Plantea tus dudas sobre malware a los compañeros del foro.
 #492048  por str0nghack
 19 Jun 2017, 15:04
[ Debe registrarse para ver este enlace ] escribió: [ Debe registrarse para ver este enlace ]
19 Jun 2017, 14:09
pero eso no es como virus total? me refiero a un RAT o crypter, que os detecta como virus pero que muchos de inet estan backdorizados
 #492051  por Scorpio
 20 Jun 2017, 01:16
Compañero creo que estás algo confundido, si deseas saber si un ejecutable está infectado nada te impide subirlo a VirusTotal, o incluso destriparlo, compartirlo y quizás pwnearlo. Diferente es que sea una herramienta tuya que no deseas que sea compartida como los crypters del foro.

Respecto a Analisis, estáticamente siempre van bien estas herramientas (Al menos a mi.):
  • 4n4lDetector: Una herramienta excelente (De nuestro compañero [ Debe registrarse para ver este enlace ]) que nos da muchísima información acerca del ejecutable (Librerías, API Calls, Archivos, etc...).
  • HeX Workshop: Un editor hexadecimal simple, a veces es útil para buscar algo bajo el EOF o Strings dentro del ejecutable.
  • RDG Packer Detector: De otro compañero ([ Debe registrarse para ver este enlace ], la musica de su web engancha) tenemos como su nombre indica la herramienta que nos dará información respecto a si el ejecutable esta empaquetado y con que packer, también el lenguaje en el que fue escrito.
  • ResHacker: Básicamente lo que su nombre indica, un editor de recursos, siempre util.
Algunos decompiladores que uso para un análisis a nivel código son estos, aunque hay mas que usé previamente para Delphi o Visual Basic 6 por ejemplo:
  • Exe2Aut & myAutToExe: Para AutoIt, uno extrae el Script de manera estática y otro desde runtime por si esta empaquetado (UPX, Themida, etc...)
  • DnSpy: Para .Net, un decompilador muy completo y preciso, es open source, me lo recomendó Blau.
  • De4Dot: Este no es un decompilador, es un desofuscador para la mayoría de ofuscadores de .Net, será necesario.
Para Analisis Dinamico no puedo deciros mucho que no sepais, lo principal es una Maquina Virtual, las Herramientas las siguientes (Algunas muy obvias):
  • Process Hacker: Practicamente un sustituto al Task Manager mucho mas completo y trabajando a bajo nivel.
  • SmartSniff: Un Sniffer sencillo para ver cualquier tipo de Conexión extraña.
  • Regedit: La herramienta de Windows para Investigar algún tipo de StartUP o Persistencia en el Registro de Windows).
  • Task Scheduler: El Programador de Tareas, a partir de Windows Vista deberas buscar con el Statups o Persistencias.
Creo que como dije antes la mayoría son obvias, a parte de eso un poco de cabeza no va mal. Aquí tenéis el Link de Descarga de las herramientas, todos los créditos a sus respectivos autores:

[ Debe registrarse para ver este enlace ]

//Regards.
 #492060  por str0nghack
 20 Jun 2017, 16:58
[ Debe registrarse para ver este enlace ] escribió: [ Debe registrarse para ver este enlace ]
20 Jun 2017, 01:16
Compañero creo que estás algo confundido, si deseas saber si un ejecutable está infectado nada te impide subirlo a VirusTotal, o incluso destriparlo, compartirlo y quizás pwnearlo. Diferente es que sea una herramienta tuya que no deseas que sea compartida como los crypters del foro.

Respecto a Analisis, estáticamente siempre van bien estas herramientas (Al menos a mi.):
  • 4n4lDetector: Una herramienta excelente (De nuestro compañero [ Debe registrarse para ver este enlace ]) que nos da muchísima información acerca del ejecutable (Librerías, API Calls, Archivos, etc...).
  • HeX Workshop: Un editor hexadecimal simple, a veces es útil para buscar algo bajo el EOF o Strings dentro del ejecutable.
  • RDG Packer Detector: De otro compañero ([ Debe registrarse para ver este enlace ], la musica de su web engancha) tenemos como su nombre indica la herramienta que nos dará información respecto a si el ejecutable esta empaquetado y con que packer, también el lenguaje en el que fue escrito.
  • ResHacker: Básicamente lo que su nombre indica, un editor de recursos, siempre util.
Algunos decompiladores que uso para un análisis a nivel código son estos, aunque hay mas que usé previamente para Delphi o Visual Basic 6 por ejemplo:
  • Exe2Aut & myAutToExe: Para AutoIt, uno extrae el Script de manera estática y otro desde runtime por si esta empaquetado (UPX, Themida, etc...)
  • DnSpy: Para .Net, un decompilador muy completo y preciso, es open source, me lo recomendó Blau.
  • De4Dot: Este no es un decompilador, es un desofuscador para la mayoría de ofuscadores de .Net, será necesario.
Para Analisis Dinamico no puedo deciros mucho que no sepais, lo principal es una Maquina Virtual, las Herramientas las siguientes (Algunas muy obvias):
  • Process Hacker: Practicamente un sustituto al Task Manager mucho mas completo y trabajando a bajo nivel.
  • SmartSniff: Un Sniffer sencillo para ver cualquier tipo de Conexión extraña.
  • Regedit: La herramienta de Windows para Investigar algún tipo de StartUP o Persistencia en el Registro de Windows).
  • Task Scheduler: El Programador de Tareas, a partir de Windows Vista deberas buscar con el Statups o Persistencias.
Creo que como dije antes la mayoría son obvias, a parte de eso un poco de cabeza no va mal. Aquí tenéis el Link de Descarga de las herramientas, todos los créditos a sus respectivos autores:

[ Debe registrarse para ver este enlace ]

//Regards.
Muchas gracias, con esas herramientas puedo saber si esta el exe bindeado con un server?
 #492064  por Neutrox
 20 Jun 2017, 21:28
Pongo otra Tool [ Debe registrarse para ver este enlace ] para los análisis activos . Le indicas que todo el tráfico del pc lo mande a localhost y cuando ejecutas el malware o no..! ves a donde hace las peticiones o mejor dicho ves las ip's o nombres de dominio.

Todo esto en un entorno controlado por supuesto el maestro @Scorpio compartio una caja de arena por aquí en el foro. Y si puedes localizar los tutoriales que hizo fudmario échales una mirada porque no tienen precio y responden a todas tus preguntas.