str0nghack escribió: 19 Jun 2017, 14:09
d0r120 escribió: 18 Jun 2017, 15:13 con esto amigo [Enlace externo eliminado para invitados] xDDDDDDDDDDD AKUNAMATATA :karate: :karate: :karate: :karate: :karate: :karate:
pero eso no es como virus total? me refiero a un RAT o crypter, que os detecta como virus pero que muchos de inet estan backdorizados
str0nghack escribió: 19 Jun 2017, 14:09
d0r120 escribió: 18 Jun 2017, 15:13 con esto amigo [Enlace externo eliminado para invitados] xDDDDDDDDDDD AKUNAMATATA :karate: :karate: :karate: :karate: :karate: :karate:
pero eso no es como virus total?
Compañero creo que estás algo confundido, si deseas saber si un ejecutable está infectado nada te impide subirlo a VirusTotal, o incluso destriparlo, compartirlo y quizás pwnearlo. Diferente es que sea una herramienta tuya que no deseas que sea compartida como los crypters del foro.

Respecto a Analisis, estáticamente siempre van bien estas herramientas (Al menos a mi.):
  • 4n4lDetector: Una herramienta excelente (De nuestro compañero [Enlace externo eliminado para invitados]) que nos da muchísima información acerca del ejecutable (Librerías, API Calls, Archivos, etc...).
  • HeX Workshop: Un editor hexadecimal simple, a veces es útil para buscar algo bajo el EOF o Strings dentro del ejecutable.
  • RDG Packer Detector: De otro compañero ([Enlace externo eliminado para invitados], la musica de su web engancha) tenemos como su nombre indica la herramienta que nos dará información respecto a si el ejecutable esta empaquetado y con que packer, también el lenguaje en el que fue escrito.
  • ResHacker: Básicamente lo que su nombre indica, un editor de recursos, siempre util.
Algunos decompiladores que uso para un análisis a nivel código son estos, aunque hay mas que usé previamente para Delphi o Visual Basic 6 por ejemplo:
  • Exe2Aut & myAutToExe: Para AutoIt, uno extrae el Script de manera estática y otro desde runtime por si esta empaquetado (UPX, Themida, etc...)
  • DnSpy: Para .Net, un decompilador muy completo y preciso, es open source, me lo recomendó Blau.
  • De4Dot: Este no es un decompilador, es un desofuscador para la mayoría de ofuscadores de .Net, será necesario.
Para Analisis Dinamico no puedo deciros mucho que no sepais, lo principal es una Maquina Virtual, las Herramientas las siguientes (Algunas muy obvias):
  • Process Hacker: Practicamente un sustituto al Task Manager mucho mas completo y trabajando a bajo nivel.
  • SmartSniff: Un Sniffer sencillo para ver cualquier tipo de Conexión extraña.
  • Regedit: La herramienta de Windows para Investigar algún tipo de StartUP o Persistencia en el Registro de Windows).
  • Task Scheduler: El Programador de Tareas, a partir de Windows Vista deberas buscar con el Statups o Persistencias.
Creo que como dije antes la mayoría son obvias, a parte de eso un poco de cabeza no va mal. Aquí tenéis el Link de Descarga de las herramientas, todos los créditos a sus respectivos autores:

[Enlace externo eliminado para invitados]

//Regards.
Ikarus: Backdoor.VBS.SafeLoader
Agnitum: Trojan.VBS.Safebot.A
http://indeseables.github.io/
Scorpio escribió: 20 Jun 2017, 01:16
str0nghack escribió: 19 Jun 2017, 14:09
d0r120 escribió: 18 Jun 2017, 15:13 con esto amigo [Enlace externo eliminado para invitados] xDDDDDDDDDDD AKUNAMATATA :karate: :karate: :karate: :karate: :karate: :karate:
pero eso no es como virus total?
Compañero creo que estás algo confundido, si deseas saber si un ejecutable está infectado nada te impide subirlo a VirusTotal, o incluso destriparlo, compartirlo y quizás pwnearlo. Diferente es que sea una herramienta tuya que no deseas que sea compartida como los crypters del foro.

Respecto a Analisis, estáticamente siempre van bien estas herramientas (Al menos a mi.):
  • 4n4lDetector: Una herramienta excelente (De nuestro compañero [Enlace externo eliminado para invitados]) que nos da muchísima información acerca del ejecutable (Librerías, API Calls, Archivos, etc...).
  • HeX Workshop: Un editor hexadecimal simple, a veces es útil para buscar algo bajo el EOF o Strings dentro del ejecutable.
  • RDG Packer Detector: De otro compañero ([Enlace externo eliminado para invitados], la musica de su web engancha) tenemos como su nombre indica la herramienta que nos dará información respecto a si el ejecutable esta empaquetado y con que packer, también el lenguaje en el que fue escrito.
  • ResHacker: Básicamente lo que su nombre indica, un editor de recursos, siempre util.
Algunos decompiladores que uso para un análisis a nivel código son estos, aunque hay mas que usé previamente para Delphi o Visual Basic 6 por ejemplo:
  • Exe2Aut & myAutToExe: Para AutoIt, uno extrae el Script de manera estática y otro desde runtime por si esta empaquetado (UPX, Themida, etc...)
  • DnSpy: Para .Net, un decompilador muy completo y preciso, es open source, me lo recomendó Blau.
  • De4Dot: Este no es un decompilador, es un desofuscador para la mayoría de ofuscadores de .Net, será necesario.
Para Analisis Dinamico no puedo deciros mucho que no sepais, lo principal es una Maquina Virtual, las Herramientas las siguientes (Algunas muy obvias):
  • Process Hacker: Practicamente un sustituto al Task Manager mucho mas completo y trabajando a bajo nivel.
  • SmartSniff: Un Sniffer sencillo para ver cualquier tipo de Conexión extraña.
  • Regedit: La herramienta de Windows para Investigar algún tipo de StartUP o Persistencia en el Registro de Windows).
  • Task Scheduler: El Programador de Tareas, a partir de Windows Vista deberas buscar con el Statups o Persistencias.
Creo que como dije antes la mayoría son obvias, a parte de eso un poco de cabeza no va mal. Aquí tenéis el Link de Descarga de las herramientas, todos los créditos a sus respectivos autores:

[Enlace externo eliminado para invitados]

//Regards.
Muchas gracias, con esas herramientas puedo saber si esta el exe bindeado con un server?
Pongo otra Tool [Enlace externo eliminado para invitados] para los análisis activos . Le indicas que todo el tráfico del pc lo mande a localhost y cuando ejecutas el malware o no..! ves a donde hace las peticiones o mejor dicho ves las ip's o nombres de dominio.

Todo esto en un entorno controlado por supuesto el maestro @Scorpio compartio una caja de arena por aquí en el foro. Y si puedes localizar los tutoriales que hizo fudmario échales una mirada porque no tienen precio y responden a todas tus preguntas.
Imagen
Scorpio escribió: 20 Jun 2017, 01:16
str0nghack escribió: 19 Jun 2017, 14:09
d0r120 escribió: 18 Jun 2017, 15:13 con esto amigo [Enlace externo eliminado para invitados] xDDDDDDDDDDD AKUNAMATATA :karate: :karate: :karate: :karate: :karate: :karate:
pero eso no es como virus total?
Compañero creo que estás algo confundido, si deseas saber si un ejecutable está infectado nada te impide subirlo a VirusTotal, o incluso destriparlo, compartirlo y quizás pwnearlo. Diferente es que sea una herramienta tuya que no deseas que sea compartida como los crypters del foro.

Respecto a Analisis, estáticamente siempre van bien estas herramientas (Al menos a mi.):
  • 4n4lDetector: Una herramienta excelente (De nuestro compañero [Enlace externo eliminado para invitados]) que nos da muchísima información acerca del ejecutable (Librerías, API Calls, Archivos, etc...).
  • HeX Workshop: Un editor hexadecimal simple, a veces es útil para buscar algo bajo el EOF o Strings dentro del ejecutable.
  • RDG Packer Detector: De otro compañero ([Enlace externo eliminado para invitados], la musica de su web engancha) tenemos como su nombre indica la herramienta que nos dará información respecto a si el ejecutable esta empaquetado y con que packer, también el lenguaje en el que fue escrito.
  • ResHacker: Básicamente lo que su nombre indica, un editor de recursos, siempre util.
Algunos decompiladores que uso para un análisis a nivel código son estos, aunque hay mas que usé previamente para Delphi o Visual Basic 6 por ejemplo:
  • Exe2Aut & myAutToExe: Para AutoIt, uno extrae el Script de manera estática y otro desde runtime por si esta empaquetado (UPX, Themida, etc...)
  • DnSpy: Para .Net, un decompilador muy completo y preciso, es open source, me lo recomendó Blau.
  • De4Dot: Este no es un decompilador, es un desofuscador para la mayoría de ofuscadores de .Net, será necesario.
Para Analisis Dinamico no puedo deciros mucho que no sepais, lo principal es una Maquina Virtual, las Herramientas las siguientes (Algunas muy obvias):
  • Process Hacker: Practicamente un sustituto al Task Manager mucho mas completo y trabajando a bajo nivel.
  • SmartSniff: Un Sniffer sencillo para ver cualquier tipo de Conexión extraña.
  • Regedit: La herramienta de Windows para Investigar algún tipo de StartUP o Persistencia en el Registro de Windows).
  • Task Scheduler: El Programador de Tareas, a partir de Windows Vista deberas buscar con el Statups o Persistencias.
Creo que como dije antes la mayoría son obvias, a parte de eso un poco de cabeza no va mal. Aquí tenéis el Link de Descarga de las herramientas, todos los créditos a sus respectivos autores:

[Enlace externo eliminado para invitados]

//Regards.
buen recopilatorio. tambien se puede tirar de sandboxies y otras herramientas para detectar exe's infectados.
Defender a los debiles!
Responder

Volver a “Dudas y Preguntas”