>

发布下载,十大最佳用于隐私和安全保护的

- 编辑:www.bifa688.com -

发布下载,十大最佳用于隐私和安全保护的

www.bifa688.com 1

介绍

互联网的飞速发展在给用户的日常工作生活带来了巨大方便的同时,也给各种各样的恶意软件提供了一片繁衍扩散的沃土。媒体上时有关于某种恶意软件大规模流行造成严重损失的报道。恶意软件的扩散早已引起信息安全业界的重视,各安全软件和杀毒软件厂商都有成型的解决方案。不过恶意软件的更新换代总是走在安全厂商的产品前面,恶意软件变种的出现速度越来越快,单纯使用防杀毒软件已不能完全保证用户远离恶意软件。
本文提出一个分析Windows平台的恶意软件和可疑文件的参考方法,该方法通过监视目标样本的执行后的行为观察,可对目标样本的性质、行为及影响进行判断。
恶意软件的定义:恶意软件(Malware,malicioussoftware的缩写),指未经用户允许安装执行,会对用户及系统运行产生影响和危害的软件,包括病毒(Virus)、蠕虫(Worm)、木马(Trojan)、后门程序(Backdoor/Rootkit)、密码盗窃程序(Mal.PSW)及其他有以上所列恶意软件功能的软件。
分析原理和流程
关键词定义: 1)恶意软件样本:从各种媒介提取到的怀疑是恶意软件的可执行文件、可能包含恶意软件的压缩文件、Office文档等
2)软件行为:文档或可执行文件被用户直接或通过其他处理软件打开时该文件或系统执行的操作
样本分析原理:
在一个可控的Windows测试环境中,通过使用特定的监视工具软件,对目标样本文件打开后执行的操作进行记录,分析记录的结果并与已知的恶意软件行为进行对比,判断目标样本的性质和影响,最后提供受该目标样本影响的系统的清理方案。
样本分析流程:
1)测试环境搭建
2)分析工具软件的准备和安装
3)目标样本在测试环境系统上的运行监视、数据采集
4)结果处理和文档记录
环境准备和搭建
1、系统环境: 测试平台可选择使用虚拟机或者物理机搭建,两种选择的结果略有不同:如果使用虚拟机作为平台,需要先安装一套虚拟机软件,可以选择VMware(http://www.vmware.com)或VirtualPC(),然后在部署好的虚拟机中安装Windows操作系统;如果使用实体机,直接安装Windows操作系统即可。Windows安装完成后,使用WindowsUpdate给测试用操作系统升级,使其达到最新补丁版本状态。
本文使用的测试环境为VMwareworkstation上的WindowsXPprofessionalSP2英文版,并升级补丁到2006年11月底的最新版本。
2、分析软件:
1)系统监视软件
a)InstallRite:
InstallRite是一个软件安装监视复制工具,可以监视软件安装时对系统文件、注册表执行的改动。它可以用来监视目标样本在执行前后系统发生的改动。InstallRite可以从它的官方网站下载:
b)ProcessExplorer:
ProcessExplorer是一个监视系统当前运行进程、进程创建、进程删除及获取指定进程详细信息的工具,它可以用来分析目标样本对进程的操作。ProcessExplorer可以从它的官方网站下载:
c)ProcessMonitor:
ProcessMonitor是ProcessExplorer的升级版本,它除了包含ProcessExplorer的功能外,还增加了文件和注册表操作监视功能,但是它进程监视功能使用方便性上比不上ProcessExplorer。它可以用来实时监视目标样本在执行过程中对系统文件、注册表的操作情况。ProcessMonitor可以从它的官方网站下载:
d)TCPView:
TCPView是一个监视网络连接与进程对应关系的工具,可用于分析目标样本在执行时进行网络操作的情况。TCPView可以从它的官方网站下载:
2)嗅探器
a)Ethereal:
Ethereal是一个功能强大的开源网络协议分析软件,它可用于存储和分析目标样本进行的网络传输的具体内容。Ethereal可以从它的官方网站下载:

b)EffeTechHTTPSniffer:
EffeTechHTTPSniffer是一个专长于HTTP流量流量监视和分析的嗅探工具,可以用于分析Downloader一类使用HTTP协议和采用HTTP隧道封装进行通讯封装的目标样本。EffeTechHTTPSniffer可以从它的官方网站上下载:

3)系统分析工具
a)RootkitRevealer:
RootkitRevealer是一个功能强大的Rootkit检测工具,可用于检测Rootkit类及带有Rootkit隐藏功能的目标样本。RootkitRevealer可以从它的官方网站下载:

b)Gmer:
Gmer是一个来自波兰的Rootkit检测工具,它的功能比RootkitRevealer稍多一点,检测的速度更快,可用于检测Rootkit类及带有Rootkit隐藏功能的目标样本。Gmer可以从它的官方网站上下载:

c)Autoruns:
Autoruns是一个功能强大的启动项管理工具,它可以直接操作注册表,管理常见的启动方式,可用于分析目标样本的自启动方式。Autoruns可以从它的官方网站上下载:

d)WinHex:
WinHex是一个功能强大的通用十六进制编辑工具,它可以用于对目标样本的内容进行查看和字符串查找。WinHex可以从它的官方网站下载:

e)FinalRecovery:
FinalRecovery是一个快速的反删除工具,它可以用于对目标样本执行过程中删除的文件进行恢复操作。FinalRecovery可以从它的官方网站下载:

3、文档准备:
在完成系统环境和分析软件的安装调试后,应该进行目标样本的记录文档设计。一个使用表格的记录文档的例子如下:

REMnux 6.0 为用户提供了多种程序更新和改进的升级工具,Linux环境下可以使用免费工具帮助用户分析和检查恶意软件。升级方面可以使用以前发布的版本中v6的升级工具,或者使用其他新方法。

优秀的Linux 操作系统是自由和开源的。因此,有数千种不同的“风味”可供选择——而某些类型的 Linux,例如 Ubuntu 是通用的,而且适用于许多不同的用途。

样本分析记录表格(1)

这个版本改进了主要的结构,使用户更简单的升级,并不用去下载整个REMnux 环境。最简单获取最新 REMnux 版本的方法是去下载它的虚拟设备OVA文件,并将其导入你喜欢的虚拟机,比如 VMware 和 VirtualBox,在开始导入虚拟机后,运行 `update-remnux full`命令即可完成升级。更多的可以参考REMnux的安装说明。

www.bifa688.com,但安全意识高的用户会对专为隐私和安全设计的Linux 发行版更有兴趣,它们可以帮助你通过加密操作来保护数据的安全,并支持在 Live 模式下运行,无需将数据写入在使用中的硬盘。

样本名称

样本日期

大小(Bytes)

样本编号

样本来源

Sample1.bak

2006-1-25

72052

060125A2

Customer

VirusSample.dat

2006-1-25

21084

060125A3

Support

VirusSample2.dat

2006-1-25

14205

060125A4

Support

Trojansample.bak

2006-1-25

104272

060125A5

Customer

更多信息:发行公告
下载地址:remnux-6.0-ova-public.ova (2,033MB, MD5, pkglist)

这篇文章将列出十个关注隐私和安全性的Linux 发行版。

样本分析结果登记表                      样本编号:060125A5

About REMnux:
REMnux是一份轻量级的、基于Ubuntu的Linux发行,用于辅佐分析人员对恶意软件进行反向工程。它包含了大量的工具以进行恶意可执行代码的分析,而这些代码运行于微软Windows系统及浏览器上,例如Flash程序及加扰过的JavaScript脚本。该工具集还包含用于分析包括PDF格式在内的恶意文档的程序,以及通过内存取证来对恶意软件进行反向工程的实用工具。

1. Qubes OS

项目

属性

详细描述

备注

自删除

  是

 

 

启动方式

Run Key

LMHKSoftwareWindowsCurrentVers-ionRunTrojanRun  Trojan.exe

 

释放文件

%SystemRoot%Trojan.exe

复制到%SystemRoot%

进程注入

注入到iexplore.exe

 

网络连接

TCP

连接到212.24.55.188:80

Nobody.noip.cn (DNS)

其他属性

 

网络连接、文件不隐藏

网络连接不加密

 

本文永久更新链接地址:http://www.linuxidc.com/Linux/2015-06/118802.htm

虽然不是面向新手用户的发行版,但Qubes 是顶级的关注隐私的发行版之一。该发行版必须使用图形化安装程序将操作系统安装到硬盘驱动器,这是被加密的。

【相关文章】

www.bifa688.com 2

Qubes OS 使用 Xen Hypervisor 来运行多个虚拟机,其主要理念就是基于隔离的安全,它会将系统隔离为“个人”、“工作”和“上网”。这样,即便你不小心在工作机器上下载了恶意软件,但个人文件不会受到影响。

  • 自己动手搭建恶意软件样本行为分析环境(二)

主桌面会使用颜色编码的窗口,用于展示不同的虚拟机,以方便区分。

【责任编辑:赵毅 TEL:(010)68476636-8001】

2. Tails

  • www.bifa688.com 3) 给力)

    (0票)

  • www.bifa688.com 4) 动心)

    (0票)

  • www.bifa688.com 5) 废话)

    (0票)

  • www.bifa688.com 6) 专业)

    (0票)

  • www.bifa688.com 7) 标题党)

    (0票)

  • www.bifa688.com 8) 路过)

    (0票)

Tails (The Amnesiac Incognito Live System) 可能是最有名的关注隐私的 Linux 发行版之一,它是基于 Debian 的自启动光盘和 USB 发行。Tails 可以在 Live 模式下从 DVD 运行,从而将其完全加载进系统 RAM,并且其活动不会产生任何痕迹。这款系统也可以像普遍的系统一样在“持久”模式下运行,关于系统的设置会存储在加密的 U 盘上。

原文:自己动手搭建恶意软件样本行为分析环境(一) 返回网络安全首页

Tails 为用户提供了完整的因特网匿名功能,所有的网络流量都会经过匿名网络 Tor,它可隐藏你的上网痕迹,使得网络流量难以被追踪。Tails 中配备的应用程序也是经过谨慎选择的,以安全为理念进行了预配置,以增强用户的隐私安全。例如,KeePassX 密码管理器、网页浏览器、IRC客户端、邮件mail客户端等。值得注意的是 Tails 会不断发现漏洞,因此请务必经常检查更新。(当然对待任何操作系统都应如此)

3. BlackArch Linux

这个基于Arch Linux 的轻量级渗透测试发行,包含了 1,600 多种不同的黑客工具以用于渗透测试和计算机取证分析,这节省了每次下载需要的时间。BlackArch Linux 被设计为服务于系统渗透测试人员及安全研究人员,包含有多个轻量级窗口管理器如 Fluxbox、Openbox、Awesome、spectrwm。

BlackArch Linux的提供形式是一张自启动运行 DVD 镜像,可以从 U 盘或 CD 上直接运行,也可以安装到电脑或虚拟机,甚至可以安装在树莓派上以给你提供一个便携的渗透测试计算机。

特别值得一提的是它的‘anti-forensics’ 目录,因为它包含了为已加密的设备扫描内存的工具,这有助于保护机器免受“冷启动攻击”。

4. Kali

Kali Linux(以前叫做BackTrack),以印度教的一个女神命名,是最著名的渗透测试发行版之一,也是一份基于 Debian 的发行。它带有一套安全和计算机取证工具。其特色在于及时的安全更新(每周提供更新的 ISO 镜像),对 ARM 架构的支持(可在树莓派上运行),有四种流行的桌面环境供选择,以及能平滑升级到新版本。

Kali 有着令人敬畏的声望,它的创作者会通过Kali Linux Dojo提供培训。课程内容包括定制自己的 Kali Linux ISO 和学习渗透测试的基础。对于无法参加培训的人士,所有的课程教育资源都可通过 Kali 的网站免费获取。

5. IprediaOS

IprediaOS 是一个基于 Linux 的快速、强大和稳定的操作系统,提供了匿名的环境。所有的网络流量都会被自动和透明地加密和匿名化。这个面向隐私的操作系统基于 Fedora Linux,可在 Live 模式下运行也可安装到硬盘上。正如 Tails OS 会将所有网络流量通过 Tor 网络以避免被追踪,Ipredia 中所有的网络流量都会经过匿名的 I2P 网络。

它的功能包括匿名电子邮件和BitTorrent 客户端,IRC 聊天,以及浏览 eepsites(特殊的 .i2p 扩展名)的功能。与 Tor 不同的是,I2P 不能作为访问正常的互联网的网关,所以 Ipredia 无法安全地访问常规网站。不过只能访问 eepsites 的优点是你的连接是真正无法被追溯的。

6. Whonix

引导一份Live 操作系统是一个麻烦,因为必须重新启动计算机,但将其安装到硬盘意味着有被攻击的风险。Whonix 提供了一个优雅的方案,它被设计为运行在 Virtualbox 中作为一个虚拟机而工作。由于它在虚拟机中运行,所以 Whonix 与所有可运行 Virtualbox 的操作系统兼容。

Whonix 是一份聚焦于匿名性、隐私、安全的操作系统。它基于 Tor 匿名网络、Debian GNU/Linux、基于隔离的安全性。Whonix 包括两部分,一部分只运行在 Tor 上并扮演网关角色,这部分叫做 Whonix-Gateway;另一部分叫做 Whonix-Workstation,位于隔离网络中。只有经由 Tor 的连接被允许。有了 Whonix,你就可以匿名使用应用程序并在因特网上运行服务器。因匿名解析而造成的信息泄漏不可能存在,即便获得了根权限的恶意软件也无法发现用户的真实 IP 地址。

7. Discreete Linux

这个故意拼写错的发行版是优秀的Ubuntu Privacy Remix 的继承者。该操作系统不支持网络硬件或内部硬盘驱动器,因此所有的数据都离线存储在 RAM 或 USB 设备中。它可以在 Live 模式下运行,但当从卷启动时也允许将一些设置存储在加密的‘Cryptobox’中。

还有另外一个值得关注的功能是它的内核模块只能在Discreete Linux 团队进行数字签名后才能安装。这可以防止黑客试图偷偷安装恶意软件。请注意,该操作系统目前尚处于 Beat 测试阶段。

8. Parrot Security OS

这款渗透测试系统由来自意大利的团队Frozenbox 开发。和 Kali 和 BlackArch 一样,它也包含着许多易用的工具。Parrot Security OS 是面向安全的操作系统,它被设计为用于渗透测试、计算机取证、反向工程、攻击、云计算渗透测试、隐私/匿名、密码等场合。

Parrot 基于 Debian,其特色在于 MATE 桌面环境,拥有更丰富多彩的背景和菜单。因此,它对硬件的要求比其他渗透测试发行版(例如 Kali)更高。建议至少使用 2GB 的 RAM。

对于资源有限的用户,Parrot Cloud 是专门用于在服务器上运行的特殊发行版。它没有图形界面,但包含了一些网络和取证工具,可用于远程运行测试。

9. Subgraph OS

Subgraph OS 是基于 Debian 的 Linux 发行,为超强的安全性而设计,它提供了多种安全、匿名上网、加固的特性。它的内核通过许多安全性的增强进行了加固,Subgraph 还在诸如浏览器之类的高风险应用中创建了虚拟的“沙盒”。因此,任何针对独立应用程序的攻击都不会危及整个系统。

Subgraph OS 使用加固过的 Linux 内核及应用防火墙来阻止特定的可执行程序去访问网络,并强制要求所有的因特网流量都经由 Tor 网络。每个应用程序需要连接到网络和访问其他应用程序的“沙盒”都需经过手动的允许。

该发行的文件管理器带有特色工具可以从数据文件中移除元数据,并且还集成了OnionShare 文件共享软件。该发行使用 Icedove 邮件客户端以自动配合 Enigmail 对电子邮件进行加密。

在Subgraph 中,对文件系统的加密是强制性的,这意味着没有写入未加密数据的危险。要注意的是,Subgraph 还处于测试阶段,因此不要依赖使用它来保护任何真正敏感的数据(并且一如既往地保持常规的备份)。

10. TENS

第十个发行版恰好是TENS(Trusted End Node Security)。以前被称为 LPS(Lightweight Portable Security),这份 Linux 发行版是美国国防部的产品。Trusted End Node Security (TENS)是基于 Linux 的自启动运行光盘,其目标是让用户能在计算机上工作而不会有向恶意软件、键盘记录程序及其他因特网时代的恶疾泄露信息凭证及私人数据的风险。

它包含了最必需的一套应用软件及实用工具,例如Firefox 网页浏览器,以及一份加密向导以对个人文件进行加解密。但有一个‘Public Deluxe’(公开豪华版)也包含了 Adobe Reader 和 LibreOffice 这样的工具。所有的版本都包含一个自定义防火墙,值得注意的是该操作系统支持通过 Smart Card 登录。

官方微博:

官方QQ群:148715490

官方QQ:2337862882

本文由bifa688.com发布,转载请注明来源:发布下载,十大最佳用于隐私和安全保护的