Malcode Analyst Pack hilft beim Beobachten und Analysieren von Schädlingen
Mit insgesamt sieben Windows-Tools kann der Anwender den Schädlingen zu Leibe rücken und ihr Verhalten studieren.
Der Sicherheitsdienstleister iDefense stellt ein kostenloses "Malcode Analyst Pack" zum Download bereit, das bei der Analyse und dem Beobachten von Schädlingen helfen soll. Das 2 MByte große Installationspaket entpackt insgesamt sieben Windows-Tools auf die Festplatte.
FakeDNS ist ein minimalistischer DNS-Server, der sämtliche Anfragen mit immer derselben IP-Adresse beantwortet. Mit SniffHit lässt sich die Kommunikation eines Schädlings mit seinem Master über HTTP und IRC beobachten. Anschließend kann man mit SocketTool versuchen, eigene Meldungen oder Binärdaten an den Server zu übergeben und seine Reaktionen beobachten. Sollte der Trojaner seine Botschaften per Mail nach Hause senden, hilft MailPot beim Mitlesen der Mail. Allerdings funktioniert es nicht bei Malware, die ihre Nachrichten per MX-Lookup an die jeweilige Domain direkt versendet.
Beim Disassemblieren mit dem populären IDA Pro soll IDCDumpFix Hilfestellung geben und API-Namen zu IAT-Adressen auflösen. Einen Shellcode-Logger stellt iDefense mit SCLog zur Verfügung, der die API-Aufrufe protokolliert und bestimmte Aufrufe blockiert. Aus Sicherheitsgründen empfiehlt der Entwicker aber, das Tool nur in virtuellen Umgebungen einzusetzen.
Praktisch ist auch ShellExt mit dem das Kontextmenü des Windows Explorer um drei Funktionen erweitert wird. Mit Decompile lassen sich fortan CHM-Hilfe-Datei einsehen, während Strings ASCII- und Unicode-Zeichenketten in Dateien anzeigt. Zusätzlich lassen sich die Hash-Werte aller Dateien eines Ordners mit Hash anzeigen. Alle Tools kommen vorkompiliert und mit Quellcode sowie teilweise mit kurzer Dokumentation.
Siehe dazu auch: (dab)
- Malcode Analyst Pack von iDefense
