Выпуск REMnux 8.0, дистрибутива для анализа вредоносного ПО15.02.2026 10:00

Представлен релиз специализированного Linux-дистрибутива REMnux 8.0, предназначенного для изучения и обратного инжиниринга кода вредоносных программ. REMnux позволяет сформировать изолированное лабораторное окружение, в котором можно эмулировать работу атакуемого сетевого сервиса для изучения поведения вредоносного ПО в условиях приближенных к реальным.

Дистрибутив построен на пакетной базе Ubuntu и включает инструменты для анализа вредоносного ПО, утилиты для проведения обратного инжиниринга кода, программы для изучения модифицированных злоумышленниками PDF и офисных документов, а также средства мониторинга активности в системе. Всего предложено более 200 специализированных инструментов. Для загрузки предлагаются образы для систем виртуализации в форматах «ova» (VirtualBox) и «bqcow2» (Proxmox), размером 8 ГБ. Проект также распространяет набор Docker-образов для изолированного запуска отдельных инструментов в существующих системах.

В новой версии:

  • Системное окружение обновлено с Ubuntu 20.04 до 24.04. Обновлены версии поставляемых в дистрибутиве инструментов.

  • Добавлен новый инсталлятор, позволяющий установить предлагаемое в дистрибутиве окружения поверх уже имеющихся установок Ubuntu 24.04.

  • Предоставлена возможность использования AI-ассистентов для анализа вредоносного ПО. В состав включён собственный MCP-сервер для интеграции имеющегося в дистрибутиве инструментария с различными AI-агентами. Добавлена возможность использования в терминале AI-агента OpenCode. Добавлен пакет GhidrAssistMCP для автоматизации обратного инжиниринга в пакете Ghidra. Добавлены плагины r2ai и decai для фреймворка Radare2.

  • В состав включены новые инструменты, среди которых:
    • YARA-X (YARA переписанный на Rust) с обновлёнными правилами YARA-Forge.
    • GoReSym и Redress для анализа исполняемых файлов проектов на языке Go.
    • Manalyze и LIEF для разбора исполняемых файлов в форматах PE/ELF/MachO.
    • pyinstxtractor-ng, uncompyle6 и AutoIt-Ripper для анализа вредоносного ПО на Python.
    • APKiD для анализа Android-приложений.
    • origamindee для разбора PDF.
    • zbar-tools для декодирования QR-кодов.

Среди входящих в комплект инструментов:

  • Анализ web-сайтов: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py;

  • Анализ вредоносных Flash-роликов: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare;

  • Анализ Java: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR;

  • Анализ JavaScript: Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier;

  • Анализ PDF: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah, qpdf, pdfresurrect;
  • Анализ документов Microsoft Office: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;

  • Анализ Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe;

  • Приведение запутанного кода в читаемый вид (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, FLOSS
  • Извлечение строковых данных: strdeobj, pestr, strings;

  • Восстановление файлов: Foremost, Scalpel, bulk_extractor, Hachoir;

  • Мониторинг сетевой активности: Wireshark, ngrep, TCPDump, tcpick;
  • Сетевые сервисы: FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept-all-ips;

  • Сетевые утилиты: prettyping.sh, set-static-ip, renew-dhcp, Netcat, EPIC IRC Client, stunnel, Just-Metadata;

  • Работа с коллекцией примеров вредоносного ПО: Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout;
  • Определение сигнатур: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser;
  • Сканирование: Yara, ClamAV, TrID, ExifTool, virustotal-submit, Disitool;
  • Работа с хэшами: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search, VirusTotalApi;
  • Анализ вредоносного ПО для Linux: Sysdig, Unhide
  • Дизассемблеры: Vivisect, Udis86, objdump;
  • Отладчики: Evan«s Debugger (EDB), GNU Project Debugger (GDB);
  • Системы трассировки: strace, ltrace
  • Investigate: Radare 2, Pyew, Bokken, m2elf, ELF Parser;
  • Работа с текстовыми данными: SciTE, Geany, Vim;
  • Работа с изображениями: feh, ImageMagick;
  • Работа с бинарными файлами: wxHexEditor, VBinDiff;
  • Анализ дампов памяти: Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall, linux_mem_diff_tool;
  • Анализ исполняемых PE-файлов UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, Bokken, RATDecoders, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;

  • Анализ вредоносного ПО для мобильных устройств: Androwarn, AndroGuard.



Источник: http://www.opennet.ru/opennews/art.shtml? num=64801

OpenNet прочитано 7729 раз