Tusi Paleon aləti Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidməti tərəfindən, insident araşdırması zamanı yoluxmuş sistemdə zərərvericiyə aid saxlanılan artefaktların sürətlə toplanması və sonradan analiz edilməsi üçün hazırlanmış alətdir. Tusi Paleon tərəfindən toplanan artefaktlar SQLite formatında məlumat bazası içərisində saxlanılır. Sözü gedən alətin 1.3 versiyası kimi istifadəçilər toplanan məlumatları təhlil etmək üçün SQLite formatını təhlil edə bilən istənilən proqram təminatından istifadə etməkdə müstəqil idilər. Lakin qeyd edilən məlumat bazasını təhlil etmək üçün istifadə edilən proqram təminatları istifadəçilərə yalnız xam məlumatları görməyə imkan yaradırdılar. Bu problem həlli üçün MRLab olaraq "Tusi Paleon UI" proqram təminatını işləyib hazırladıq.
Tusi Paleon UI
Paleon UI, Tusi Paleon-un sistemdən toplayıb SQLite3 formatında saxladığı məlumatları təhlil edən və istifadəçiyə sürətli analiz və aşkarlama imkanı yaradan qrafik interfeysli yeni proqram təminatıdır. İstifadəçilər UI içərisində artıq məlumatlara qruplaşdırılmış şəkildə baxmaq imkanına sahibdirlər. Bundan əlavə olaraq UI eyni zamanda istifadəçilərə hara baxmaq lazım olduğu haqqında bir çox ipucular təqdim edir. Əsas funksionallıqları aşağıda qeyd olunmuşdur.
- Qruplaşdırılmış tablolar
- Analiz prosesi zamanı qeydlər aparmaq üçün Notes bölməsi
- Sürətli keçid və əlfəcinlər (Mark Points)
- Virustotal sürətli axtarış
- HashScan
- Proses ağacı
- Situasiya məlumatlılığı (Situational awareness)
- Sürətli axtarış
- IP ünvanlar haqqında ətraflı məlumat
Tələblər
Paleon UI aşağıdakı əməliyyat sistemlərinin 64-bit arxitekturaya malik versiyalarında sınaqlardan uğurla keçmişdir: Xatırladaq ki, sözü gedən proqram təminatı "PLReport.db" 1.3 və sonrakı versiyalar üçün nəzərdə tutulmuşdur.
- Windows 10
- Windows 11
Təklif və ya iradlarınızı "PaleonUI" başlığı ilə mrl.report@cert.gov.az ünvanına göndərməyiniz xahiş olunur.
