iDefense güvenlik ve güvenlik zayıflıklarını tespit konularında çalışmalar yapan bir laboratuvar. Sitelerinde dolaşırken bulduğum sistem yöneticilerinin ve güvenlikçilerin işine yarayabileceğini düşündüğüm birkaç aracı tanıtmak istiyorum.
SysAnalyzer
Sistemde çalışan zararlı kodları analiz etmeye ve hızlıca raporlamaya yararan bir araç. SysAnalyzer’ın işlemleri monitörleyebiliyor
- Çalışan prosesler
- Açık portlar
- Yüklü sürücüler (Loaded Drivers)
- Enjekte edilmiş kütüphaneler (Injected Libraries)
- Kayıt defteri değişiklikleri
- Belirli bir prosesin yaptığı API çağrıları
- Dosyalar üzerinde olan değişiklikler
- HTTP, IRC ve DNS trafiği
Ayrıca SysAnalyzer ile gelen ProcessAnalyzer aracı aşağıdaki görevleri yerine getirebiliyor:
- İstenin prosesin bellek dökümünü almak
- Bellek dökümünden string ifadeleri ayıklayabilmek
- Exe, ref ve URL referanslarını ayıklayabilmek
- Bellek dökümünü bilinen expolit’ler için tarayabilmek
Yazılım GPL lisansı ile dağıtılıyor. SysAnalyzer’ın kullanım görüntüsünü izlemek için tıklayın. SysAnalyzer yazılımını indirmek için tıklayın. SysAnalyzer’ın detaylı açıklaması.
Zararlı Kod Analiz Paketi
Zararlı kod analiz paketi, zararlı kodları analiz etmek için gerekli yardımcı programları içeriyor. Programlar ve görevleri şöyle:
- ShellExt: 4 adet explorer kabuğu için eklenti
- socketTool: fonksiyonalite testi için TCP istemcisi
- MailPot: mail sunucu sniffleme aracı
- fakeDNS: Belli IP’ler için sahte DNS cevapları oluşturmak için bir araç
- sniff_hit: HTTP, IRC ve DNS sniffer
- sclog: Shellcode inceleme ve analiz uygulaması
- IDCDumpFix: aids in quick RE of packed applications (bunu inceledikten sonra yazacağım)
- Shellcode2Exe: Birden fazla shellcode’u exe kabuğuna gömen bir araç
- GdiProcs: Gizlenmiş prosesleri görüntüleyen bir araç
Araç paketini indirmek için tıklayın. Paketdeki araçların kullanımın anlatıldığı eğitim videosu.
Hook Explorer
Belli bir proses kanca attığı API’leri ve yer aldıkları DLL kütüphanelerini analiz etmeye yarayan bir araç.
Aracı indirmek için tıklayın. Araç ile ilgili daha fazla bilgi almak için tıklayın.
Multipot
Multipot bir honeypot yazılımı, ağ üzerinden exploit yardımıyla yayılan zararlı yazılımları analilz etmek için geliştirilmiş bir araç.
Araç hakkında daha fazla bilgi almak için burayı indirmek için ise burayı tıklatın.