3. Необходимые инструменты

Необходимые инструменты

Введение

Перед началом разработки вредоносного ПО необходимо подготовить рабочее пространство, установив инструменты для разработки вредоносных программ и обратной разработки. Эти инструменты помогут вам в разработке и анализе вредоносного ПО и будут использоваться на протяжении всего курса.

Инструменты обратной разработки

Некоторые из упомянутых инструментов больше ориентированы на обратную разработку, а не на разработку. Важно провести обратную разработку созданного вредоносного ПО, чтобы полностью понять его внутреннее устройство и иметь представление о том, что увидят аналитики вредоносного ПО при его проверке.

Инструменты для установки

Установите следующие инструменты:

• Visual Studio - Это среда разработки, в которой будет происходить процесс написания и компиляции кода. Установите C/C++ Runtime.

• x64dbg - x64dbg - это отладчик, который будет использоваться на протяжении всего курса для получения внутреннего понимания созданного вредоносного ПО.

• PE-Bear - PE-Bear - это инструмент для обратной разработки PE-файлов (Portable Executable) под различные платформы. Он также будет использоваться для анализа созданного вредоносного ПО и поиска подозрительных индикаторов.

• Process Hacker 2 - Process Hacker - это мощный многофункциональный инструмент, который помогает отслеживать системные ресурсы, отлаживать программное обеспечение и обнаруживать вредоносное ПО.

• Msfvenom - Msfvenom - это инструмент командной строки, который используется для создания, изменения и вывода вредоносных нагрузок.

Visual Studio

Visual Studio - это интегрированная среда разработки (IDE), разработанная компанией Microsoft. Она используется для разработки широкого спектра программного обеспечения, такого как веб-приложения, веб-сервисы и компьютерные программы. Она также включает инструменты разработки и отладки для создания и тестирования приложений. Visual Studio будет основной средой разработки, используемой в этом курсе.

x64dbg

x64dbg - это отладочная утилита с открытым исходным кодом для Windows-бинарных файлов x64 и x86. Она используется для анализа и отладки приложений пользовательского режима и драйверов режима ядра. Она предоставляет графический интерфейс пользователя, который позволяет пользователям проверять и анализировать состояние своих программ и просматривать содержимое памяти, инструкции ассемблера и значения регистров. С помощью x64dbg пользователи могут устанавливать точки останова, просматривать данные стека и кучи, шагать по коду и считывать и записывать значения памяти.

Вкладка "CPU" имеет 4 экрана:

1. Дизассемблер (вверху слева): В этом окне отображаются исполняемые команды приложения.

2. Дамп (внизу слева): В этом окне отображается содержимое памяти отлаживаемого приложения.

3. Регистры (вверху справа): В этом окне отображаются значения регистров ЦП.

4. Стек (внизу справа): В этом окне отображается содержимое стека.

Оставшиеся вкладки также предоставляют полезную информацию, но они будут обсуждаться в модулях при их использовании.

PE-Bear

PE-Bear - это бесплатный инструмент с открытым исходным кодом, предназначенный для быстрого и легкого анализа исполняемых файлов Windows Portable Executable (PE). Он помогает анализировать и визуализировать структуру PE-файла, просматривать импорт и экспорт каждого модуля и проводить статический анализ для обнаружения аномалий и возможного вредоносного кода. PE-Bear также включает функции, такие как проверка заголовка и секции PE, а также шестнадцатеричный редактор.

Process Hacker

Process Hacker - это инструмент с открытым исходным кодом для просмотра и управления процессами и службами в Windows. Он похож на Диспетчер задач, но предоставляет больше информации и дополнительные функции. С его помощью можно завершать процессы и службы, просматривать подробную информацию и статистику о процессах, устанавливать приоритеты процессов и многое другое. Process Hacker будет полезен при анализе работающих процессов для просмотра таких элементов, как загруженные DLL-библиотеки и области памяти.

Msfvenom

Msfvenom - это инструмент генерации нагрузок в составе фреймворка Metasploit, который позволяет пользователям генерировать различные типы нагрузок. Эти нагрузки будут использоваться в создаваемом вредоносном ПО в рамках этого курса.