FakeNet - это инструмент, который помогает в динамическом анализе вредоносного ПО. Инструмент имитирует сеть, так что вредоносное ПО, взаимодействующее с удаленным хостом, продолжает работать, позволяя аналитику наблюдать за сетевой активностью вредоносного ПО из безопасной среды.
Особенности:
- Поддерживает DNS, HTTP и SSL
- HTTP-сервер всегда обслуживает файл и пытается обслужить значимый файл; если вредоносная программа запрашивает .jpg, то обслуживается правильно отформатированный .jpg и т. д. Обслуживаемые файлы настраиваются пользователем.
- Возможность перенаправить весь трафик на локальный хост, включая трафик, предназначенный для жестко заданного IP-адреса.
- Расширения Python, включая образец расширения, реализующего SMTP и SMTP через SSL.
- Встроенная возможность создания файла захвата (.pcap) для пакетов на localhost.
- Фиктивный приемник, который будет прослушивать трафик на любом порту, автоматически обнаруживать и расшифровывать SSL-трафик и отображать контент на консоли.
FakeNet использует различные библиотеки Windows и сторонних производителей. Для ответа на этот запрос он использует настраиваемый сервер HTTP и DNS. Он использует OpenSSL для обертывания любого соединения с SSL. Он использует Winsock Layered Service Provider (LSP) для перенаправления трафика на локальный хост и для прослушивания трафика на новых портах. Он использует Python 2.7 для расширений Python. И он создает файл .pcap, реконструируя заголовок пакета на основе трафика от вызовов send / recv.