8 jun 2012

Laboratorio de malware II

En la primera parte del inicio de esta “saga” de análisis de malware cOmentaba que había que preparar la máquina virtual para hacer las pruebas de análisis de malware (sobretodo de la parte dinámica).

A la máquina virtual, yo no le asigno mas de 128 MB de RAM ya que si realizas un dump de la memoria o guardas un snapshot se restaura mucho más rápido. Pero si le asignas 256 o 512, eso ya viene a gusto de cada uno.

Una vez hemos preparado la máquina, preferentemente Windows XP, pondremos una serie de herramientas.

UnxUtils este paquete de herramientas son muy útiles. Estas herramientas son cat, awk, wget, cut, grep ¿De que nos sirven? Pues nos sirven a la hora por ejemplo de parsear algun fichero, obtener algun tipo de fichero de internet etc… Para poder sacarles partido las copiamos a C:\Windows\System32, así las podremso invocar directamente desde la linea de comandos.

Total Commander Aunque el explorador de Windows es muy bueno, la verdad es que he descubierto en total commander una utilidad óptima para trabajar y también, para trabajar con malware ¿Porque? Pues porque te permite realizar muchas tareas de manera automática, incluye visor ehxadecimal, descomprime cualquier tipo de fichero. Te permite invocar comandos como si fuera un cmd.exe, te permite realizar MD5, diff, sin duda una utilidad SÚPER útil.

OllyDBG Evidentemente no podía faltar OllyDBF para realizar reversing del malware. Aunque hay gente que prefiere realizar la parte de análisis estático del código fuera de la máquina virtual, OllyDBG  nos sirve para hacer los dumps necesarios de la memoria.

Paros Proxy Paros nos sirve como proxy HTTP para interceptar y ver como se realizan las peticiones entre cliente y servidor.

Immunity Debuguer Al igual que en OllyDBG nos sirve para realizar el análisis estático del malware, tool imprescindible.

Mantra En el caso de malware Mantra nos sirve para mirar aquellas webs que contienen Exploits Kits, o que la infección se efectúa en la parte Client Side, nos sirve para mirar la parte de servidor desde el navegador.

User Proces Dumper Esta utilidad de Microsoft nos sirve para dumpear los procesos de la memoria.

Windows System Control Ya conocemos las utilidades de Nirsoft y de Sysinternals, pero con Windows System Control, podemos tener estas herramientas actualizadas. Las utilidades de Sysinternals, también nos ayudaran en la parte de análisis estático.

Y hasta aquí la segunda entrega de la parte de Laboratorio de Malware

1 comentario:

  1. [...] viernes Marc nos traía la 2ª parte de su cadena sobre Laboratorio de Malware: http://www.flu-project.com/laboratorio-de-malware-ii.html. Interesantes herramientas las de [...]

    ResponderEliminar