22 may 2013

Malware USB tools (Parte I de II)

Poneos en el escenario en el que recibís una llamada en la que os dicen.

“Hey tengo un virus en mi máquina”

Tu primera pregunta ¿Tienes antivirus?

“Claro, parecen que no sirven de nada eh”

Es entonces cuando te toca desplazarte hasta el incidente para saber que ha pasado.

Te podrás encontrar muchas cosas, así que es mejor ir preparado, es por eso que tendrás que llevarte una serie de tools totalmente imprescindibles.

Sysinternals Suite

Aunque no hace falta que les haga una presentación, la suite de Sysinternals es imprescindible en casi cualquier tarea de administracón, reparación, pero también en materia de malware.

Algunas de las herramientas a destacar:

Autoruns: Esta herramienta permite ver de manera muy clara que programas se inician con el sistema. Permite además realizar snapshots. Esto nos sirve porque, imaginad que estamos en una empresa y hay dos máquinas iguales. Con Autoruns podríamos hacer uns snapshot de la máquina limpia, otro snapshot de la máquina infectada y poder comparar los resultados.

Otra de las herramientas imprescindibles para esta disciplina:

Portmon: Esta herramienta nos permitirá ver de manera detallada la actividad en puertos serie y paralelo.

Process Explorer: Una de mis herramientas preferidas, este programa nos permite ver MUY detalladamente los procesos abiertos en el sistema.

Además nos permite ver que archivos tiene abiertos que procesos. Si los procesos están iniciados con soporte para DEP o ALSR. Y de manera gráfica procesos padre e hijos. Muy recomendable, la verdad.

Rootkit revealer: Creo que el nombre lo dice todo, herramienta que nos permitirá ver si existe algún rootkit en el sistema.

TcpView: Esta herramienta combinada con process explorer nos dará un vistazo detallado del sistema. Nos permitirá ver que procesos tienen ocupado un recurso de red.

En la siguiente parte seguiremos viendo más herramientas imprescindibles para temas de malware! :D

3 comentarios:

  1. MUy buena seleccion de tools, gracias por compartir tu trabajo compañero, saludos

    ResponderEliminar
  2. Sugerencia: Rootkit Revealer corre únicamente en Windows XP (32-bit) aWindows Server 2003 (32-bit. Quiza seria interesante aclararlo en el POST . Para Windows 7 http://www.gmer.net/ y HitMan http://www.surfright.nl/en/downloads/, Saludos >_<

    ResponderEliminar