viernes, mayo 27, 2011
Albert López
Seguro que más de uno tendrá su pequeño "laboratorio" para análisis de Malware, aunque generalmente llegar a tener un espacio virtualizado con todas las herramientas disponibles es una tarea pesada ya que se deben actualizar, renovar imágenes, utilizar todas las herramientas para ver las actividades de la muestra...
Ahora, con el proyecto Zero Wine, se tiene la oportunidad de obtener gran cantidad de información a partir de un sistema virtualizado con el emulador wine en un entorno sandbox, es tan fácil como subir el archivo y se crearán unos reportes automatizados con información, donde se nos mostrará 4 tipo de informaciones.
Complete report
Es un reporte donde se mostrará principales actividades y librerías utilizadas por el malware, útil para un primer análisis estático de la muestra para determinar que acciones realiza el mawlare.
Strings
Esta opción es interesante, ya que se nos resume strings encontradas en el malware como si lo debugearamos por ejemplo con el OllyDebug. La mayor utilidad es captar dominios donde se conecta, cuentas de email e información general que nos ayude a ver que actividades realiza, sobre todo actividades de red.
File Header
Muestra información sobre la cabecera del ejecutable, quizá es la menos interesante a simple vista pero puede ayudar si luego se requiere hacer un debugeado manual del archivo.
Signature
Esta parte es muy interesante, nos indicará todas las llamadas a la API donde podremos descubrir gran parte de la actividad del malware, por ejemplo donde se copia, que elimina, algunas de las modificaciones que pueda hacer..
Éste proyecto tiene licencia GPL y actualmente existen dos variantes de éste proyecto, una nacida de la otra. a continuación dejo como referencia las dos paginas por si a alguien le interesa y de donde lo podrán descargar.- http://zerowine.sourceforge.net
- http://zerowine-tryout.sourceforge.net
Posted in: Programas
0 comentarios:
Publicar un comentario