Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Herramientas para Análisis de Malware

  • 4 Respuestas
  • 5558 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 197
  • Actividad:
    0%
  • Reputación 13
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« en: Marzo 31, 2014, 10:16:35 am »

En este Post vamos a estar añadiendo Herramientas destinadas al Análisis de Malware.
Tambien sabemos que existen herramientas que tienen diversas funciones y entre ellas el Análisis de Malware, las cuales tambien se incluiran, con el enfoque principal-> Análisis de Malware.


Volatility Framework

Volatility es un Framework con un conjunto de herramientas desarrolladas enteramente en Python con licencia GNU. Este Framework esta pensado para extraer de una imagen de un disco los datos volátiles que estaban en memoria RAM. Estas técnicas de extracción están pensadas para que no dependan del sistema operativo del investigador, es decir podemos utilizar Windows y/o Linux.
Existen diversas herramientas para extraer la memoria RAM, una de las formas fue mostrada en este post:
http://underc0de.org/foro/malware/the-hunting-by-fudmario/





Código: [Seleccionar]
Supported Plugin Commands:

apihooks        Detect API hooks in process and kernel memory
atoms           Print session and window station atom tables
atomscan        Pool scanner for _RTL_ATOM_TABLE
bioskbd         Reads the keyboard buffer from Real Mode memory
callbacks       Print system-wide notification routines
clipboard       Extract the contents of the windows clipboard
cmdscan         Extract command history by scanning for _COMMAND_HISTORY
connections     Print list of open connections [Windows XP and 2003 Only]
connscan        Scan Physical memory for _TCPT_OBJECT objects (tcp connections)
consoles        Extract command history by scanning for _CONSOLE_INFORMATION
crashinfo       Dump crash-dump information
deskscan        Poolscaner for tagDESKTOP (desktops)
devicetree      Show device tree
dlldump         Dump DLLs from a process address space
dlllist         Print list of loaded dlls for each process
driverirp       Driver IRP hook detection
driverscan      Scan for driver objects _DRIVER_OBJECT
dumpcerts       Dump RSA private and public SSL keys
dumpfiles       Extract memory mapped and cached files
envars          Display process environment variables
eventhooks      Print details on windows event hooks
evtlogs         Extract Windows Event Logs (XP/2003 only)
filescan        Scan Physical memory for _FILE_OBJECT pool allocations
gahti           Dump the USER handle type information
gditimers       Print installed GDI timers and callbacks
gdt             Display Global Descriptor Table
getservicesids  Get the names of services in the Registry and return Calculated SID
getsids         Print the SIDs owning each process
handles         Print list of open handles for each process
hashdump        Dumps passwords hashes (LM/NTLM) from memory
hibinfo         Dump hibernation file information
hivedump        Prints out a hive
hivelist        Print list of registry hives.
hivescan        Scan Physical memory for _CMHIVE objects (registry hives)
hpakextract     Extract physical memory from an HPAK file
hpakinfo        Info on an HPAK file
idt             Display Interrupt Descriptor Table
iehistory       Reconstruct Internet Explorer cache / history
imagecopy       Copies a physical address space out as a raw DD image
imageinfo       Identify information for the image
impscan         Scan for calls to imported functions
kdbgscan        Search for and dump potential KDBG values
kpcrscan        Search for and dump potential KPCR values
ldrmodules      Detect unlinked DLLs
lsadump         Dump (decrypted) LSA secrets from the registry
machoinfo       Dump Mach-O file format information
malfind         Find hidden and injected code
mbrparser       Scans for and parses potential Master Boot Records (MBRs)
memdump         Dump the addressable memory for a process
memmap          Print the memory map
messagehooks    List desktop and thread window message hooks
mftparser       Scans for and parses potential MFT entries
moddump         Dump a kernel driver to an executable file sample
modscan         Scan Physical memory for _LDR_DATA_TABLE_ENTRY objects
modules         Print list of loaded modules
mutantscan      Scan for mutant objects _KMUTANT
patcher         Patches memory based on page scans
printkey        Print a registry key, and its subkeys and values
privs           Display process privileges
procexedump     Dump a process to an executable file sample
procmemdump     Dump a process to an executable memory sample
pslist          Print all running processes by following the EPROCESS lists
psscan          Scan Physical memory for _EPROCESS pool allocations
pstree          Print process list as a tree
psxview         Find hidden processes with various process listings
raw2dmp         Converts a physical memory sample to a windbg crash dump
screenshot      Save a pseudo-screenshot based on GDI windows
sessions        List details on _MM_SESSION_SPACE (user logon sessions)
shellbags       Prints ShellBags info
shimcache       Parses the Application Compatibility Shim Cache registry key
sockets         Print list of open sockets
sockscan        Scan Physical memory for _ADDRESS_OBJECT objects (tcp sockets)
ssdt            Display SSDT entries
strings         Match physical offsets to virtual addresses (may take a while, VERY verbose)
svcscan         Scan for Windows services
symlinkscan     Scan for symbolic link objects
thrdscan        Scan physical memory for _ETHREAD objects
threads         Investigate _ETHREAD and _KTHREADs
timeliner       Creates a timeline from various artifacts in memory
timers          Print kernel timers and associated module DPCs
unloadedmodules Print list of unloaded modules
userassist      Print userassist registry keys and information
userhandles     Dump the USER handle tables
vaddump         Dumps out the vad sections to a file
vadinfo         Dump the VAD info
vadtree         Walk the VAD tree and display in tree format
vadwalk         Walk the VAD tree
vboxinfo        Dump virtualbox information
vmwareinfo      Dump VMware VMSS/VMSN information
volshell        Shell in the memory image
windows         Print Desktop Windows (verbose details)
wintree         Print Z-Order Desktop Windows Tree
wndscan         Pool scanner for tagWINDOWSTATION (window stations)
yarascan        Scan process or kernel memory with Yara signatures


BSA, herramienta diseñada para analizar cambios que ocurren en el sistema, basada en Sandboxie permitiendo ejecutar ficheros en un ambiente controlado.
Una de las Principales caracteristicas es que hace hook a la funcion NtQuerySystemInformation(ssdt Hook)

Compatible con la version 3.76 de Sandboxie, recientemente se fixeo la Injection DLL en la version 4.09.1 la cual causaba la incompatibilidad con BSA, aun no es al 100% Compatible,tambien requiere WinPCap.





PeFrame
[/B]

PEframe es una herramienta OPEN SOURCE, ideal para el Análisis Estático de Malware.




USO:
       
Código: [Seleccionar]
peframe <opt> <file>
OPCIONES:

Código: [Seleccionar]
-h      --help          This help
-a      --auto          Show Auto analysis
-i      --info          PE file attributes
        --hash          Hash MD5 & SHA1
        --meta          Version info & metadata
        --peid          PE Identifier Signature
        --antivm        Anti Virtual Machine
        --antidbg       Anti Debug | Disassembler
        --sections      Section analyzer
        --functions     Imported DLLs & API functions
        --suspicious    Search for suspicious API & sections
        --dump          Dumping all the information
        --strings       Extract all the string
        --file-url      Extract File Name and Url
        --file-verbose  Discover potential file name
        --hexdump       Reverse Hex dump
        --import        List Entry Import instances
        --export        List Entry Export instances
        --resource      List Entry Resource instances
        --debug         List Entry DebugData instances

« Última modificación: Diciembre 08, 2014, 03:13:51 pm por Expermicid »


Desconectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5487
  • Actividad:
    18.33%
  • Reputación 35
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #1 en: Marzo 31, 2014, 10:19:10 am »
Que buen post bro!!!
Lo dejaré fijo con chincheta! Se que a muchos les servirá!

Saludos!
ANTRAX


Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 197
  • Actividad:
    0%
  • Reputación 13
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #2 en: Marzo 31, 2014, 10:29:53 am »
Gracias  Antrax, luego ire añadiendo más Herramientas al el POst.
Podrias Editar la URL donde puse:
Existen diversas herramientas para extraer la memoria RAM, una de las formas fue mostrada en este post:

http://underc0de.org/foro/malware/the-hunting-by-fudmario/

Se me paso por alto.

Saludos.
« Última modificación: Marzo 31, 2014, 11:01:10 am por ANTRAX »


Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 197
  • Actividad:
    0%
  • Reputación 13
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #3 en: Abril 02, 2014, 11:36:54 pm »

Dependency Walker

Dependency Walker es una Herramienta la cual nos permite enumeran todas las funciones que se exportan de un Aplicación sin ejecutar el Fichero. En la cual podemos consultar sobre cada funcion en linea.



PeStudio es una herramienta ideal para el analisis estatico de archivos ejecutables, es portable.
Incluye una comprobacion de ficheros con VirusTotal para el archivo que se esta analizando enviando el MD5 del fichero(esta opcion se puede desactivar desde el fichero: PeStudioVirusTotal.xml)
Tambien contiene una version  CommandLine(PeStudioPrompt.exe), más info en winitor.com.

Uso CL:
Código: [Seleccionar]
PeStudioPrompt -file:input -xml:report


OllyDbg, creado por Oleh Yuschuk, es un depurador a nivel de aplicación. La interfaz OllyDbg muestra el código ensamblador, volcado hexadecimal, la pila y registros de la CPU. OllyDbg también soporta rastreo, puntos de interrupción condicionales, visión de cabecera PE, edición hexadecimal.

 
Algunos Plugins de OllyDBG:

  • Hide Debugger => Este Plugin emplea diverso métodos para ocultar  a OllyDbg de detectores de Debugger, incluidos: IsDebuggerPresent(), FindWindow() y EnumWindows(), TerminateProcess(),...

  • IsDebuggerPresent => Permite ocultar de la API de Windows => IsDebuggerPresent

  • OllyDump => Dumpea procesos activos a archivo PE

  • Olly Advanced =>




Immunity Debugger
is a powerful new way to write exploits, analyze malware, and reverse engineer binary files. It builds on a solid user interface with function graphing, the industry’s first heap analysis tool built specifically for heap creation, and a large and well supported Python API for easy extensibility.

 


  •     A debugger with functionality designed specifically for the security industry
  •     Cuts exploit development time by 50%
  •     Simple, understandable interfaces
  •     Robust and powerful scripting language for automating intelligent debugging
  •     Lightweight and fast debugging to prevent corruption during complex analysis
  •     Connectivity to fuzzers and exploit development tools

   


Desconectado G5

  • *
  • Underc0der
  • Mensajes: 11
  • Actividad:
    0%
  • Reputación 0
  • G0d_50n
    • Ver Perfil
« Respuesta #4 en: Octubre 30, 2014, 05:19:45 am »
muy buen post.
[ 1][0][1 ]
[ 1][1 ][0]
[ 0][0][ 0]
                              Trata a los demás como quieres que te traten.
                              Como quieres que te traten, trata a los demás.

 

¿Te gustó el post? COMPARTILO!



[Tutorial] Configuración de Dendroid - RAT para Android

Iniciado por OLM

Respuestas: 41
Vistas: 21149
Último mensaje Agosto 24, 2016, 09:26:13 pm
por BlueCode
Sitios para escanear tu servidor

Iniciado por LucaSthefano

Respuestas: 18
Vistas: 14169
Último mensaje Noviembre 25, 2012, 11:19:58 pm
por Aryenal.Bt
¿Como es un crypter? ¿Para que es? y más...

Iniciado por Stiuvert

Respuestas: 2
Vistas: 3858
Último mensaje Agosto 24, 2012, 05:26:46 am
por PussyMagnet
Malware se propaga mediante "etiquetas" en Facebook

Iniciado por CodePunisher

Respuestas: 8
Vistas: 6353
Último mensaje Julio 02, 2013, 01:31:35 pm
por elshotta
[WinLockLess] Protege tu inicio contra el Malware en Windows.

Iniciado por Baku

Respuestas: 7
Vistas: 6147
Último mensaje Octubre 23, 2014, 05:50:24 am
por Gabriela