Аналіз зловмисного програмного забезпечення Linux

Зловмисне програмне забезпечення це шкідливий шматок коду, надісланий з наміром завдати шкоди своїй комп’ютерній системі. Шкідливе програмне забезпечення може бути будь-якого типу, наприклад, руткіти, шпигунські програми, рекламні програми, віруси, хробаки тощо., який приховує себе та працює у фоновому режимі під час спілкування зі своєю системою управління та управління у зовнішній мережі. В даний час більшість шкідливих програм визначаються цільовим призначенням і спеціально запрограмовані на обхід заходів безпеки цільової системи. Ось чому розширене зловмисне програмне забезпечення може бути дуже важко виявити за допомогою звичайних рішень безпеки. Зловмисні програми, як правило, специфічні для цільової групи, і важливим кроком у спрацьовуванні шкідливого програмного забезпечення є його вектор зараження, тобто.e., як шкідливе програмне забезпечення потрапить на поверхню цілі. Наприклад, може використовуватися невиразний USB-накопичувач або шкідливі посилання для завантаження (через соціальну інженерію / фішинг). Шкідливе програмне забезпечення повинно мати можливість використовувати вразливість для зараження цільової системи. У більшості випадків зловмисне програмне забезпечення має можливість виконувати більше однієї функції; наприклад, шкідливе програмне забезпечення може містити код для використання певної вразливості, а також може містити корисне навантаження або програму для зв'язку з атакуючою машиною.

REMnux

Розбирається зловмисне програмне забезпечення комп’ютера, щоб вивчити його поведінку та зрозуміти, що воно насправді робить Зворотне проектування шкідливих програм. Щоб визначити, чи містить виконуваний файл шкідливе програмне забезпечення, чи це звичайний виконуваний файл, або знати, що виконуваний файл насправді робить, та вплив, який він має на систему, існує спеціальний дистрибутив Linux REMnux. REMnux - це легкий дистрибутив на базі Ubuntu, оснащений усіма інструментами та сценаріями, необхідними для детального аналізу шкідливого програмного забезпечення для певного файлу чи виконуваного програмного забезпечення. REMnux оснащений безкоштовними інструментами з відкритим кодом, які можна використовувати для перевірки всіх типів файлів, включаючи виконувані файли. Деякі інструменти в REMnux навіть може бути використаний для вивчення незрозумілого або заплутаного коду JavaScript та програм Flash.

Встановлення

REMnux можна запустити на будь-якому дистрибутиві на базі Linux або у віртуальному вікні, в якому Linux є основною операційною системою. Першим кроком є ​​завантаження REMnux розповсюдження з офіційного веб-сайту, що можна зробити, ввівши таку команду:

[захищено електронною поштою]: ~ $ wget https: // REMnux.org / remnux-cli

Обов’язково перевірте, чи це той самий файл, який ви хотіли, порівнявши підпис SHA1. Підпис SHA1 можна створити за допомогою наступної команди:

[захищено електронною поштою]: ~ $ sha256sum remnux-cli

Потім перемістіть його в інший каталог з іменем “Реконструкція” і надайте йому виконувані дозволи за допомогою “Chmod + x." Тепер запустіть таку команду, щоб розпочати процес встановлення:

[захищено електронною поштою]: ~ $ mkdir remnux
[захищено електронною поштою]: ~ $ cd remnux
[захищено електронною поштою]: ~ $ mv… / remux-cli ./
[захищено електронною поштою]: ~ $ chmod + x remnux-cli
// Встановіть Remnux
[захищено електронною поштою]: ~ $ sudo install remnux

Перезапустіть систему, і ви зможете використовувати нещодавно встановлену REMnux дистрибутив, що містить усі інструменти, доступні для процедури зворотного проектування.

Ще одна корисна річ про REMnux полягає в тому, що ви можете використовувати популярні образи докерів REMnux інструменти для виконання конкретного завдання замість того, щоб встановлювати весь дистрибутив. Наприклад, RetDec інструмент використовується для розбирання машинного коду, і він приймає введення у різних форматах файлів, таких як 32-бітні / 62-бітні файли exe, файли elf тощо. Рекалл ще один чудовий інструмент, що містить зображення докера, який можна використовувати для виконання деяких корисних завдань, таких як вилучення даних пам'яті та отримання важливих даних. Щоб дослідити незрозумілий JavaScript, інструмент називається JSdetox також можна використовувати. Зображення Docker цих інструментів присутні в REMnux сховище в Docker Hub.

Аналіз шкідливих програм

• Ентропія

Викликається перевірка непередбачуваності потоку даних Ентропія. Послідовний потік байтів даних, наприклад, всі нулі або всі одиниці, мають 0 Ентропію. З іншого боку, якщо дані зашифровані або складаються з альтернативних бітів, вони матимуть вищі значення ентропії. Добре зашифрований пакет даних має більше значення ентропії, ніж звичайний пакет даних, оскільки бітові значення в зашифрованих пакетах непередбачувані і змінюються швидше. Ентропія має мінімальне значення 0 і максимальне значення 8. Основне використання Entropy в аналізі зловмисного програмного забезпечення полягає у пошуку зловмисного програмного забезпечення у виконуваних файлах. Якщо виконуваний файл містить шкідливе шкідливе програмне забезпечення, він у більшості випадків повністю зашифрований, тому антивірус не може дослідити його вміст. Рівень ентропії такого типу файлів дуже високий, порівняно із звичайним файлом, який надсилатиме слідчому сигнал про щось підозріле у вмісті файлу. Високе значення ентропії означає велике скремблювання потоку даних, що є чітким свідченням чогось рибного.

• Розвідник щільності

Цей корисний інструмент створений з єдиною метою: знайти шкідливе програмне забезпечення в системі. Зазвичай зловмисники обгортають шкідливе програмне забезпечення в скрембовані дані (або кодують / шифрують), щоб антивірусне програмне забезпечення не могло виявити його. Density Scout сканує вказаний шлях до файлової системи та друкує значення ентропії кожного файлу в кожному шляху (починаючи від найвищого до найнижчого). Висока цінність зробить слідчого підозрілим, і він або вона продовжить розслідування справи. Цей інструмент доступний для операційних систем Linux, Windows та Mac. Density Scout також має меню довідки, що містить різноманітні опції, які він надає, із таким синтаксисом:

ubuntu @ ubuntu: ~ densityscout --h

• ByteHist

ByteHist - це дуже корисний інструмент для створення графіку або гістограми відповідно до рівня скремблювання (ентропії) даних різних файлів. Це ще більше полегшує роботу слідчого, оскільки цей інструмент навіть робить гістограми підрозділів виконуваного файлу. Це означає, що тепер слідчий може легко зосередитись на тій частині, де виникає підозра, просто подивившись на гістограму. Гістограма файлу нормального вигляду буде абсолютно відмінною від зловмисної.

Виявлення аномалії

Зловмисні програми можна упакувати в звичайному режимі, використовуючи різні утиліти, такі як UPX. Ці утиліти змінюють заголовки виконуваних файлів. Коли хтось намагається відкрити ці файли за допомогою налагоджувача, змінені заголовки виводять з ладу налагоджувач, так що слідчі не можуть розглянути його. Для цих випадків, Виявлення аномалії використовуються інструменти.

• PE (портативний виконуваний файл) сканер

PE Scanner - це корисний скрипт, написаний на Python, який використовується для виявлення підозрілих записів TLS, недійсних позначок часу, розділів із підозрілими рівнями ентропії, розділів із нульовими розмірами необроблених розмірів та шкідливих програм, упакованих у файли exe, серед інших функцій.

• Exe Scan

Ще одним чудовим інструментом для сканування файлів exe або dll на предмет дивної поведінки є сканування EXE. Ця утиліта перевіряє поле заголовка виконуваних файлів на підозрілі рівні ентропії, розділи з необробленими розмірами нульової довжини, різниці контрольної суми та всі інші типи нерегулярної поведінки файлів. EXE Scan має чудові можливості, створюючи детальний звіт та автоматизуючи завдання, що економить багато часу.

Затуманені струни

Зловмисники можуть використовувати a зміщення метод затушувати рядки у шкідливих виконуваних файлах. Існують певні типи кодування, які можна використовувати для затухання. Наприклад, ROT кодування використовується для обертання всіх символів (менших та великих алфавітів) на певну кількість позицій. XOR кодування використовує секретний ключ або парольну фразу (константу) для кодування або для XOR файлу. ROL кодує байти файлу, обертаючи їх після певної кількості бітів. Існують різні інструменти для вилучення цих спантеличених рядків із заданого файлу.

• XORsearch

XORsearch використовується для пошуку вмісту у файлі, кодованому за допомогою Алгоритми ROT, XOR та ROL. Це призведе до грубої сили всіх однобайтових ключових значень. Для більших значень ця утиліта займе багато часу, саме тому ви повинні вказати рядок, який ви шукаєте. Деякі корисні рядки, які зазвичай знаходяться у зловмисному програмному забезпеченні:http"(Більшість випадків URL-адреси приховуються у коді шкідливих програм), "Ця програма" (заголовок файлу модифікується написанням “Цю програму не можна запустити в DOS” у багатьох випадках). Після пошуку ключа за допомогою нього можна розшифрувати всі байти. Синтаксис XORsearch такий:

ubuntu @ ubuntu: ~ xorsearch -s

• брутектор

Після пошуку ключів за допомогою таких програм, як пошук xor, рядки xor тощо., можна використовувати чудовий інструмент, який називається брутектор bruteforce будь-який файл для рядків без вказівки заданого рядка. При використанні -f варіант, можна вибрати весь файл. Спочатку файл можна примусово застосувати, а витягнуті рядки скопіювати до іншого файлу. Потім, переглянувши вилучені рядки, можна знайти ключ, і тепер, використовуючи цей ключ, можна витягти всі рядки, закодовані за допомогою цього конкретного ключа.

ubuntu @ ubuntu: ~ brutexor.py >> хочу скопіювати витягнуті рядки>
ubuntu @ ubuntu: ~ brutexor.py -f -k

Вилучення артефактів та цінних даних (Видалено)

Для аналізу образів дисків та жорстких дисків та вилучення з них артефактів та цінних даних використовують різні інструменти, такі як Скальпель, Перш за все, тощо., спочатку потрібно створити побітове зображення з них, щоб не втратити дані. Для створення цих копій зображень доступні різні інструменти.

• dd

dd використовується для отримання криміналістично обгрунтованого зображення накопичувача. Цей інструмент також забезпечує перевірку цілісності, дозволяючи порівняти хеші зображення з оригінальним дисководом. Інструмент dd можна використовувати наступним чином:

ubuntu @ ubuntu: ~ dd if = з = bs = 512
if = вихідний диск (наприклад, / dev / sda)
of = Місце призначення
bs = Розмір блоку (кількість байтів для копіювання за раз)

• dcfldd

dcfldd - це ще один інструмент, який використовується для створення дисків. Цей інструмент схожий на оновлену версію утиліти dd. Він надає більше опцій, ніж dd, наприклад, хешування під час зображення. Ви можете вивчити параметри dcfldd, використовуючи таку команду:

ubuntu @ ubuntu: ~ dcfldd -h
Використання: dcfldd [ОПЦІЯ] ..
bs = BYTES сила ibs = BYTES і obs = BYTES
conv = КЛЮЧОВІ СЛОВА перетворити файл відповідно до списку ключових слів, розділених комами
count = БЛОКИ копіюють лише вхідні блоки БЛОКІВ
ibs = байт за один раз прочитаний байт
if = FILE читається з FILE замість stdin
obs = BYTES записують BYTES bytes за раз
of = FILE записувати у FILE замість stdout
ПРИМІТКА: of = FILE може використовуватися кілька разів для запису
вихід одночасно до декількох файлів
of: = КОМАНДА exec та виведення даних для обробки КОМАНДИ
пропустити = БЛОКИ пропустити БЛОКИ блоків розміром ibs на початку введення
pattern = HEX використовуйте вказаний двійковий шаблон як вхід
textpattern = TEXT використовуйте повторюваний TEXT як вхід
errlog = FILE надсилати повідомлення про помилки у FILE, а також stderr
хеш = НАЗВА md5, sha1, sha256, sha384 або sha512
типовим алгоритмом є md5. Щоб вибрати кілька
алгоритми для одночасного запуску вводять імена
у списку, розділеному комами
hashlog = FILE надсилає хеш-вивід MD5 у FILE замість stderr
якщо ви використовуєте кілька хеш-алгоритмів
може надіслати кожен до окремого файлу за допомогою
конвенція ALGORITHMlog = FILE, наприклад
md5log = ФАЙЛ1, sha1log = ФАЙЛ2 тощо.
hashlog: = COMMAND exec і напишіть hashlog для обробки COMMAND
ALGORITHMlog: = COMMAND також працює таким же чином
hashconv = [до | після] виконує хешування до або після перетворень
хеш-формат = FORMAT відображає кожне хеш-вікно відповідно до FORMAT
міні-мова хеш-формату описана нижче
totalhash format = FORMAT відображає загальне хеш-значення відповідно до FORMAT
статус = [увімкнено | вимкнено] відображатиме постійне повідомлення про стан на stderr
стан за замовчуванням "увімкнено"
statusinterval = N оновлює повідомлення про стан кожні N блоків
значення за замовчуванням - 256
vf = FILE переконайтеся, що FILE відповідає вказаному вводу
verifylog = FILE надіслати результати перевірки у FILE замість stderr
verifylog: = COMMAND exec та напишіть результати перевірки для обробки COMMAND
--допомогти відобразити цю довідку та вийти
--версія виведення інформації про версію та вихід

• Перш за все

Foremost використовується для вирізання даних із файлу зображення за допомогою техніки, відомої як різьба по файлах. Основна увага при вирізанні файлів - це вирізання даних за допомогою верхнього та нижнього колонтитулів. Його конфігураційний файл містить кілька заголовків, які користувач може редагувати. Foremost витягує заголовки та порівнює їх із тими, що містяться у файлі конфігурації. Якщо воно збігається, воно відображатиметься.

• Скальпель

Скальпель - це ще один інструмент, який використовується для пошуку та вилучення даних, і він порівняно швидший, ніж Foremost. Скальпель переглядає заблоковану область зберігання даних і починає відновлювати видалені файли. Перш ніж використовувати цей інструмент, рядок типів файлів потрібно прокоментувати, видаливши # від потрібного рядка. Скальпель доступний як для операційних систем Windows, так і для Linux, і вважається дуже корисним для судових розслідувань.

• Насипний екстрактор

Bulk Extractor використовується для вилучення таких функцій, як адреси електронної пошти, номери кредитних карток, URL-адреси тощо. Цей інструмент містить безліч функцій, які надають величезну швидкість завданням. Для розпакування частково пошкоджених файлів використовується Bulk Extractor. Він може отримувати файли, такі як jpgs, pdfs, текстові документи тощо. Ще однією особливістю цього інструменту є те, що він створює гістограми та графіки відновлених типів файлів, що значно полегшує слідчим перегляд бажаних місць або документів.

Аналіз PDF-файлів

Наявність повністю виправленої комп’ютерної системи та останнього антивіруса не обов’язково означає, що система захищена. Шкідливий код може потрапити в систему з будь-якого місця, включаючи PDF-файли, шкідливі документи тощо. Файл PDF зазвичай складається із заголовка, об’єктів, таблиці перехресних посилань (для пошуку статей) та трейлера. “/ OpenAction” і “/ AA” (додаткова дія) гарантує, що вміст або діяльність протікають природно. “/ Імена”, “/ AcroForm”, і “/ Дія” також може вказувати та надсилати вміст або діяльність. “/ JavaScript” вказує JavaScript для запуску. "/Йти до*" змінює подання на заздалегідь визначену мету всередині PDF або в іншому записі PDF. “/ Запуск” відправляє програму або відкриває архів. “/ URI” отримує актив за його URL-адресою. “/ SubmitForm” і “/ GoToR” може надсилати інформацію за URL-адресою. “/ RichMedia” може використовуватися для встановлення Flash у PDF. “/ ObjStm” може огортати об’єкти всередині об’єктного потоку. Наприклад, пам’ятайте про плутанину з шістнадцятковими кодами, “/ JavaScript” проти “/ J # 61vaScript." Файли PDF можна досліджувати за допомогою різних інструментів, щоб визначити, чи містять вони шкідливий JavaScript або коди оболонки.

• pdfid.py

pdfid.py - це скрипт Python, який використовується для отримання інформації про PDF та його заголовки. Давайте поглянемо на випадковий аналіз PDF за допомогою pdfid:

ubuntu @ ubuntu: ~ python pdfid.py зловмисний.pdf
PDFiD 0.2.1 / home / ubuntu / Desktop / зловмисний.pdf
Заголовок PDF:% PDF-1.7
obj 215
endobj 215
потік 12
кінцевий потік 12
xref 2
причіп 2
startxref 2
/ Сторінка 1
/ Зашифрувати 0
/ ObjStm 2
/ JS 0
/ JavaScript 2
/ AA 0
/ OpenAction 0
/ AcroForm 0
/ JBIG2Decode 0
/ RichMedia 0
/ Запуск 0
/ EmbeddedFile 0
/ XFA 0
/ Кольори> 2 ^ 24 0

Тут ви бачите, що всередині файлу PDF присутній код JavaScript, який найчастіше використовується для використання Adobe Reader.

• peepdf

peepdf містить усе необхідне для аналізу файлів PDF. Цей інструмент дає дослідникові можливість переглянути потоки кодування та декодування, редагування метаданих, код оболонки, виконання оболонок та шкідливий JavaScript. Peepdf має підписи для багатьох вразливих місць. Запустивши його зі шкідливим PDF-файлом, peepdf виявить будь-яку відому вразливість. Peepdf - це скрипт на Python, який пропонує безліч варіантів для аналізу PDF-файлів. Peepdf також використовується зловмисними кодерами для упаковки PDF зі шкідливим JavaScript, що виконується при відкритті файлу PDF. Аналіз Shellcode, вилучення шкідливого вмісту, вилучення старих версій документа, модифікація об’єктів та модифікація фільтрів - це лише деякі з широких можливостей цього інструменту.

ubuntu @ ubuntu: ~ python peepdf.py зловмисний.pdf
Файл: зловмисний.pdf
MD5: 5b92c62181d238f4e94d98bd9cf0da8d
SHA1: 3c81d17f8c6fc0d5d18a3a1c110700a9c8076e90
SHA256: 2f2f159d1dc119dcf548a4cb94160f8c51372a9385ee60dc29e77ac9b5f34059
Розмір: 263069 байт
Версія: 1.7
Двійковий: Правда
Лінійно: помилково
Зашифровано: Невірно
Оновлення: 1
Об'єктів: 1038
Потоки: 12
URI: 156
Коментарів: 0
Помилки: 2
Потоки (12): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1036, 1038]
Потоки Xref (1): [1038]
Об’єктні потоки (2): [204, 705]
Зашифровано (11): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1038]
Об'єкти з URI (156): [11, 12, 13, 14, 15, 16, 24, 27, 28, 29, 30, 31, 32, 33,
34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53,
54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73,
74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93,
94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110,
111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 122, 123, 124, 125, 126,
127, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142,
143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158,
159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175]
 
Підозрілі елементи: / Імена (1): [200]

Зозуля Пісочниця

Пісочниця використовується для перевірки поведінки неперевірених або ненадійних програм у безпечному, реалістичному середовищі. Після розміщення файлу в Зозуля Пісочниця, за кілька хвилин цей інструмент розкриє всю відповідну інформацію та поведінку. Зловмисні програми є основною зброєю зловмисників і Зозуля це найкращий захист, який можна мати. У наш час недостатньо знати лише про те, що шкідливе програмне забезпечення потрапляє в систему та видаляє її, і хороший аналітик безпеки повинен проаналізувати та вивчити поведінку програми, щоб визначити вплив на операційну систему, весь її контекст та основні цілі.

Встановлення

Cuckoo можна встановити в операційних системах Windows, Mac або Linux, завантаживши цей інструмент через офіційний веб-сайт: https: // cuckoosandbox.орг /

Щоб Cuckoo працював безперебійно, потрібно встановити кілька модулів та бібліотек Python. Це можна зробити за допомогою таких команд:

ubuntu @ ubuntu: ~ sudo apt-get install python python-pip
python-dev mongodb postgresql libpq-dev

Для того, щоб Cuckoo показував вихідні дані, що розкривають поведінку програми в мережі, потрібен пакетний sniffer, такий як tcpdump, який можна встановити за допомогою наступної команди:

ubuntu @ ubuntu: ~ sudo apt-get install tcpdump

Для надання функціональності SSL програмісту Python для реалізації клієнтів та серверів можна використовувати m2crypto:

ubuntu @ ubuntu: ~ sudo apt-get install m2crypto

Використання

Cuckoo аналізує різні типи файлів, включаючи PDF-файли, текстові документи, виконувані файли тощо. З останньою версією навіть веб-сайти можна аналізувати за допомогою цього інструменту. Зозуля також може скинути мережевий трафік або маршрутизувати його через VPN. Цей інструмент навіть скидає мережевий трафік або мережевий трафік із підтримкою SSL, і це можна ще раз проаналізувати. PHP-скрипти, URL-адреси, HTML-файли, базові сценарії visual, zip, dll-файли та майже будь-який інший тип файлу можна аналізувати за допомогою пісочниці з зозулею.

Щоб використовувати «Зозулю», потрібно подати зразок, а потім проаналізувати його вплив та поведінку.

Щоб подати двійкові файли, використовуйте таку команду:

# зозуля подати

Щоб надіслати URL-адресу, використовуйте таку команду:

# зозуля подати

Щоб встановити час очікування для аналізу, використовуйте таку команду:

# Час очікування подання зозулею = 60 с

Щоб встановити вищу властивість для даного двійкового файлу, використовуйте таку команду:

# зозуля подати - пріоритет 5

Основний синтаксис зозулі такий:

# cuckoo submit --package exe --options аргументи = дозометаск

Після завершення аналізу в каталозі можна побачити низку файлів “CWD / зберігання / аналіз”, що містить результати аналізу на наданих зразках. Файли, присутні в цьому каталозі, містять наступне:

• Аналіз.журнал: Містить результати процесу під час аналізу, такі як помилки під час виконання, створення файлів тощо.
• Пам'ять.дамп: Містить повний аналіз дампа пам'яті.
• Звалити.pcap: Містить дамп мережі, створений tcpdump.
• Файли: Містить усі файли, над якими працювало або впливало шкідливе програмне забезпечення.
• Дамп_сортований.pcap: Містить легко зрозумілу форму дампа.pcap для пошуку потоку TCP.
• Журнали: Містить усі створені журнали.
• Постріли: Містить знімки робочого столу під час обробки зловмисного програмного забезпечення або під час роботи зловмисного програмного забезпечення в системі «Зозуля».
• Тльсмастер.txt: Містить основні секрети TLS, виявлені під час виконання зловмисного програмного забезпечення.

Висновок

Існує загальне уявлення про те, що Linux не містить вірусів, або що шанс отримати шкідливе програмне забезпечення в цій ОС є дуже рідкісним. Більше половини веб-серверів базуються на Linux або Unix. Оскільки стільки систем Linux обслуговують веб-сайти та інший Інтернет-трафік, зловмисники бачать великий вектор атаки в шкідливих програмах для систем Linux. Отже, навіть щоденного використання движків AntiVirus було б недостатньо. Для захисту від шкідливих програм існує безліч рішень щодо захисту від вірусів та кінцевих точок. Але проаналізувати шкідливе програмне забезпечення вручну, REMnux та пісочниця з зозулею є найкращими доступними варіантами. REMnux надає широкий спектр інструментів у легкій, простій у встановленні системі розподілу, що було б чудово для будь-якого судового слідчого при аналізі шкідливих файлів усіх типів на шкідливі програми. Деякі дуже корисні інструменти вже докладно описані, але це не все, що є у REMnux, це лише вершина айсберга. Деякі з найбільш корисних інструментів у системі розподілу REMnux включають наступне:

Щоб зрозуміти поведінку підозрілої, ненадійної або сторонніх програм, цей інструмент слід запускати в безпечному, реалістичному середовищі, наприклад Зозуля Пісочниця, так що неможливо пошкодити основну операційну систему.

Використання мережевих елементів керування та методів зміцнення системи забезпечує додатковий рівень безпеки системи. Методи реагування на інцидент або цифрові криміналістичні методи слід також регулярно вдосконалювати, щоб подолати загрози шкідливого програмного забезпечення для вашої системи.