FakeNet - Средство моделирования сети Windows для анализа вредоносных программ

SteelGolem

Intermidiate Hacker
27.08.2020
36
0
8
1606295001212.png

FakeNet - это инструмент, который помогает в динамическом анализе вредоносного ПО. Инструмент имитирует сеть, так что вредоносное ПО, взаимодействующее с удаленным хостом, продолжает работать, позволяя аналитику наблюдать за сетевой активностью вредоносного ПО из безопасной среды.
Особенности:
- Поддерживает DNS, HTTP и SSL
- HTTP-сервер всегда обслуживает файл и пытается обслужить значимый файл; если вредоносная программа запрашивает .jpg, то обслуживается правильно отформатированный .jpg и т. д. Обслуживаемые файлы настраиваются пользователем.
- Возможность перенаправить весь трафик на локальный хост, включая трафик, предназначенный для жестко заданного IP-адреса.
- Расширения Python, включая образец расширения, реализующего SMTP и SMTP через SSL.
- Встроенная возможность создания файла захвата (.pcap) для пакетов на localhost.
- Фиктивный приемник, который будет прослушивать трафик на любом порту, автоматически обнаруживать и расшифровывать SSL-трафик и отображать контент на консоли.

FakeNet использует различные библиотеки Windows и сторонних производителей. Для ответа на этот запрос он использует настраиваемый сервер HTTP и DNS. Он использует OpenSSL для обертывания любого соединения с SSL. Он использует Winsock Layered Service Provider (LSP) для перенаправления трафика на локальный хост и для прослушивания трафика на новых портах. Он использует Python 2.7 для расширений Python. И он создает файл .pcap, реконструируя заголовок пакета на основе трафика от вызовов send / recv.
 

Об LS-LA

  • Мы, группа единомышленников, основная цель которых повышать уровень знаний и умений.
    Не забывая о материальном благополучии каждого)

About LS-LA

  • We, a group of like-minded people, whose main goal is to increase the level of knowledge and skills.
    Not forgetting about everyone’s material well-being)

Быстрая навигация

Пользовательское меню