幸福の可視化技術から、リハビリAIまで。日立が描く社会イノベーションの未来とは詳しくはこちら
10
10
@hibi221b

REMnuxでmalware解析(導入編)

LinuxVirtualBox
この記事は最終更新日から1年以上が経過しています。

はじめに

malware解析インターンでREMnuxというmalware解析に便利なdistroがあるよ、と教えていただき、どんなものか知りたくなったのでその過程を書いてきたいと思います。windows&virtualboxが必要です。

REMnuxとは?

  1. malware解析やリバースエンジニアリングに必要なツールが入っている
  2. Ubuntuベースの軽量ディストリビューション
  3. office製品で発見されたmalwareを解析するためのツール(その他多数)
  4. 動的解析もできる!
  5. dockerイメージも提供されてるようです
  6. 詳細は、ドキュメントを参照してください

完成形⬇︎

2018-11-05.png

The REMnux distribution includes many free tools useful for examining malicious software. These utilities are set up and tested to make it easier for you to perform malware analysis tasks without needing to figure out how to install them. The tools installed on REMnux can help you:

  • Examine browser malware
  • Analyze malicious document files
  • Extract and decode suspicious artifacts
  • Handle laboratory network interactions
  • Review multiple malware samples
  • Examine properties and contents of suspicious files
  • Investigate Linux and Windows malware
  • Perform memory forensics

REMnux cheat sheet

REMnuxをダウンロード

  1. REMnuxホームページ内の"download the REMnux virtual applianse file"をクリック
  2. ovaファイル形式でダウンロードされます(2GB)
  3. ハッシュ値の確認をcmdで行って下さい↓
  4. certutil -hashfile ダウンロードしたremnux-6.0-ova-public.ovaのPATH SHA256
  5. REMnuxのホームページに載っているハッシュ値と合致していることを確認できればOKです

virtualboxにインポート

  1. virtualboxを起動
  2. 左上のファイルをクリック
  3. 仮想アプライアンスのインポートをクリック
  4. 先ほどダウンロードしたremnux-6.0-ova-public.ovaを選択
  5. 次へを押すと仮想アプライアンスの設定が表示されます(必要に応じて設定)
  6. インポートをクリックで完了です

以下の項目は順不同

まず次のコマンドを実行するとつまずかずに設定できると思います
1. setxkbmap jp
2. sudo passwd root
3. su root
4. apt-get update && apt-get upgrade

update-remnux

remnuxを起動することができたら、
1. sudo update-remnux full
2. sudo reboot

remnux@remnux:~$ update-remnux --help
Unknown parameter '--help'.
Specify 'full' to perform a full installation.
Launch without any parameters for a typical upgrade.


remnux@remnux:~$ sudo update-remnux full
 * INFO: Installing REMnux. Details logged to /var/log/remnux-install.log.
 * INFO: Updating the base APT repository package list... 
 * INFO: Installing the software-properties-common package... 
 * INFO: Enabling additional APT repositories...
 * INFO: Updating the APT repository package list...
 * INFO: Upgrading all APT packages to latest versions...
 * INFO: Installing APT Package: xterm
 * INFO: Installing APT Package: vbindiff
 * INFO: Installing APT Package: wxhexeditor
...
...
 * INFO: Applying REMnux backwards compatibility settings
 * INFO: Taking the dog for a walk
 * INFO: Setting permissions for root
 * INFO: Updating REMnux documentation
 * INFO: Cleaning Up
 * INFO: ---------------------------------------------------------------
 * INFO: REMnux Installation Complete!
 * INFO: See documentation at https://REMnux.org/docs
 * INFO: Reboot for the settings to take full effect ("sudo reboot").
 * INFO: ---------------------------------------------------------------

日本語の設定

  1. sudo apt-get install ibus-anthy language-pack-ja fonts-vlgothic
  2. export LANG=ja_JP.UTF-8
  3. update-locale LANG=ja_JP.UTF-8

再起動後、
1.設定→Keyboard input Methodsでanthyを追加してください

画面のリサイズ

起動直後は画面サイズが小さいので大きくしましょう!
まずrootのパスワードを設定します
また、キーボードの挙動もおかしいと思うので日本語配列に設定(一時的な設定)します
setxkbmap jp

  1. sudo passwd rootで新しいrootのパスワードを設定します
  2. rootユーザになったら/etc/default/grubを設定します
  3. vi /etc/default/grubで設定ファイルを開くと次のようになります
# If you change this file, run 'update-grub' afterwards to update
# /boot/grub/grub.cfg.
# For full documentation of the options in this file, see:
#   info -f grub -n 'Simple configuration'

GRUB_DEFAULT=0
GRUB_HIDDEN_TIMEOUT=0
GRUB_HIDDEN_TIMEOUT_QUIET=true
GRUB_TIMEOUT=10
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="splash quiet"
GRUB_CMDLINE_LINUX=""
...
...

GRUB_CMDLINE_LINUX=""の所にvga=975を入れます
vga=795です。
vga解像度の値は他にもあるそうです

GRUB_CMDLINE_LINUX="vga=795"

設定を反映させるために次のコマンドを打ちます
grub-mkconfig -o /boot/grub/grub.cfg

root@remnux:~# grub-mkconfig -o /boot/grub/grub.cfg 
Generating grub configuration file ...
Warning: Setting GRUB_TIMEOUT to a non-zero value when GRUB_HIDDEN_TIMEOUT is set is no longer supported.
Linux イメージを見つけました: /boot/vmlinuz-3.13.0-53-generic
Found initrd image: /boot/initrd.img-3.13.0-53-generic
Found memtest86+ image: /boot/memtest86+.elf
Found memtest86+ image: /boot/memtest86+.bin
完了

設定が反映されたので再起動すると画面が1280*1024の大きさになります

ロケールの設定

  1. dpkg-reconfigure tzdata
  2. asiaを選択
  3. tokyoを選択
root@remnux:~# dpkg-reconfigure tzdata

Current default time zone: 'Asia/Tokyo'
Local time is now:      Wed Sep 19 19:57:34 JST 2018.
Universal Time is now:  Wed Sep 19 10:57:34 UTC 2018.

キーボードの設定

再起動後また日本語配列ではなくなってしまうため、恒久的な設定をします
dpkg-reconfigure keyboard-configuration

  1. 標準105キー(国際) PC を選択
  2. 日本語 を選択
  3. キーボードレイアウトも日本語 を選択
  4. その後3つくらい質問されますがそのままenterで大丈夫です
root@remnux:~# dpkg-reconfigure keyboard-configuration
Your console font configuration will be updated the next time your system
boots. If you want to update it now, run 'setupcon' from a virtual console.
update-initramfs: deferring update (trigger activated)
initramfs-tools (0.103ubuntu4.11) のトリガを処理しています ...
update-initramfs: Generating /boot/initrd.img-3.13.0-53-generic

キーボードとロケールの設定が終わると次のようになりました

remnux@remnux:~$ localectl
   System Locale: LANG=ja_JP.UTF-8
       VC Keymap: n/a
      X11 Layout: jp
       X11 Model: pc105

参考文献

10
10
ユーザー登録して、Qiitaをもっと便利に使ってみませんか。
  1. あなたにマッチした記事をお届けします
    ユーザーやタグをフォローすることで、あなたが興味を持つ技術分野の情報をまとめてキャッチアップできます
  2. 便利な情報をあとで効率的に読み返せます
    気に入った記事を「ストック」することで、あとからすぐに検索できます
hibi221b

コメント

この記事にコメントはありません。
あなたもコメントしてみませんか :)
ユーザー登録
すでにアカウントを持っている方はログイン
記事投稿イベント開催中
Azure AIを活用した機械学習に関する記事を投稿しよう!
~
フロントエンド強化月間 - 開発する上で知っておくべき知見を共有しよう
~