14 mayo 2013

Volvemos a la carga con esta sección tocando un tema que suele leerse repetidamente en foros y listas de correo (la última vez en la lista rootedcon hace muy poco)

El objetivo es listar las herramientas que te pueden ayudar en la ardua tarea de analizar especímenes de malware.

Probablemente me deje muchas ya que al final esto va un poco de lo que uno conoce y más le gusta, dejamos abierta la puerta en los comentarios para que la gente añada cuantas más quiera.

Buster Sandbox Analyzer: Herramienta de 'sandboxing' que se apoya en sandboxie para analizar el comportamiento de un ejecutable, es muy cómodo de usar (se usa desde Windows, no requiere instalar otro sistema operativo) y genera unos decentes reportes.

OllyDBG: El debugger por excelencia, imprescindible para analizar cualquier pieza de malware

Veamos que plugins nos pueden resultar útiles:

  • Hide Debugger: Permite ocultar el uso del debugger e impide que el malware en cuestión se de por analizado
  • OllyDump: Útil para lidiar con packers, permite exportar un binario mientras se está 'reverseando'
  • Olly Advanced: Multiplexa las capacidades de Olly, lo más interesante (para este post) es la enorme cantidad de anti-anti-debuggers que trae
Immunity Debugger: Es la versión evolucionada de Olly, se puede 'scriptear' con Python lo que abre un nuevo mundo de posibilidades.

WinDBG: Otro debugger, tal vez menos intuitivo que los anteriores ( o tal vez con menos documentación y ejemplos disponibles). De él me gusta la herramienta 'logger' que es la versión Windows de ltrace en Linux

Process Explorer: De sysinternals. Una herramienta ampliamente infrautilizada con enormes posibilidades

Process Monitor: Para analizar al detalle lo que hace un proceso

Capture BAT: Herramienta para analizar el comportamiento de un binario sobre un sistema

File: Port del comando File de Linux, para identificar el tipo de fichero con el que estamos lidiando

Strings: Para extraer cadenas ascii de un fichero

StraceNT: Con funcionalidades parecidas al comando strace de Linux

API Monitor: Herramienta que permite monitorizar las funciones que emplea un ejecutable durante su ejecución

RegShot: Permite comparar el estado del registro antes y después de la ejecución de 'un bicho'

Hasta aquí la primera entrega, en la segunda veremos herramientas para analizar ejecutables, editores hex e identificadores de packers 

5 comments :

Ramnicu dijo...

Es una buena recopilación, aunque si últimamente se echan en falta artículos con mas sustancia.

Yago Jesus dijo...

Muchas gracias por tu comentario, probablemente tengas razón, valora que son ya 5 años de blog y que siempre hay momentos en los que se le puede dedicar más o menos tiempo al blog.


Prometemos poner más ahínco :)

ak!l3s dijo...

Muchas gracias Yago, buen post y muy interesante!! espero pronto segunda parte.

Un abrazo.

phj dijo...

¿Cómo sabes que el Buster Sandbox Analyzer genera unos reportes decentes? ¿Lo has probado?

Yago Jesus dijo...

Todas las herramientas que he puesto las uso habitualmente