Pour les futurs étudiants du cours " Administrateur Linux. Professionnel " et toutes les personnes intéressées, nous avons préparé un article d'Alexander Kolesnikov.
Le but de cet article est de montrer quels projets existent aujourd'hui pour l'analyse automatique des fichiers exécutables pour Linux. Les informations fournies peuvent être utilisées pour déployer un banc de test pour analyser du code malveillant. Le sujet peut être pertinent pour les administrateurs et les chercheurs de logiciels malveillants.
Fonctionnalités de sandboxing Linux
Le principal problème des sandbox Linux pour l'analyse des applications est la prise en charge limitée des processeurs sur lesquels le système d'exploitation s'exécute. Puisqu'il est très coûteux d'utiliser sa propre machine physique pour chaque architecture. Comment les solutions virtualisées comme Hyper-V, VMWare ou VBox sont utilisées comme compromis. Ces solutions font assez bien leur travail, mais elles n'autorisent la virtualisation que sur l'architecture sur laquelle s'exécute l'hôte principal. Pour exécuter du code pour ARM, MIPS et d'autres architectures, vous devrez vous tourner vers d'autres produits capables d'émuler les instructions de processeur requises. Essayons de collecter autant de projets que possible et voyons quelles architectures de processeur sont prises en charge.
Bac à sable coucou
Cuckoo. . , . , . :
Windows. , Linux. , Windows, Linux. .
LiSA Sandbox
x86_64
i386
arm
mips
aarch64
- Qemu. . radare2, , : , , . , . , IoT . , , .
— Docker. . :
Limon Sandbox
Yara
ssdeep
ldd
strace
Inetsim
tcpdump
volatility
sysdig
, . :
drakvuf Sandbox
. , . . , . , . , - . , . , json.
Detux
86
86_64
ARM
MIPS
MIPSEL
Qemu. . . , json.
, - . , :
radare2
Volatility
Yara
.
, , .
"Administrator Linux. Professional".
« Ansible ». , ansible . , , .. , . !