استفاده از ویراستار‌های Hex

یک ویراستار‌ Hex (یا ویراستار فایل باینری یا Byteeditor) نوعی برنامه‌ کامپیوتری است که به کاربر توانایی دستکاری داده‌های باینری اساسی را می‌دهد و یک فایل کامپیوتری را تشکیل می‌دهند. نام Hex از واژه‌ Hexadecimal می‌آید که فرمت استاندارد عددی برای نمایش داده‌های باینری است. در زیر چند برنامه ویراستار ارائه شده است

• HxD
• 010 Editor
• Hex Workshop
• HexFiend
• Hiew

معرفی Disassemblerها

Disassembler یک برنامه‌ کامپیوتری است که زبان ماشین را به زبان اسمبلی ترجمه می‌کند (عملیات معکوس نسبت به Assembler). لازم به ذکر است که Disassembler با Decompiler متفاوت است زیرا هدف Decompiler زبانی در سطح بالا است و نه یک زبان اسمبلی. فرمت Disassembly که خروجی Disassembler است، معمولاً برای خواندن توسط انسان‌ها تعیین می‌شود، نه برای ورودی یک Assembler و این امر باعث می‌شود که این ابزار اساساً مبتنی بر مهندسی معکوس باشد.

• IDA Pro
• Binary Ninja
• Radare
• Hopper
• Capstone
• objdump
• fREedom
• plasma

ابزارهای دقیق Dynamic Binary

ابزارهای باینری داینامیک دقیق یا در اصطلاح Dynamic Binary Instrumentation به ترتیب زیر است:

• Pin
• DynamoRio
• frida
• dyninst
• Qemu
• unicorn

معرفی ابزارهای آنالیز مستندات

• Ole Tools
• Didier’s PDF Tools
• Origami

منابع اطلاعاتی تهدید سیستم‌های ‌SIEM

این مورد به شکارچیان تهدید در مورد تهدیدهای جدید برای جستجو و تکنیک‌هایی که مهاجمان در حال اتخاذ هستند کمک می‌کند. منابع اطلاعاتی تهدید همچنین جزئیات مربوط به بد افزارهای اجرایی مخرب و آدرس‌های IP مخرب و احتیاط‌آور را به آنها ارائه می‌دهند.

• Assemblyline: چهارچوبی مقیاس‌پذیر برای تجزیه‌و‌تحلیل فایل توزیعی است.
• BinaryAlert: یک AWS Pipeline متن باز و بدون سرور که براساس مجموعه‌ای از قوانین YARA فایل‌های آپلود شده را اسکن کرده و در موردشان هشدار می‌دهد.
• Chkrootkit: ابزاری برای شناسایی Rootkit مربوط به Local Linux است.
• ClamAV: نوعی موتور آنتی‌ویروس متن باز است.
• Detect:It:Easy: برنامه‌ای برای تعیین نوع فایل‌ها است.
• ExifTool: فراداده‌ (Metadata) مربوط به خواندن، نوشتن و ویرایش فایل است.
• File Scanning Framework: راهکاری ماژولار و بازگشتی (Recursive) برای اسکن کردن فایل‌هاست.
• Hashdeep: ابزاری برای محاسبه‌ Hash Digestها با الگوریتم‌های مختلف به شمار می‌رود.
• Loki: نوعی اسکنر مبتنی بر Host برای IoCها است.
• Malfunction: فهرست اطلاعات یا کاتالوگ است و به مقایسه‌ بدافزار در سطح عملکرد می‌پردازد.
• MASTIFF: چهارچوب تجزیه‌و‌تحلیل استاتیک است.
• MultiScanner: چهارچوبی ماژولار است که برای اسکن و یا تجزیه‌و‌تحلیل فایل استفاده می‌شود.
• Nsrllookup: ابزاری برای جستجوی Hashها در دیتابیس National Software Reference Library متعلق به NIST است.
• Packerid: یک پلتفرم مبتنی بر پایتون است که جایگزینی برای PEiD محسوب می‌گردد.
• PEV: یک Multiplatform Toolkit برای کار کردن با فایل‌های PE، که ابزار‌هایی با ویژگی‌های متنوع را برای تجزیه‌و‌تحلیل باینری‌های مشکوک فراهم می‌نماید.
• Rootkit Hunter: ابزاری است که Rootkitهای Linux را شناسایی می‌نماید.
• Ssdeep: ابزاری که Hashهای مبهم (Fuzzy) را محاسبه می‌کند.
• TrID: شناسه (Identifier) فایل
• YARA: ابزاری برای تطابق الگو (Pattern Matching) برای تحلیل‌گران است.