Question:
Passer de Windows à Linux pour l'analyse des logiciels malveillants. Que dois-je considérer?
Lelouch Lamperouge
2013-10-01 21:42:45 UTC
view on stackexchange narkive permalink

J'utilise actuellement Windows 7 comme machine hôte et je souhaite passer à Fedora.

J'ai IDA Pro + hexrays decompiler, VMWare Workstation, Hiew, Visual Studio, Olly et plusieurs autres petits outils qui devrait fonctionner correctement dans wine.

Je sais que je peux obtenir la licence VMWare Workstation pour Linux et ce serait très bien.

Quelqu'un a-t-il de l'expérience dans IDA à la fois sous Linux et Windows . Si c'est le cas, voyez-vous une différence dans son utilisation (décompilateur, plugins IDAPy ...)

Il n'y a pas de remplacement réaliste pour Visual Studio sous linux, mais ce serait bien si eclipse ou un autre IDE le ferait compile pour Windows.

À moins que vous n'impliquiez un plugin spécifique, le remplacement multiplateforme de Visual Studio est QtCreator. Ne vous laissez pas tromper par son nom - vous n'avez pas besoin d'utiliser la partie "Qt".
Deux réponses:
Stolas
2013-10-02 00:07:43 UTC
view on stackexchange narkive permalink

Pas de problème

Je fais moi-même la même chose, mais je n'ai pas d'Hexrays. Je peux vous dire que cela fonctionne très bien. J'utilise cependant VirtualBox. Cela a principalement à voir avec le mode Seamless, cela me permet de faire de grandes choses :)

Configuration système requise

Cependant, je recommande d'utiliser un système décent. J'ai essayé de le faire avec mon ancien ordinateur portable et c'était horrible. Au moins 8 Go de RAM et VT-x sont recommandés.

La méthode wine

J'utilise IDA Free et OllyDBG avec Wine depuis un bon moment. Et j'ai eu quelques problèmes avec cela, des choses comme du texte illisible.

Mode transparent? Êtes-vous sûr que l'analyse des logiciels malveillants est sans danger? Mon système est assez bon sur le plan matériel. Je cherchais juste des incompatibilités. Merci quand même
Eh bien, vous utilisez Linux. Vous analysez des échantillons Windows. Les chances d'avoir un hybride sont moindres que de gagner à la loterie. Et en plus de cela, cela n'a pas vraiment d'importance, même s'il existe une sorte de ver super résilient à la mémoire qui à la volée détecte son système d'exploitation pour déterminer s'il doit charger GetProcAddress () ou s'il peut appeler le noyau, il est toujours dans une VM. Le mode transparent supprime uniquement l'interface graphique à l'aide des vm-tools. Le seul problème concerne l'anti-débogage qui détecte la machine virtuelle en recherchant le pilote des outils en mémoire.
Denis Laskov
2013-10-02 15:37:41 UTC
view on stackexchange narkive permalink

Pour moi, pas très à l'aise d'exécuter les outils d'analyse \ d'inversion via Wine, il y a donc peu d'options à choisir:

  1. Utiliser pour les programmes de style Windows machines virtuelles [VirtualBox \ Vmware]
  2. Passer aux outils basés sur Linux pour les mêmes opérations [pour Pe \ Hex \ Static analysis]

Je me suis rendu compte que pour la plupart des opérations de recherche, vous pouvez trouver un outil ou ensemble d'outils pour Linux OS, et pour quelques-uns d'entre eux qui ne le sont pas - Vous avez toujours votre machine VM.Bonne chance!



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...