Lo analizáis con IDA pro? se puede separar el server del exe que esta infectado? Muchas garcias
con esto amigo [Enlace externo eliminado para invitados] xDDDDDDDDDDD AKUNAMATATA
str0nghack escribió: 19 Jun 2017, 14:09pero eso no es como virus total? me refiero a un RAT o crypter, que os detecta como virus pero que muchos de inet estan backdorizadosd0r120 escribió: 18 Jun 2017, 15:13 con esto amigo [Enlace externo eliminado para invitados] xDDDDDDDDDDD AKUNAMATATA
Compañero creo que estás algo confundido, si deseas saber si un ejecutable está infectado nada te impide subirlo a VirusTotal, o incluso destriparlo, compartirlo y quizás pwnearlo. Diferente es que sea una herramienta tuya que no deseas que sea compartida como los crypters del foro.str0nghack escribió: 19 Jun 2017, 14:09pero eso no es como virus total?d0r120 escribió: 18 Jun 2017, 15:13 con esto amigo [Enlace externo eliminado para invitados] xDDDDDDDDDDD AKUNAMATATA
Respecto a Analisis, estáticamente siempre van bien estas herramientas (Al menos a mi.):
- 4n4lDetector: Una herramienta excelente (De nuestro compañero [Enlace externo eliminado para invitados]) que nos da muchísima información acerca del ejecutable (Librerías, API Calls, Archivos, etc...).
- HeX Workshop: Un editor hexadecimal simple, a veces es útil para buscar algo bajo el EOF o Strings dentro del ejecutable.
- RDG Packer Detector: De otro compañero ([Enlace externo eliminado para invitados], la musica de su web engancha) tenemos como su nombre indica la herramienta que nos dará información respecto a si el ejecutable esta empaquetado y con que packer, también el lenguaje en el que fue escrito.
- ResHacker: Básicamente lo que su nombre indica, un editor de recursos, siempre util.
- Exe2Aut & myAutToExe: Para AutoIt, uno extrae el Script de manera estática y otro desde runtime por si esta empaquetado (UPX, Themida, etc...)
- DnSpy: Para .Net, un decompilador muy completo y preciso, es open source, me lo recomendó Blau.
- De4Dot: Este no es un decompilador, es un desofuscador para la mayoría de ofuscadores de .Net, será necesario.
- Process Hacker: Practicamente un sustituto al Task Manager mucho mas completo y trabajando a bajo nivel.
- SmartSniff: Un Sniffer sencillo para ver cualquier tipo de Conexión extraña.
- Regedit: La herramienta de Windows para Investigar algún tipo de StartUP o Persistencia en el Registro de Windows).
- Task Scheduler: El Programador de Tareas, a partir de Windows Vista deberas buscar con el Statups o Persistencias.
[Enlace externo eliminado para invitados]
//Regards.
Ikarus: Backdoor.VBS.SafeLoader
Agnitum: Trojan.VBS.Safebot.A
http://indeseables.github.io/
Agnitum: Trojan.VBS.Safebot.A
http://indeseables.github.io/
Muchas gracias, con esas herramientas puedo saber si esta el exe bindeado con un server?Scorpio escribió: 20 Jun 2017, 01:16Compañero creo que estás algo confundido, si deseas saber si un ejecutable está infectado nada te impide subirlo a VirusTotal, o incluso destriparlo, compartirlo y quizás pwnearlo. Diferente es que sea una herramienta tuya que no deseas que sea compartida como los crypters del foro.str0nghack escribió: 19 Jun 2017, 14:09pero eso no es como virus total?d0r120 escribió: 18 Jun 2017, 15:13 con esto amigo [Enlace externo eliminado para invitados] xDDDDDDDDDDD AKUNAMATATA
Respecto a Analisis, estáticamente siempre van bien estas herramientas (Al menos a mi.):Algunos decompiladores que uso para un análisis a nivel código son estos, aunque hay mas que usé previamente para Delphi o Visual Basic 6 por ejemplo:
- 4n4lDetector: Una herramienta excelente (De nuestro compañero [Enlace externo eliminado para invitados]) que nos da muchísima información acerca del ejecutable (Librerías, API Calls, Archivos, etc...).
- HeX Workshop: Un editor hexadecimal simple, a veces es útil para buscar algo bajo el EOF o Strings dentro del ejecutable.
- RDG Packer Detector: De otro compañero ([Enlace externo eliminado para invitados], la musica de su web engancha) tenemos como su nombre indica la herramienta que nos dará información respecto a si el ejecutable esta empaquetado y con que packer, también el lenguaje en el que fue escrito.
- ResHacker: Básicamente lo que su nombre indica, un editor de recursos, siempre util.
Para Analisis Dinamico no puedo deciros mucho que no sepais, lo principal es una Maquina Virtual, las Herramientas las siguientes (Algunas muy obvias):
- Exe2Aut & myAutToExe: Para AutoIt, uno extrae el Script de manera estática y otro desde runtime por si esta empaquetado (UPX, Themida, etc...)
- DnSpy: Para .Net, un decompilador muy completo y preciso, es open source, me lo recomendó Blau.
- De4Dot: Este no es un decompilador, es un desofuscador para la mayoría de ofuscadores de .Net, será necesario.
Creo que como dije antes la mayoría son obvias, a parte de eso un poco de cabeza no va mal. Aquí tenéis el Link de Descarga de las herramientas, todos los créditos a sus respectivos autores:
- Process Hacker: Practicamente un sustituto al Task Manager mucho mas completo y trabajando a bajo nivel.
- SmartSniff: Un Sniffer sencillo para ver cualquier tipo de Conexión extraña.
- Regedit: La herramienta de Windows para Investigar algún tipo de StartUP o Persistencia en el Registro de Windows).
- Task Scheduler: El Programador de Tareas, a partir de Windows Vista deberas buscar con el Statups o Persistencias.
[Enlace externo eliminado para invitados]
//Regards.
Pongo otra Tool [Enlace externo eliminado para invitados] para los análisis activos . Le indicas que todo el tráfico del pc lo mande a localhost y cuando ejecutas el malware o no..! ves a donde hace las peticiones o mejor dicho ves las ip's o nombres de dominio.
Todo esto en un entorno controlado por supuesto el maestro @Scorpio compartio una caja de arena por aquí en el foro. Y si puedes localizar los tutoriales que hizo fudmario échales una mirada porque no tienen precio y responden a todas tus preguntas.
Todo esto en un entorno controlado por supuesto el maestro @Scorpio compartio una caja de arena por aquí en el foro. Y si puedes localizar los tutoriales que hizo fudmario échales una mirada porque no tienen precio y responden a todas tus preguntas.
buen recopilatorio. tambien se puede tirar de sandboxies y otras herramientas para detectar exe's infectados.Scorpio escribió: 20 Jun 2017, 01:16Compañero creo que estás algo confundido, si deseas saber si un ejecutable está infectado nada te impide subirlo a VirusTotal, o incluso destriparlo, compartirlo y quizás pwnearlo. Diferente es que sea una herramienta tuya que no deseas que sea compartida como los crypters del foro.str0nghack escribió: 19 Jun 2017, 14:09pero eso no es como virus total?d0r120 escribió: 18 Jun 2017, 15:13 con esto amigo [Enlace externo eliminado para invitados] xDDDDDDDDDDD AKUNAMATATA
Respecto a Analisis, estáticamente siempre van bien estas herramientas (Al menos a mi.):Algunos decompiladores que uso para un análisis a nivel código son estos, aunque hay mas que usé previamente para Delphi o Visual Basic 6 por ejemplo:
- 4n4lDetector: Una herramienta excelente (De nuestro compañero [Enlace externo eliminado para invitados]) que nos da muchísima información acerca del ejecutable (Librerías, API Calls, Archivos, etc...).
- HeX Workshop: Un editor hexadecimal simple, a veces es útil para buscar algo bajo el EOF o Strings dentro del ejecutable.
- RDG Packer Detector: De otro compañero ([Enlace externo eliminado para invitados], la musica de su web engancha) tenemos como su nombre indica la herramienta que nos dará información respecto a si el ejecutable esta empaquetado y con que packer, también el lenguaje en el que fue escrito.
- ResHacker: Básicamente lo que su nombre indica, un editor de recursos, siempre util.
Para Analisis Dinamico no puedo deciros mucho que no sepais, lo principal es una Maquina Virtual, las Herramientas las siguientes (Algunas muy obvias):
- Exe2Aut & myAutToExe: Para AutoIt, uno extrae el Script de manera estática y otro desde runtime por si esta empaquetado (UPX, Themida, etc...)
- DnSpy: Para .Net, un decompilador muy completo y preciso, es open source, me lo recomendó Blau.
- De4Dot: Este no es un decompilador, es un desofuscador para la mayoría de ofuscadores de .Net, será necesario.
Creo que como dije antes la mayoría son obvias, a parte de eso un poco de cabeza no va mal. Aquí tenéis el Link de Descarga de las herramientas, todos los créditos a sus respectivos autores:
- Process Hacker: Practicamente un sustituto al Task Manager mucho mas completo y trabajando a bajo nivel.
- SmartSniff: Un Sniffer sencillo para ver cualquier tipo de Conexión extraña.
- Regedit: La herramienta de Windows para Investigar algún tipo de StartUP o Persistencia en el Registro de Windows).
- Task Scheduler: El Programador de Tareas, a partir de Windows Vista deberas buscar con el Statups o Persistencias.
[Enlace externo eliminado para invitados]
//Regards.
Defender a los debiles!