(https://i.imgur.com/e1bJsIU.png)
Muy buenas en este POST quiero mostrar como podemos encontrar y extraer malware en aplicaciones .net, buscando por internet me encontre esta herramienta maravillosa que permite "hackear wifi", empecemos.
Análisis estático(Nivel 0)
Abrimos el ejecutable con dnspy, vemos que el codigo no esta cifrado, por lo que buscamos a ver si encontramos algo,observamos algo raro ahi, "server.exe" mmmm sospechoso.
(https://i.imgur.com/otXjA2z.png)
Seguimos buscando donde puede estar ese "server.exe" y viendo en referencias donde utliza fotos para el programa, iconos y demas, vemos el cantoso "server.exe"
(https://i.imgur.com/eL7SB7k.png)
Lo guardamos haciendo click derecho guardar, y al abrilo con dnspy vemos que el código esta ofuscado, por lo que utilizare la herramienta exeinfo PE, nos dice que esta utilizando Rummage v3.1 para ofuscar el codigo y que para desobfuscarlo utilicemos de4dot
(https://i.imgur.com/cICTgYt.png)
Lo abrimos con de4dot y ya tendriamos nuestro ejecutable desobfuscado
(https://i.imgur.com/fZybuPQ.png)
Al abrirlo con dnspy vemos el Host y el puerto donde el malware conectara, que es la informacion que realmente nos interesa :D
(https://i.imgur.com/1xVIiCn.png)
En las aproximaciones se ve la profesión, yo lo habría encontrado capturando el tráfico de red. Pero muy interesante.
Enviado desde mi Moto G (4) mediante Tapatalk
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
En las aproximaciones se ve la profesión, yo lo habría encontrado capturando el tráfico de red. Pero muy interesante.
Enviado desde mi Moto G (4) mediante Tapatalk
Si pero entonces seria dinámico y no estático, se que en muchas ocasiones no queda otra que ejecutar pero cuando hay otras opciones, este tipo de análisis me parece mas bonito =D