¡Descorchando la botella!

Hoy os traigo una herramienta prácticamente imprescindible y que se ha quedado en el olvido en esto de el reversing o el análisis de malware...

Sacacorchos es una herramienta desarrollada por Thor & Psymera allá por el 2008 y presentada como una rápida solución ante la extracción de datos de troyanos. Fué presentada principalmente con plugins para Poison Ivy y Bifrost, pero con el paso del tiempo ha acabado olvidada siendo realmente algo básico en cuanto a extracción de datos de forma rápida sin llegar a correr el proceso para determinar más datos.

Imagen


Lo que hace que la herramienta pueda aguantar el paso de los años y mantenerse actualizada pese a que los creadores ya no la mantengan es la incorporación de un sistema de plugins muy simple y efectivo.

Hace unos meses que estoy preparando una actualización para esta herramienta incorporando Plugins programados en ANSI C para troyanos actuales. Realmente la programación de el plugin es algo que no lleva más de dos/tres horas... sin embargo ver como el troyano almacena los datos es algo que lleva tiempo y que no siempre se consigue(datos encriptados bajo algoritmos con clave, etc)...


Por ejemplo, en este caso tenemos un servidor de Indetectables++... no sabemos ni a donde conecta ni que hace... y tampoco podemos dumpear las conexiones de red que va a crear porque no queremos ejecutarlo...

Hasta ahora no tenías más opción que ejecutarlo... ahora es posible incorporar el plugin a esta increíble herramienta:

Imagen


Finalmente quedaría así el printeo:

Imagen


El proyecto original no incorpora este plugin. El plugin Indetectables++ está siendo desarrollado por mi junto con otro Plugin para Coolvibes 1.X!

En próximas actualizaciones iré incorporando plugins para el resto de troyanos como para este por ejemplo.

El plugin es capaz de saber si el ejecutable está packeado con UPX y automáticamente unpackearlo para obtener su configuración. En breve estará disponible el plugin para Coolvibes!

Descarga Paquete Completo(Sacacorchos + Plugins) 583.61 kb
[Enlace externo eliminado para invitados] (Link actualizado 13/08/2012)
Imagen
Buen trabajo, esta actualización facilitará mucho la labor a la hora de analizar los nuevos rats!
RobiNRecorD escribió:buen aporte maquina no vendria mal una version futura pero con mas rats esto servira a mas de uno muchas gracias bajando
si ya se lo comente y me dijo que los proximos son spy-net y cibergate asiq esta muy interesante esta tool

saludos
Imagen
muy buena herramienta bro voy a probarlo

Saludos
==\\El bien y el mal son solo palabras, lo que uno haga es lo que cuenta//==
Estas son Herramientas que valen la Pena, Gracias Bro
Bravus
El plugin es capaz de saber si el ejecutable está packeado con UPX y automáticamente unpackearlo para obtener su configuración
Y si esta Comprimido con otro Compresor, como el Pec2?

Saludos
Responder

Volver a “Programas de Protección”