Volvemos a la carga con esta sección tocando un tema que suele leerse repetidamente en foros y listas de correo (la última vez en la lista rootedcon hace muy poco)
El objetivo es listar las herramientas que te pueden ayudar en la ardua tarea de analizar especímenes de malware.
Probablemente me deje muchas ya que al final esto va un poco de lo que uno conoce y más le gusta, dejamos abierta la puerta en los comentarios para que la gente añada cuantas más quiera.
Buster Sandbox Analyzer: Herramienta de 'sandboxing' que se apoya en sandboxie para analizar el comportamiento de un ejecutable, es muy cómodo de usar (se usa desde Windows, no requiere instalar otro sistema operativo) y genera unos decentes reportes.
OllyDBG: El debugger por excelencia, imprescindible para analizar cualquier pieza de malware
Veamos que plugins nos pueden resultar útiles:
- Hide Debugger: Permite ocultar el uso del debugger e impide que el malware en cuestión se de por analizado
- OllyDump: Útil para lidiar con packers, permite exportar un binario mientras se está 'reverseando'
- Olly Advanced: Multiplexa las capacidades de Olly, lo más interesante (para este post) es la enorme cantidad de anti-anti-debuggers que trae
Immunity Debugger: Es la versión evolucionada de Olly, se puede 'scriptear' con Python lo que abre un nuevo mundo de posibilidades.
WinDBG: Otro debugger, tal vez menos intuitivo que los anteriores ( o tal vez con menos documentación y ejemplos disponibles). De él me gusta la herramienta 'logger' que es la versión Windows de ltrace en Linux
Process Explorer: De sysinternals. Una herramienta ampliamente infrautilizada con enormes posibilidades
Process Monitor: Para analizar al detalle lo que hace un proceso
Capture BAT: Herramienta para analizar el comportamiento de un binario sobre un sistema
File: Port del comando File de Linux, para identificar el tipo de fichero con el que estamos lidiando
Strings: Para extraer cadenas ascii de un fichero
StraceNT: Con funcionalidades parecidas al comando strace de Linux
API Monitor: Herramienta que permite monitorizar las funciones que emplea un ejecutable durante su ejecución
API Monitor: Herramienta que permite monitorizar las funciones que emplea un ejecutable durante su ejecución
RegShot: Permite comparar el estado del registro antes y después de la ejecución de 'un bicho'
Hasta aquí la primera entrega, en la segunda veremos herramientas para analizar ejecutables, editores hex e identificadores de packers
5 comments :
Es una buena recopilación, aunque si últimamente se echan en falta artículos con mas sustancia.
Muchas gracias por tu comentario, probablemente tengas razón, valora que son ya 5 años de blog y que siempre hay momentos en los que se le puede dedicar más o menos tiempo al blog.
Prometemos poner más ahínco :)
Muchas gracias Yago, buen post y muy interesante!! espero pronto segunda parte.
Un abrazo.
¿Cómo sabes que el Buster Sandbox Analyzer genera unos reportes decentes? ¿Lo has probado?
Todas las herramientas que he puesto las uso habitualmente
Publicar un comentario