Herramientas fundamentales para el Análisis 2011
Publicado: 06 Dic 2011, 06:25
Hola hermanos bueno tiempo sin publicar.! pero es por falta de Tiempo pero bueno
hoy les traigo una pequeña recopilación de herramientas para el análisis.! algunas creo que las an mirado pero otras serán nuevas
este kit de herramientas las tengo en mi poder ya casi 1 año y hoy haciendo limpieza en unos de mis discos portables mire esta pequeña recopilación y me decidi compartirlas con vosotros.! espero que les sea de mucha ayuda..!
Empezemos con:
Helios Segurity
¿Quel es Helios?
H Elios es una tecnología de avanzada del sistema de detección de malware. Esta versión descargable es una muestra de tecnología, sin embargo, está en desarrollo para convertirse en un completo
de soluciones empresariales de nivel a la gestión de malware. Esto incluye instantáneas de monitoreo centralizado, sistema, etc
Helios ha sido diseñado para detectar, eliminar y inocular contra los rootkits modernos.
Lo que lo diferencia de los convencionales antivirus / antispyware productos es que no se basa en una base de datos de firmas conocidas.
Creemos que el malware, por definición, tiene que realizar acciones maliciosas en el sistema. Mediante la observación de que el software lleva a cabo el comportamiento malicioso, es mejor que se puede detectar
malware. Así, Helios utiliza un 'comportamiento' motor de análisis en lugar de firmas. La ventaja de esto es que podemos coger el malware que es "desconocido" en la naturaleza, o para los cuales la firma
productos a base de no tener una definición de la firma.
NOTA:Helios requiere Microsoft. Net Framework 2.0 esté instalado. Helios Lite no necesita ser instalado
Descarga:
[Enlace externo eliminado para invitados]
Pagina Oficial
Videos Tutoriales:
[Enlace externo eliminado para invitados]
==============================================================================================
Process Hacker v.2.25
Bueno hermano aqui les dejo unas de tantas herramientas fundamentales que podemos utilizar a la hora de analizar algun archivo sospechoso es una de las herramientas que no puede
faltar a la hora de ANALIZAR un ejecutable.! ya muchos creo que lo utilizan pero hay otros que ni saben que existia lo que mas me gusta es que trae un sniffer
muy bueno bueno sin tantos rodeos se los dejo
Descripcion:
Process Hacker es un software repleto de características para la manipulación de los procesos y servicios en el equipo. Proceso de Hacker es un país libre y de código abierto se utiliza para mostrar dikomputer los procesos existentes y editor de memoria con características únicas, como la siguiente explicación:
Los procesos de
* Ver los procesos en forma de árbol con relieve
*Ver las estadísticas detalladas de procesos y gráficos de rendimiento
*Información sobre herramientas de proceso son detallados y mostrar la información del contexto específico
* Seleccione múltiples procesos y dar por terminado, suspender o reanudar ellos
* (32-bit) Bypass casi todas las formas de protección del proceso
* Reiniciar los procesos de
*Vaciar el conjunto de trabajo de los procesos de
*Establecer afinidad, la prioridad y la virtualización
*Crear sumideros de proceso
*Utilice más de una docena de métodos para terminar los procesos
*Los procesos de desprenderse de depuradores
*Ver montones proceso
* Ver GDI maneja
* Inyectar DLL
* Ver DEP estado, e incluso activar / desactivar el DEP
* Ver las variables de entorno
* Ver y editar los descriptores de proceso de seguridad
*Ver las propiedades de la imagen tales como las importaciones y exportaciones
Temas
* Ver las direcciones de inicio de subprocesos y las pilas con los símbolos
* Temas se destacan suspendido, o temas GUI
* Seleccione múltiples hilos y dar por terminado, suspender o reanudar ellos
* Forzar la terminación de las discusiones
* Ver TEB TEB direcciones y ver su contenido
* (32-bit) Descubre lo que es un hilo que está haciendo, y qué objetos está a la espera de
* Ver y editar los descriptores de seguridad hilo
Tokens
* Ver todos los detalles simbólicos, como usuario, al propietario, el grupo principal, el identificador de sesión, el estado de elevación , y más
* Ver grupos de muestra
* Ver los privilegios e incluso activar, desactivar o eliminarlos
* Ver y editar los descriptores del token de seguridad
Módulos
*Ver los módulos y archivos asignados en una lista
*Descargar archivos DLL
*Abrir y ver las propiedades del archivo en el Explorador de Windows ellos
Memoria
* Ver una lista de la memoria virtual
* Leer y modificar la memoria mediante un hex editor
* Volcado de memoria en un archivo
*Gratis o procederá a la liberación de memoria
*Exploración de las cadenas
Maneja
* Ver el proceso se encarga, junto con destacar los atributos
* Búsqueda de las asas (y los archivos DLL y archivos asignados)
* Cerca maneja
* (32-bit) Establecer los atributos manejar - Protegido y Herencia
* Concederá el acceso de los mangos se pueden ver simbólicamente en vez de números hexadecimales llanura
* PLS detallada las propiedades del objeto vista apoyado
* Ver y editar los descriptores de seguridad de objetos
Servicios
* Ver una lista de todos los servicios
* Crear servicios
* Iniciar , detener, pausar, continuar o eliminar los servicios
* Editar las propiedades del servicio
* Ver las dependencias de servicios y dependientes
*Ver y editar los descriptores de los servicios de seguridad
Red
*Ver una lista de conexiones de red
*Estrechas conexiones de la red
* Utilice herramientas como whois, traceroute y ping
Descargas:
Pagina oficial:
[Enlace externo eliminado para invitados]
Mirror:
[Enlace externo eliminado para invitados]
=============================================================================================
Kernel Detective v1.4.1
Otra herramienta que estoy sacando de mis discos portables.! son herramientas fundamentales a la hora de analizar muchachos se las estoy compartiendo espero le den buen uso.
Info:
Kernel Detective es una herramienta gratuita que ayudará a detectar, analizar, modificar manualmente y fijar algunas modificaciones núcleo de Windows NT. Detective del núcleo que da acceso al núcleo directamente por lo que no está orientado a los novatos. Cambiar el modo de núcleo esencial-objetos sin los suficientes conocimientos le llevará a un solo resultado ... BSOD!
Detective del núcleo que da la capacidad de:
1 - Detección de procesos ocultos.
3 - Detección de temas ocultos.
2 - Detección de archivos DLL ocultos.
3 - Detectar manijas ocultas.
4 - Detección de controladores ocultos.
5 - Detectar SSDT gancho.
6 - Detectar SSDT sombra de gancho.
7 - Detectar enganchado IDT.
8 - Detección de modo de núcleo modificaciones en el código y los ganchos.
9 - Desmonte (lectura / escritura) de memoria Kernel-mode/User-mode.
10 - Salida de monitor de depuración en el sistema.
¿Qué hay de nuevo en v1.4.1:
- Se ha corregido posible BSOD al escanear los procesos
- Solución de error en las devoluciones de llamada de exploración
- Mejora de las propiedades que muestran los archivos y verificar la firma
- Esqueleto SDK para VS2008 incluye
¿Qué hay de nuevo en v1.4.0:
- Añadido sistema de plugins
- Añadido soporte para Windows Server 2008, siete sp1
- Mejora de la estabilidad en NT 6.0 o superior (Windows Vista / Seven)
- Controlador de escaneado mejorada
- Mejora de escaneo de código de gancho
- Solución de error evitar que la herramienta de trabajo en Windows XP
- Solución de error en relación con las rutas largas
- Corregido error en el proceso de dumper / driver
- Corregido un error en IDT exploración
Descarga:
[Enlace externo eliminado para invitados]
==============================================================================================
Tuluka kernel inspector
Descripcion:
Tuluka - una nueva y potente anti-rootkit, con las siguientes funcionalidades:
La detección de procesos ocultos, los controladores y servicios
La detección de IRP intersecciones
Determinación de los cambios en la estructura de la DRIVER_OBJECT campos
Comprobación de la firma del controlador
Detección y neutralización de los SSDT intersecciones
Detectar descriptor sospechoso en el GDT
La detección de IDT intersecciones
La detección de intercepciones en SYSENTER
Visualizar y trabajar con el flujo del sistema
La detección de IAT enganche y en línea
Muestra los valores actuales de los registros de depuración
Permite encontrar un módulo de sistema a la dirección en la memoria del módulo
Le permite volcar la memoria del núcleo, los controladores del núcleo y los módulos
Capacidad para completar cualquier proceso de
Tiene un diassembler construido
Le permite crear una pila para el dispositivo seleccionado
Y mucho más ..
Descarga Pagina Oficial
[Enlace externo eliminado para invitados]
Mirror:
[Enlace externo eliminado para invitados]
==============================================================================================
XueTr 0.4.5 :
Aqui otra herramienta que tenemos que tener a la hora de analizar un ejecutable estas herramientas se basan mas a los Rookits pero no queda de mas sacarlas de mi BAUL
Descripcion resumida:
XueTr - está desarrollando activamente anti-rootkit de desarrolladores chinos. Herramienta digna de gran alcance. Tiene las características estándar: gestor de procesos, servicios, drivers, la posibilidad de eliminar una serie de intercepciones, incluyendo Ring-0 Modo. Editor notable registro y gestor de arranque, gestor de archivos, con la posibilidad de la expulsión de los archivos, y mucho más .
En resumen, el producto está bien digno de la atención de los analistas de virus y los administradores del sistema ordinario.
Debido a las tecnologías utilizadas por los rootkits, los falsos positivos son posibles en la utilidad de antivirus. Contra el tiempo de trabajo puede ser desactivado por la utilidad de malware verificada.
No funciona en sistemas x64
Descarga pagina Oficial:
[Enlace externo eliminado para invitados]
Mirror:
[Enlace externo eliminado para invitados]
=============================================================================================
Hook Explorer (iDefense IAT)
Bueno hermanos como siempre ando en busca de proteccion bueno aqui os dejo una buena herramientas que podemos utilizar en nuestros analicis por cualquier TIO que se quiera pasar de listo.
ahi les dejo un poco de la descripcion de esta herramienta.!
Hook Explorer es un simple detector de iDefense IAT laboratorio de enganche. Ahora adquirida por Verisign.
Al ejecutarse por primera, HookExplorer a enumerar todos los archivos DLL cargados en el proceso y analizar sus tablas de importación de punteros a funciones secuestrado en la tabla de direcciones de importación (IAT). La primera instrucción para cada puntero función se desmonta y se examina para tratar de detectar desviaciones estándar de los ganchos de estilo que pueden estar en su lugar.
Si el "barrido total de las exportaciones" casilla de verificación fue seleccionada, entonces HookExplorer también explorará todas las funciones se encuentran en la tabla de exportación de imágenes para ganchos de desvíos estilo. Para archivos DLL de carga dinámica, esto puede ser la única prueba que podemos realizar en ellos. Tenga en cuenta que esta opción puede tomar algún tiempo extra para llevar a cabo, y no se puede añadir a un análisis existente sobre la marcha. Una vez activa esta opción, el análisis actual no se actualizará y tendrá que volver a analizar el proceso de destino.
HookExplorer también soporta 4 modos de visualización de datos para ayudarle a examinar los datos. Estas opciones se pueden aplicar sobre la marcha y se limita a volver a mostrar los datos recogidos exploración.
Internamente los ganchos se almacenan en tres colecciones. La primera colección guarda las referencias a todas las funciones, el segundo módulo de ganchos sólo cruz, y, finalmente, el tercero que se aplica una lista de filtros definidos por el usuario de los resultados.
Las opciones de visualización que se relacionan con estas colecciones se denominan:
Estándar - muestra el módulo transversal y ganchos mismo módulo
Utilice la lista de ignorados - módulo muestra filtrada cruz sólo ganchos
Ocultar los anzuelos de un mismo módulo - muestra ganchos cruzados módulo (sin filtro)
Mostrar todo - igual que el modo estándar, salvo que también muestra todas las entradas por dll, conectado o no
Estas opciones están representadas por botones de radio y se puede aplicar sobre la marcha una vez haya finalizado la búsqueda.
El IgnoreList se carga desde el IgnoreList.txt se encuentra el archivo en el directorio de aplicaciones. Este archivo muestra los archivos DLL que la confianza y no desea que aparezcan en los resultados cuando se utiliza la opción de visualización IgnoreList. Se recomienda utilizar la ruta completa a su dll dlls de confianza en este archivo.
El ignorelist se pueden editar en el bloc de notas y se puede actualizar en tiempo real para un análisis existente. El botón de edición en la interfaz principal se iniciará el bloc de notas en el archivo que le permite editarlo. Una vez que haya hecho sus cambios, guarde los cambios y pulse el botón de recarga que se volverá a cargar el archivo y aplicar el filtro a los resultados de visualización actual.
Dependencias Gancho explorador está escrita en Visual Basic 6. Su sistema se necesita el tiempo de ejecución de Visual Basic 6 y Microsoft Common Control OCX (mscomctl.ocx)
Instalación Descomprima y ejecute. Si se produce un error que msvbvm60.dll falta, usted tendrá que instalar el tiempo de ejecución de Visual Basic 6. Si mscomctl.ocx falta usted tendrá que descargar y registrar el control. Google es tu amigo.
Descarga:
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]
=============================================================================================
XRipper v0.8 Stable Build:
Herramienta Fundamental disfruten hermanos estas herramientas no deben de faltar en nuestro ordenador.!
¿Qué es?
XRipper es una herramienta le permite escanear y extraer los archivos ocultos
(Xm, V2M, png, bmp, raw, ogg, ico, swf, ttf, y MO3) almacenados en el interior
Keygen, parches, Intro, Archivos ..
¿Y qué hay de nuevo?
[\ O /] XRipper núcleo del motor han sido mejoradas (En caso de ser más rápido).
[+] Añadido idioma turco (Gracias a C0dr4cK ^ CTPT).
[+] Añadido soporte para: MID, JPG, RMI, MOD, S3M, MTM, UMX (Reproducir / Vista previa y extracción),
FIB, FIA, FLC, BNK, 669, VOC, EMF, SID, FC, código postal y la NSF (sólo extracción).
[+] Añadido detección de:
SQLite, XML, HTML, DOC, PPT, 7z, RMI, FLAC, XI, DB,
3GP, AVI, PF, RMVB, FLV, GZ, TAR, TTA, DCU, XRS, DAT,
DPR, OBJ, DBB, VDI, CLAVE, TGA, ICO, APE, SPX, MPC, WV,
FIB RM, FIA, FLC, UMX, BNK, 669, VOC, UPX, FSG ..
[+] Añadido FileDetector.dll v0.8 Construir 726 (SDK Detector de archivos \).
[+] Añadido cargador de plugin interno para:
PEiD Plugins Loader.
QUnpack Plugins Loader.
PETools Plugins Loader.
[+] Añadido built-in editor hexadecimal.
[+] Añadido ZipView (Escrito desde cero).
[+] Añadido macros para guardar el archivo:%% offset,%% de extensión.
[+] Añadido efectos especiales de sonido en eventos de aplicaciones.
[+] Añadido Ocultar en la bandeja (TrayIcon).
[+] Añadido siempre en la opción Inicio.
[+] Añadida la opción de escaneo de desplazamiento específico.
[+] Añadida la opción de volcado de memoria del proceso a un archivo.
[+] Añadido más opciones para los formatos personalizados del usuario.
[+] Añadido opciones adicionales para vista previa de la imagen (brillo, contraste).
[+] Añadida la opción de guardar los archivos de igual a: Unidad de Delphi y Include (pas, inc..), Encabezado Visual C (h)., Masm Include (inc.).
[+] Añadida la opción de escanear un rango de memoria de proceso específico (16 bits, 32 bits o memoria de todos).
[+] Añadido Portapapeles Análisis completo de formatos.
[+] Añadido Override desbordamiento de mayor longitud (longitud lógica Checker).
[+] Añadido Reproducción OGG antes del procesamiento de opciones.
[+] Añadido Enumerar falsas detecciones (firmas débiles archivo se excluyen).
[+] Manejo de lista de elementos a la vez.
[+] XRipper ahora está pelado.
Descarga:
[Enlace externo eliminado para invitados]
Mirror:
[Enlace externo eliminado para invitados]
==============================================================================================
PowerTool V.3.8:
Bueno aqui esta otra que encontre en mis disco.! y se las quiero compartir muchachos.! como eh dicho anteriormente estas herramientas son muy buenas
a la hora de analizar un ejecutable bueno espero les sirva. cabrones y le den un buen uso..!
Descripcion:
Una poderosa herramienta para el tratamiento de infecciones persistentes. Parcialmente compatible con el núcleo x64, totalmente sólo funciona en sistemas basados en x86. Según el programa del autor homólogos cualitativamente más potentes.
Durante la operación, podrá prohibir la puesta en marcha de otros procesos y servicios, la creación de archivos y carpetas, y los cambios en el registro.
El programa puede monitorear:
Los procesos de
Drivers
Espacio de kernel
Intercepciones Vsemozmozhnye, incluidos los ocultos
Del sistema de archivos
Registro
Autostart
Servicios
Componentes de la red, eventos, y los puertos abiertos
Y más ..
Otras características incluyen:
Capaz de dar información sobre el hardware instalado con la condición y los sensores de temperatura.
Es posible analizar los sistemas de of.laynovyh.
Hay una búsqueda y editar el MBR, propicio bootkits búsqueda
Capaz de realizar una auditoría rápida de los vacíos críticos en materia de seguridad.
En una palabra, es un potente y rápido desarrollo de una herramienta que va a tomar su lugar entre los líderes anti-rootkit. Ha incorporado en la actualización automática.
Descarga pagina Oficial:
[Enlace externo eliminado para invitados]
Mirror:
[Enlace externo eliminado para invitados]
=============================================================================================
GMER V1.0.15:
Otra bonita herramienta para mirar algunos archivos ocultos o algun ejecutable que instale algun archivos sospecho oculto.!
Descripcion:
Este rootkit es reconocido como uno de los mejores. Brillantes rasgos distintivos - sistema de escritura de apoyo para el tratamiento y el apoyo a los sistemas x64 que puede presumir, no todos los productos similares.
Le permite explorar y tratar:
Procesos ocultos.
Flujos ocultos
Módulos ocultos
Servicio oculto
Los archivos ocultos
Oculta secuencias de datos alternas
Oculta las claves del Registro
Roba los conductores SSDT
Roba los conductores IDT
Intercepta llamadas del conductor al IRP
Intercepta lineal
Descarga pagina oficial:
[Enlace externo eliminado para invitados]
Mirror:
[Enlace externo eliminado para invitados]
===========================================================================================
La lista seguira creciendo si ustedes desean aportar alguno pues adelante solo se agregara a la lista pero cada
programa tendra que venir con su respectiva descripcion.!
hoy les traigo una pequeña recopilación de herramientas para el análisis.! algunas creo que las an mirado pero otras serán nuevas
este kit de herramientas las tengo en mi poder ya casi 1 año y hoy haciendo limpieza en unos de mis discos portables mire esta pequeña recopilación y me decidi compartirlas con vosotros.! espero que les sea de mucha ayuda..!
Empezemos con:
Helios Segurity
¿Quel es Helios?
H Elios es una tecnología de avanzada del sistema de detección de malware. Esta versión descargable es una muestra de tecnología, sin embargo, está en desarrollo para convertirse en un completo
de soluciones empresariales de nivel a la gestión de malware. Esto incluye instantáneas de monitoreo centralizado, sistema, etc
Helios ha sido diseñado para detectar, eliminar y inocular contra los rootkits modernos.
Lo que lo diferencia de los convencionales antivirus / antispyware productos es que no se basa en una base de datos de firmas conocidas.
Creemos que el malware, por definición, tiene que realizar acciones maliciosas en el sistema. Mediante la observación de que el software lleva a cabo el comportamiento malicioso, es mejor que se puede detectar
malware. Así, Helios utiliza un 'comportamiento' motor de análisis en lugar de firmas. La ventaja de esto es que podemos coger el malware que es "desconocido" en la naturaleza, o para los cuales la firma
productos a base de no tener una definición de la firma.
NOTA:Helios requiere Microsoft. Net Framework 2.0 esté instalado. Helios Lite no necesita ser instalado
Descarga:
[Enlace externo eliminado para invitados]
Pagina Oficial
Videos Tutoriales:
[Enlace externo eliminado para invitados]
==============================================================================================
Process Hacker v.2.25
Bueno hermano aqui les dejo unas de tantas herramientas fundamentales que podemos utilizar a la hora de analizar algun archivo sospechoso es una de las herramientas que no puede
faltar a la hora de ANALIZAR un ejecutable.! ya muchos creo que lo utilizan pero hay otros que ni saben que existia lo que mas me gusta es que trae un sniffer
muy bueno bueno sin tantos rodeos se los dejo
Descripcion:
Process Hacker es un software repleto de características para la manipulación de los procesos y servicios en el equipo. Proceso de Hacker es un país libre y de código abierto se utiliza para mostrar dikomputer los procesos existentes y editor de memoria con características únicas, como la siguiente explicación:
Los procesos de
* Ver los procesos en forma de árbol con relieve
*Ver las estadísticas detalladas de procesos y gráficos de rendimiento
*Información sobre herramientas de proceso son detallados y mostrar la información del contexto específico
* Seleccione múltiples procesos y dar por terminado, suspender o reanudar ellos
* (32-bit) Bypass casi todas las formas de protección del proceso
* Reiniciar los procesos de
*Vaciar el conjunto de trabajo de los procesos de
*Establecer afinidad, la prioridad y la virtualización
*Crear sumideros de proceso
*Utilice más de una docena de métodos para terminar los procesos
*Los procesos de desprenderse de depuradores
*Ver montones proceso
* Ver GDI maneja
* Inyectar DLL
* Ver DEP estado, e incluso activar / desactivar el DEP
* Ver las variables de entorno
* Ver y editar los descriptores de proceso de seguridad
*Ver las propiedades de la imagen tales como las importaciones y exportaciones
Temas
* Ver las direcciones de inicio de subprocesos y las pilas con los símbolos
* Temas se destacan suspendido, o temas GUI
* Seleccione múltiples hilos y dar por terminado, suspender o reanudar ellos
* Forzar la terminación de las discusiones
* Ver TEB TEB direcciones y ver su contenido
* (32-bit) Descubre lo que es un hilo que está haciendo, y qué objetos está a la espera de
* Ver y editar los descriptores de seguridad hilo
Tokens
* Ver todos los detalles simbólicos, como usuario, al propietario, el grupo principal, el identificador de sesión, el estado de elevación , y más
* Ver grupos de muestra
* Ver los privilegios e incluso activar, desactivar o eliminarlos
* Ver y editar los descriptores del token de seguridad
Módulos
*Ver los módulos y archivos asignados en una lista
*Descargar archivos DLL
*Abrir y ver las propiedades del archivo en el Explorador de Windows ellos
Memoria
* Ver una lista de la memoria virtual
* Leer y modificar la memoria mediante un hex editor
* Volcado de memoria en un archivo
*Gratis o procederá a la liberación de memoria
*Exploración de las cadenas
Maneja
* Ver el proceso se encarga, junto con destacar los atributos
* Búsqueda de las asas (y los archivos DLL y archivos asignados)
* Cerca maneja
* (32-bit) Establecer los atributos manejar - Protegido y Herencia
* Concederá el acceso de los mangos se pueden ver simbólicamente en vez de números hexadecimales llanura
* PLS detallada las propiedades del objeto vista apoyado
* Ver y editar los descriptores de seguridad de objetos
Servicios
* Ver una lista de todos los servicios
* Crear servicios
* Iniciar , detener, pausar, continuar o eliminar los servicios
* Editar las propiedades del servicio
* Ver las dependencias de servicios y dependientes
*Ver y editar los descriptores de los servicios de seguridad
Red
*Ver una lista de conexiones de red
*Estrechas conexiones de la red
* Utilice herramientas como whois, traceroute y ping
Descargas:
Pagina oficial:
[Enlace externo eliminado para invitados]
Mirror:
[Enlace externo eliminado para invitados]
=============================================================================================
Kernel Detective v1.4.1
Otra herramienta que estoy sacando de mis discos portables.! son herramientas fundamentales a la hora de analizar muchachos se las estoy compartiendo espero le den buen uso.
Info:
Kernel Detective es una herramienta gratuita que ayudará a detectar, analizar, modificar manualmente y fijar algunas modificaciones núcleo de Windows NT. Detective del núcleo que da acceso al núcleo directamente por lo que no está orientado a los novatos. Cambiar el modo de núcleo esencial-objetos sin los suficientes conocimientos le llevará a un solo resultado ... BSOD!
Detective del núcleo que da la capacidad de:
1 - Detección de procesos ocultos.
3 - Detección de temas ocultos.
2 - Detección de archivos DLL ocultos.
3 - Detectar manijas ocultas.
4 - Detección de controladores ocultos.
5 - Detectar SSDT gancho.
6 - Detectar SSDT sombra de gancho.
7 - Detectar enganchado IDT.
8 - Detección de modo de núcleo modificaciones en el código y los ganchos.
9 - Desmonte (lectura / escritura) de memoria Kernel-mode/User-mode.
10 - Salida de monitor de depuración en el sistema.
¿Qué hay de nuevo en v1.4.1:
- Se ha corregido posible BSOD al escanear los procesos
- Solución de error en las devoluciones de llamada de exploración
- Mejora de las propiedades que muestran los archivos y verificar la firma
- Esqueleto SDK para VS2008 incluye
¿Qué hay de nuevo en v1.4.0:
- Añadido sistema de plugins
- Añadido soporte para Windows Server 2008, siete sp1
- Mejora de la estabilidad en NT 6.0 o superior (Windows Vista / Seven)
- Controlador de escaneado mejorada
- Mejora de escaneo de código de gancho
- Solución de error evitar que la herramienta de trabajo en Windows XP
- Solución de error en relación con las rutas largas
- Corregido error en el proceso de dumper / driver
- Corregido un error en IDT exploración
Descarga:
[Enlace externo eliminado para invitados]
==============================================================================================
Tuluka kernel inspector
Descripcion:
Tuluka - una nueva y potente anti-rootkit, con las siguientes funcionalidades:
La detección de procesos ocultos, los controladores y servicios
La detección de IRP intersecciones
Determinación de los cambios en la estructura de la DRIVER_OBJECT campos
Comprobación de la firma del controlador
Detección y neutralización de los SSDT intersecciones
Detectar descriptor sospechoso en el GDT
La detección de IDT intersecciones
La detección de intercepciones en SYSENTER
Visualizar y trabajar con el flujo del sistema
La detección de IAT enganche y en línea
Muestra los valores actuales de los registros de depuración
Permite encontrar un módulo de sistema a la dirección en la memoria del módulo
Le permite volcar la memoria del núcleo, los controladores del núcleo y los módulos
Capacidad para completar cualquier proceso de
Tiene un diassembler construido
Le permite crear una pila para el dispositivo seleccionado
Y mucho más ..
Descarga Pagina Oficial
[Enlace externo eliminado para invitados]
Mirror:
[Enlace externo eliminado para invitados]
==============================================================================================
XueTr 0.4.5 :
Aqui otra herramienta que tenemos que tener a la hora de analizar un ejecutable estas herramientas se basan mas a los Rookits pero no queda de mas sacarlas de mi BAUL
Descripcion resumida:
XueTr - está desarrollando activamente anti-rootkit de desarrolladores chinos. Herramienta digna de gran alcance. Tiene las características estándar: gestor de procesos, servicios, drivers, la posibilidad de eliminar una serie de intercepciones, incluyendo Ring-0 Modo. Editor notable registro y gestor de arranque, gestor de archivos, con la posibilidad de la expulsión de los archivos, y mucho más .
En resumen, el producto está bien digno de la atención de los analistas de virus y los administradores del sistema ordinario.
Debido a las tecnologías utilizadas por los rootkits, los falsos positivos son posibles en la utilidad de antivirus. Contra el tiempo de trabajo puede ser desactivado por la utilidad de malware verificada.
No funciona en sistemas x64
Descarga pagina Oficial:
[Enlace externo eliminado para invitados]
Mirror:
[Enlace externo eliminado para invitados]
=============================================================================================
Hook Explorer (iDefense IAT)
Bueno hermanos como siempre ando en busca de proteccion bueno aqui os dejo una buena herramientas que podemos utilizar en nuestros analicis por cualquier TIO que se quiera pasar de listo.
ahi les dejo un poco de la descripcion de esta herramienta.!
Hook Explorer es un simple detector de iDefense IAT laboratorio de enganche. Ahora adquirida por Verisign.
Al ejecutarse por primera, HookExplorer a enumerar todos los archivos DLL cargados en el proceso y analizar sus tablas de importación de punteros a funciones secuestrado en la tabla de direcciones de importación (IAT). La primera instrucción para cada puntero función se desmonta y se examina para tratar de detectar desviaciones estándar de los ganchos de estilo que pueden estar en su lugar.
Si el "barrido total de las exportaciones" casilla de verificación fue seleccionada, entonces HookExplorer también explorará todas las funciones se encuentran en la tabla de exportación de imágenes para ganchos de desvíos estilo. Para archivos DLL de carga dinámica, esto puede ser la única prueba que podemos realizar en ellos. Tenga en cuenta que esta opción puede tomar algún tiempo extra para llevar a cabo, y no se puede añadir a un análisis existente sobre la marcha. Una vez activa esta opción, el análisis actual no se actualizará y tendrá que volver a analizar el proceso de destino.
HookExplorer también soporta 4 modos de visualización de datos para ayudarle a examinar los datos. Estas opciones se pueden aplicar sobre la marcha y se limita a volver a mostrar los datos recogidos exploración.
Internamente los ganchos se almacenan en tres colecciones. La primera colección guarda las referencias a todas las funciones, el segundo módulo de ganchos sólo cruz, y, finalmente, el tercero que se aplica una lista de filtros definidos por el usuario de los resultados.
Las opciones de visualización que se relacionan con estas colecciones se denominan:
Estándar - muestra el módulo transversal y ganchos mismo módulo
Utilice la lista de ignorados - módulo muestra filtrada cruz sólo ganchos
Ocultar los anzuelos de un mismo módulo - muestra ganchos cruzados módulo (sin filtro)
Mostrar todo - igual que el modo estándar, salvo que también muestra todas las entradas por dll, conectado o no
Estas opciones están representadas por botones de radio y se puede aplicar sobre la marcha una vez haya finalizado la búsqueda.
El IgnoreList se carga desde el IgnoreList.txt se encuentra el archivo en el directorio de aplicaciones. Este archivo muestra los archivos DLL que la confianza y no desea que aparezcan en los resultados cuando se utiliza la opción de visualización IgnoreList. Se recomienda utilizar la ruta completa a su dll dlls de confianza en este archivo.
El ignorelist se pueden editar en el bloc de notas y se puede actualizar en tiempo real para un análisis existente. El botón de edición en la interfaz principal se iniciará el bloc de notas en el archivo que le permite editarlo. Una vez que haya hecho sus cambios, guarde los cambios y pulse el botón de recarga que se volverá a cargar el archivo y aplicar el filtro a los resultados de visualización actual.
Dependencias Gancho explorador está escrita en Visual Basic 6. Su sistema se necesita el tiempo de ejecución de Visual Basic 6 y Microsoft Common Control OCX (mscomctl.ocx)
Instalación Descomprima y ejecute. Si se produce un error que msvbvm60.dll falta, usted tendrá que instalar el tiempo de ejecución de Visual Basic 6. Si mscomctl.ocx falta usted tendrá que descargar y registrar el control. Google es tu amigo.
Descarga:
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]
=============================================================================================
XRipper v0.8 Stable Build:
Herramienta Fundamental disfruten hermanos estas herramientas no deben de faltar en nuestro ordenador.!
¿Qué es?
XRipper es una herramienta le permite escanear y extraer los archivos ocultos
(Xm, V2M, png, bmp, raw, ogg, ico, swf, ttf, y MO3) almacenados en el interior
Keygen, parches, Intro, Archivos ..
¿Y qué hay de nuevo?
[\ O /] XRipper núcleo del motor han sido mejoradas (En caso de ser más rápido).
[+] Añadido idioma turco (Gracias a C0dr4cK ^ CTPT).
[+] Añadido soporte para: MID, JPG, RMI, MOD, S3M, MTM, UMX (Reproducir / Vista previa y extracción),
FIB, FIA, FLC, BNK, 669, VOC, EMF, SID, FC, código postal y la NSF (sólo extracción).
[+] Añadido detección de:
SQLite, XML, HTML, DOC, PPT, 7z, RMI, FLAC, XI, DB,
3GP, AVI, PF, RMVB, FLV, GZ, TAR, TTA, DCU, XRS, DAT,
DPR, OBJ, DBB, VDI, CLAVE, TGA, ICO, APE, SPX, MPC, WV,
FIB RM, FIA, FLC, UMX, BNK, 669, VOC, UPX, FSG ..
[+] Añadido FileDetector.dll v0.8 Construir 726 (SDK Detector de archivos \).
[+] Añadido cargador de plugin interno para:
PEiD Plugins Loader.
QUnpack Plugins Loader.
PETools Plugins Loader.
[+] Añadido built-in editor hexadecimal.
[+] Añadido ZipView (Escrito desde cero).
[+] Añadido macros para guardar el archivo:%% offset,%% de extensión.
[+] Añadido efectos especiales de sonido en eventos de aplicaciones.
[+] Añadido Ocultar en la bandeja (TrayIcon).
[+] Añadido siempre en la opción Inicio.
[+] Añadida la opción de escaneo de desplazamiento específico.
[+] Añadida la opción de volcado de memoria del proceso a un archivo.
[+] Añadido más opciones para los formatos personalizados del usuario.
[+] Añadido opciones adicionales para vista previa de la imagen (brillo, contraste).
[+] Añadida la opción de guardar los archivos de igual a: Unidad de Delphi y Include (pas, inc..), Encabezado Visual C (h)., Masm Include (inc.).
[+] Añadida la opción de escanear un rango de memoria de proceso específico (16 bits, 32 bits o memoria de todos).
[+] Añadido Portapapeles Análisis completo de formatos.
[+] Añadido Override desbordamiento de mayor longitud (longitud lógica Checker).
[+] Añadido Reproducción OGG antes del procesamiento de opciones.
[+] Añadido Enumerar falsas detecciones (firmas débiles archivo se excluyen).
[+] Manejo de lista de elementos a la vez.
[+] XRipper ahora está pelado.
Descarga:
[Enlace externo eliminado para invitados]
Mirror:
[Enlace externo eliminado para invitados]
==============================================================================================
PowerTool V.3.8:
Bueno aqui esta otra que encontre en mis disco.! y se las quiero compartir muchachos.! como eh dicho anteriormente estas herramientas son muy buenas
a la hora de analizar un ejecutable bueno espero les sirva. cabrones y le den un buen uso..!
Descripcion:
Una poderosa herramienta para el tratamiento de infecciones persistentes. Parcialmente compatible con el núcleo x64, totalmente sólo funciona en sistemas basados en x86. Según el programa del autor homólogos cualitativamente más potentes.
Durante la operación, podrá prohibir la puesta en marcha de otros procesos y servicios, la creación de archivos y carpetas, y los cambios en el registro.
El programa puede monitorear:
Los procesos de
Drivers
Espacio de kernel
Intercepciones Vsemozmozhnye, incluidos los ocultos
Del sistema de archivos
Registro
Autostart
Servicios
Componentes de la red, eventos, y los puertos abiertos
Y más ..
Otras características incluyen:
Capaz de dar información sobre el hardware instalado con la condición y los sensores de temperatura.
Es posible analizar los sistemas de of.laynovyh.
Hay una búsqueda y editar el MBR, propicio bootkits búsqueda
Capaz de realizar una auditoría rápida de los vacíos críticos en materia de seguridad.
En una palabra, es un potente y rápido desarrollo de una herramienta que va a tomar su lugar entre los líderes anti-rootkit. Ha incorporado en la actualización automática.
Descarga pagina Oficial:
[Enlace externo eliminado para invitados]
Mirror:
[Enlace externo eliminado para invitados]
=============================================================================================
GMER V1.0.15:
Otra bonita herramienta para mirar algunos archivos ocultos o algun ejecutable que instale algun archivos sospecho oculto.!
Descripcion:
Este rootkit es reconocido como uno de los mejores. Brillantes rasgos distintivos - sistema de escritura de apoyo para el tratamiento y el apoyo a los sistemas x64 que puede presumir, no todos los productos similares.
Le permite explorar y tratar:
Procesos ocultos.
Flujos ocultos
Módulos ocultos
Servicio oculto
Los archivos ocultos
Oculta secuencias de datos alternas
Oculta las claves del Registro
Roba los conductores SSDT
Roba los conductores IDT
Intercepta llamadas del conductor al IRP
Intercepta lineal
Descarga pagina oficial:
[Enlace externo eliminado para invitados]
Mirror:
[Enlace externo eliminado para invitados]
===========================================================================================
La lista seguira creciendo si ustedes desean aportar alguno pues adelante solo se agregara a la lista pero cada
programa tendra que venir con su respectiva descripcion.!