Für zukünftige Kursteilnehmer des Kurses " Administrator Linux. Professional " und alle Interessierten haben wir einen Artikel von Alexander Kolesnikov vorbereitet.
In diesem Artikel soll gezeigt werden, welche Projekte heute für die automatische Analyse ausführbarer Dateien für Linux existieren. Die bereitgestellten Informationen können verwendet werden, um einen Prüfstand für die Analyse von Schadcode bereitzustellen. Das Thema kann für Administratoren und Malware-Forscher relevant sein.
Linux Sandboxing Funktionen
Das Hauptproblem von Linux-Sandboxen zur Analyse von Anwendungen ist die eingeschränkte Unterstützung der Prozessoren, auf denen das Betriebssystem ausgeführt wird. Da es sehr teuer ist, für jede Architektur eine eigene physische Maschine zu verwenden. Wie virtualisierte Lösungen wie Hyper-V, VMWare oder VBox als Kompromiss verwendet werden. Diese Lösungen machen ihre Arbeit gut genug, erlauben jedoch nur Virtualisierung auf der Architektur, auf der der Haupthost ausgeführt wird. Um Code für ARM, MIPS und andere Architekturen auszuführen, müssen Sie sich an andere Produkte wenden, die die erforderlichen Prozessoranweisungen emulieren können. Versuchen wir, so viele Projekte wie möglich zu sammeln und herauszufinden, welche Prozessorarchitekturen unterstützt werden.
Kuckucksandkasten
Cuckoo. . , . , . :
Windows. , Linux. , Windows, Linux. .
LiSA Sandbox
x86_64
i386
arm
mips
aarch64
- Qemu. . radare2, , : , , . , . , IoT . , , .
— Docker. . :
Limon Sandbox
Yara
ssdeep
ldd
strace
Inetsim
tcpdump
volatility
sysdig
, . :
drakvuf Sandbox
. , . . , . , . , - . , . , json.
Detux
86
86_64
ARM
MIPS
MIPSEL
Qemu. . . , json.
, - . , :
radare2
Volatility
Yara
.
, , .
"Administrator Linux. Professional".
« Ansible ». , ansible . , , .. , . !