Релиз дистрибутива для анализа вредоносного ПО REMnux 8.0

В середине февраля 2026 года состоялся релиз специализированного Linux‑дистрибутива REMnux 8.0 на базе Ubuntu 24.04 (ранее использовалась сборка Ubuntu 20.04), предназначенного для изучения и обратного инжиниринга кода вредоносных программ. Решение REMnux позволяет сформировать изолированное лабораторное окружение, в котором можно эмулировать работу атакуемого сетевого сервиса для изучения поведения вредоносного ПО в условиях приближенных к реальным.

Дистрибутив REMnux построен на пакетной базе Ubuntu и включает инструменты для анализа вредоносного ПО, утилиты для проведения обратного инжиниринга кода, программы для изучения модифицированных злоумышленниками PDF и офисных документов, а также средства мониторинга активности в системе.

Всего в REMnux предложено более 200 специализированных инструментов. Для загрузки предлагаются образы для систем виртуализации в форматах ova (VirtualBox) и bqcow2 (Proxmox), размером 8 ГБ.

Проект REMnux также распространяет набор Docker‑образов для изолированного запуска отдельных инструментов в существующих системах.

В комплект инструментов в REMnux включены опции:

• анализ веб‑сайтов: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py;

• анализ Java: Java Cache IDX Parser, JD‑GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR;

• анализ JavaScript: Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier;

• анализ PDF: AnalyzePDF, Pdfobjflow, pdfid, pdf‑parser, peepdf, Origami, PDF X‑RAY Lite, PDFtk, swf_mastah, qpdf, pdfresurrect;

• анализ документов Microsoft Office: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;

• анализ Shellcode: sctest, unicode2hex‑escaped, unicode2raw, dism‑this, shellcode2exe;

• приведение запутанного кода в читаемый вид (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, FLOSS

• извлечение строковых данных: strdeobj, pestr, strings;

• восстановление файлов: Foremost, Scalpel, bulk_extractor, Hachoir;

• мониторинг сетевой активности: Wireshark, ngrep, TCPDump, tcpick;

• сетевые сервисы: FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept‑all‑ips;

• сетевые утилиты: prettyping.sh, set‑static‑ip, renew‑dhcp, Netcat, EPIC IRC Client, stunnel, Just‑Metadata;

• работа с коллекцией примеров вредоносного ПО: Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout;

• определение сигнатур: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc‑parser;

• сканирование: Yara, ClamAV, TrID, ExifTool, virustotal‑submit, Disitool;

• работа с хэшами: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal‑search, VirusTotalApi;

• анализ вредоносного ПО для Linux: Sysdig, Unhide

• дизассемблеры: Vivisect, Udis86, objdump;

• отладчики: Evan«s Debugger (EDB), GNU Project Debugger (GDB); »

• системы трассировки: strace, ltrace

• работа с текстовыми данными: SciTE, Geany, Vim;

• работа с изображениями: feh, ImageMagick;

• работа с бинарными файлами: wxHexEditor, VBinDiff;

• анализ дампов памяти: Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall, linux_mem_diff_tool;

• анализ исполняемых PE‑файлов UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, Bokken, RATDecoders, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;

• анализ вредоносного ПО для мобильных устройств: Androwarn, AndroGuard.

В новой версии REMnux:

• системное окружение обновлено с Ubuntu 20.04 до 24.04. Обновлены версии поставляемых в дистрибутиве инструментов.

• добавлен новый инсталлятор, позволяющий установить предлагаемое в дистрибутиве окружения поверх уже имеющихся установок Ubuntu 24.04.

• предоставлена возможность использования AI‑ассистентов для анализа вредоносного ПО. В состав включён собственный MCP‑сервер для интеграции имеющегося в дистрибутиве инструментария с различными AI‑агентами. Добавлена возможность использования в терминале AI‑агента OpenCode. Добавлен пакет GhidrAssistMCP для автоматизации обратного инжиниринга в пакете Ghidra. Добавлены плагины r2ai и decai для фреймворка Radare2.

• в состав включены новые инструменты, включая:

  • YARA‑X (YARA переписанный на Rust) с обновлёнными правилами YARA‑Forge;

  • GoReSym и Redress для анализа исполняемых файлов проектов на языке Go;

  • Manalyze и LIEF для разбора исполняемых файлов в форматах PE/ELF/MachO;

  • pyinstxtractor‑ng, uncompyle6 и AutoIt‑Ripper для анализа вредоносного ПО на Python;

  • APKiD для анализа Android‑приложений;

  • origamindee для разбора PDF;

  • zbar‑tools для декодирования QR‑кодов.