fudmario Posted March 31, 2014 Share Posted March 31, 2014 This is the hidden content, please Sign In or Sign Up En este Post vamos a estar añadiendo Herramientas destinadas al Análisis de Malware. Tambien sabemos que existen herramientas que tienen diversas funciones y entre ellas el Análisis de Malware, las cuales tambien se incluiran, con el enfoque principal-> Análisis de Malware. This is the hidden content, please Sign In or Sign Up Volatility Framework Volatility es un Framework con un conjunto de herramientas desarrolladas enteramente en Python con licencia GNU. Este Framework esta pensado para extraer de una imagen de un disco los datos volátiles que estaban en memoria RAM. Estas técnicas de extracción están pensadas para que no dependan del sistema operativo del investigador, es decir podemos utilizar Windows y/o Linux. Existen diversas herramientas para extraer la memoria RAM, una de las formas fue mostrada en este post: This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up Descargas: https://code.google.com/p/volatility/downloads/list'>https://code.google.com/p/volatility/downloads/list Web: https://code.google.com/p/volatility/ This is the hidden content, please Sign In or Sign Up Buster Sandbox Analyzer BSA, herramienta diseñada para analizar cambios que ocurren en el sistema, basada en Sandboxie permitiendo ejecutar ficheros en un ambiente controlado. Una de las Principales caracteristicas es que hace hook a la funcion NtQuerySystemInformation(ssdt Hook) Compatible con la version 3.76 de Sandboxie, recientemente se fixeo la Injection DLL en la version 4.09.1 la cual causaba la incompatibilidad con BSA, aun no es al 100% Compatible,tambien requiere WinPCap. This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up Ejemplo de Reporte: This is the hidden content, please Sign In or Sign Up Descargas: BSA This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up SANDBOXIE This is the hidden content, please Sign In or Sign Up WinPCap This is the hidden content, please Sign In or Sign Up Web: This is the hidden content, please Sign In or Sign Up PeFrame PEframe es una herramienta OPEN SOURCE, ideal para el Análisis Estático de Malware. This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up USO: This is the hidden content, please Sign In or Sign Up OPCIONES: This is the hidden content, please Sign In or Sign Up Web: This is the hidden content, please Sign In or Sign Up Link to comment Share on other sites More sharing options...
Scabtree Posted March 31, 2014 Share Posted March 31, 2014 Re: Herramientas para Analisis de Malware Excellent resources! Compatible con la version 3.76 de Sandboxie, recientemente se fixeo la Injection DLL en la version 4.09.1 la cual causaba la incompatibilidad con BSA, aun no es al 100% Compatible,tambien requiere WinPCap. I've only had success using Sandboxie ver 3.70 with BSA; anything above that version seems to fail. Fantástica Contribución :) Link to comment Share on other sites More sharing options...
fudmario Posted April 3, 2014 Author Share Posted April 3, 2014 Re: Herramientas para Analisis de Malware This is the hidden content, please Sign In or Sign Up Dependency Walker Dependency Walker es una Herramienta la cual nos permite enumeran todas las funciones que se exportan de un Aplicación sin ejecutar el Fichero. En la cual podemos consultar sobre cada funcion en linea. This is the hidden content, please Sign In or Sign Up Web: This is the hidden content, please Sign In or Sign Up PeStudio PeStudio es una herramienta ideal para el analisis estatico de archivos ejecutables, es portable. Incluye una comprobacion de ficheros con VirusTotal para el archivo que se esta analizando enviando el MD5 del fichero(esta opcion se puede desactivar desde el fichero: PeStudioVirusTotal.xml) Tambien contiene una version CommandLine(PeStudioPrompt.exe), más info en winitor.com. Uso CL: This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up Web: This is the hidden content, please Sign In or Sign Up OllyDBG OllyDbg, creado por Oleh Yuschuk, es un depurador a nivel de aplicación. La interfaz OllyDbg muestra el código ensamblador, volcado hexadecimal, la pila y registros de la CPU. OllyDbg también soporta rastreo, puntos de interrupción condicionales, visión de cabecera PE, edición hexadecimal. Algunos Plugins de OllyDBG: Hide Debugger => Este Plugin emplea diverso métodos para ocultar a OllyDbg de detectores de Debugger, incluidos: IsDebuggerPresent(), FindWindow() y EnumWindows(), TerminateProcess(),... IsDebuggerPresent => Permite ocultar de la API de Windows => IsDebuggerPresent OllyDump => Dumpea procesos activos a archivo PE Olly Advanced => This is the hidden content, please Sign In or Sign Up Web This is the hidden content, please Sign In or Sign Up Plugins This is the hidden content, please Sign In or Sign Up Immunity Debugger Immunity Debugger is a powerful new way to write exploits, analyze malware, and reverse engineer binary files. It builds on a solid user interface with function graphing, the industry’s first heap analysis tool built specifically for heap creation, and a large and well supported Python API for easy extensibility. This is the hidden content, please Sign In or Sign Up A debugger with functionality designed specifically for the security industry Cuts exploit development time by 50% Simple, understandable interfaces Robust and powerful scripting language for automating intelligent debugging Lightweight and fast debugging to prevent corruption during complex analysis Connectivity to fuzzers and exploit development tools Web This is the hidden content, please Sign In or Sign Up Descarga: This is the hidden content, please Sign In or Sign Up Link to comment Share on other sites More sharing options...
Recommended Posts