cuckoo submit --package exe --options argument = dosometaskKo je analiza končana, je v imeniku mogoče videti številne datoteke "CWD / shranjevanje / analiza," ki vsebuje rezultate analize na predloženih vzorcih. Datoteke v tem imeniku vključujejo naslednje:
- Analiza.dnevnik: Vsebuje rezultate procesa v času analize, kot so napake med izvajanjem, ustvarjanje datotek itd.
- Spomin.smetišče: Vsebuje analizo celotnega pomnilnika pomnilnika.
- Odlagališče.pcap: Vsebuje izpis omrežja, ki ga je ustvaril tcpdump.
- Datoteke: Vsebuje vse datoteke, na katerih je zlonamerna programska oprema delovala ali na katero je vplivala.
- Dump_sorted.pcap: Vsebuje lahko razumljivo obliko odlagališča.pcap, da poiščete tok TCP.
- Dnevniki: Vsebuje vse ustvarjene dnevnike.
- Posnetki: Vsebuje posnetke namizja med obdelavo zlonamerne programske opreme ali v času, ko se je zlonamerna programska oprema izvajala v sistemu Cuckoo.
- Tlsmaster.txt: Vsebuje glavne skrivnosti TLS, ujete med izvajanjem zlonamerne programske opreme.
Zaključek
Obstaja splošno mnenje, da Linux ne vsebuje virusov ali da je verjetnost, da bi v tem operacijskem sistemu prišlo do zlonamerne programske opreme, zelo redka. Več kot polovica spletnih strežnikov temelji na Linuxu ali Unixu. S tako številnimi sistemi Linux, ki služijo spletnim mestom in drugim internetnim prometom, napadalci vidijo velik vektor napadov v zlonamerni programski opremi za sisteme Linux. Torej tudi vsakodnevna uporaba motorjev AntiVirus ne bi bila dovolj. Za zaščito pred grožnjami zlonamerne programske opreme je na voljo veliko rešitev za zaščito pred virusi in končnimi točkami. Toda za ročno analizo zlonamerne programske opreme, REMnux in peskovnik s kukavico so najboljše razpoložljive možnosti. REMnux ponuja širok nabor orodij v lahkem, enostavnem distribucijskem sistemu, ki bi bil odličen za vsakega forenzičnega preiskovalca pri analizi zlonamernih datotek vseh vrst za zlonamerne programe. Nekaj zelo uporabnih orodij je že podrobno opisanih, vendar to še ni vse, kar REMnux ima, je le vrh ledene gore. Nekatera najbolj uporabna orodja v distribucijskem sistemu REMnux vključujejo naslednje:
Da bi razumeli obnašanje sumljivega, nezaupljivega ali neodvisnega programa, je treba to orodje zagnati v varnem, realističnem okolju, kot je Cuckoo Sandbox, tako da gostiteljskega operacijskega sistema ni mogoče poškodovati.
Uporaba omrežnih kontrol in tehnik utrjevanja sistema zagotavlja dodatno plast varnosti sistema. Tehnike odzivanja na incidente ali digitalne forenzične preiskave je treba tudi redno nadgrajevati, da premagate grožnje zlonamerne programske opreme za vaš sistem.
