22 mar 2013

Análisis estático de binarios con Peframe

Buenas a todos, hace varios meses Marc nos habló de la herramienta peframe (http://www.flu-project.com/peframe-analisis-portable-de-malware.html). Esta utilidad nos permite realizar un análisis estático a un binario para ver rápidamente algunos datos interesantes, como sus hashes, tamaño, fecha de compilación, etc.:

File Name: malware.exeFile Size: 214528 bytesCompile Time: 2012-06-15 21:29:40DLL: FalseSections: 3MD5 hash: 230f7b7bb0640136ccdd932e42842378SHA-1 hash: 8a1a9ea594f148234f3884c574ababd92270b298Packer: NoneAnti Debug: Yes

Peframe se encuentra programado en Python, y podéis descargarlo gratuitamente desde aquí: http://code.google.com/p/peframe/downloads/list

Una de sus funcionalidades más utilizadas es la posibilidad de recuperar las APIs/funciones de las que hace uso el ejecutable que se está analizando. Además, nos permitirá clasificar las funciones que supuestamente (como les gusta decir en cierto canal de televisión) son sospechosas. Para ello tendremos que hacer uso del flag “—suspicious”.

A continuación os presentamos tres análisis realizados con peframe a Putty, a UPX y a Winpcap.

Putty:

 

UPX:

 

Winpcap:

 

Esta herramienta nos será de mucha utilidad a la hora de desarrollar malware, y por supuesto, en nuestras labores anti-malware. La semana que viene lo utilizaremos en nuestra cadena sobre evasión de Antivirus, así que tenedlo a mano :-)Saludos!

1 comentario:

  1. [...] a todos, en posts anteriores ya os hemos hablado acerca del análisis estático de binarios con herramientas como peframe. En el post de hoy veremos otra aplicación que nos será de gran utilidad para analizar [...]

    ResponderEliminar