🤠
Alberto wiki
  • 👋Índice
  • ⚙️Herramientas
  • 📓Notas
  • 🎓Recursos
  • Metodología [HTB]
  • APUNTES
    • 💻LINUX
      • Vuls-Vuls repo
      • Ansible
    • 🧠OSINT
      • Google
      • Bing
      • Yandex
      • Shodan
      • DuckDuckGO
    • 👁️NMAP
    • 📡Puertos y Servicios
      • 21 -FTP
      • 22 - SSH
      • 2049 - NFS
    • ✈️Escalada de Privilegios
      • 🐧Linux
      • 🪟Windows
    • ☣️MALWARE
  • WriteUps
    • 📗Proving Grounds
      • 🟢CTF Money Box
      • 🟢CTF Gaara
    • Securiters
Powered by GitBook
On this page
  • Análisis Estático
  • Análisis Dinámico

Was this helpful?

  1. APUNTES

MALWARE

El análisis de malware es un proceso en el que los profesionales de ciberseguridad examinan y estudian el software malicioso (malware) para comprender su funcionalidad, comportamiento, origen y posibles métodos de mitigación. El objetivo principal del análisis de malware es descubrir cómo funciona el malware y desarrollar contramedidas efectivas para proteger sistemas y redes contra estas amenazas.

Existen dos enfoques principales en el análisis de malware: el análisis estático y el análisis dinámico.

Análisis Estático

El análisis estático es una técnica de evaluación de malware en la que se examina el código y la estructura de un archivo binario sin ejecutar el programa. Es un método crucial en el análisis de malware que proporciona información sobre las características y comportamientos potenciales del malware antes de que se ejecute en un entorno real. Algunas de las acciones que se deben hacer en un análisis estático son las siguientes:

  • Identificar el tipo de fichero

  • Obtener el hash del fichero

  • Hacer una búsqueda de cadenas (Strings)

  • Obtener información sobre el empaquetado del malware (si existe)

  • Ver los imports y exports

  • Analizar el código en esamblador

Análisis Dinámico

El análisis dinámico consiste en ejecutar el código en un entorno controlado y observar su comportamiento en tiempo real. A diferencia del análisis estático, que examina el código sin ejecutarlo, el análisis dinámico proporciona información sobre cómo el malware interactúa con el sistema operativo, los procesos en ejecución y la red.

Para realizar un análisis dinámico es indispensable tener un entorno estrictamente controlado y por lo general aislado para que el malware no pueda afectar al host anfitrión. Para realizar un correcto análisis se pueden seguir los siguientes pasos:

  • Configuración del entorno con una máquina virtual aislada. Esta configuración debe imitar un sistema real con el software, las aplicaciones y las configuraciones de red que podría tener un usuario.

  • Snapshot del sistema una vez se ha configurado

  • Despliegue de herramientas para capturar y monitorear la actividad del malware, esto incluye actividad de red, procesos del sistema, llamadas a sistema, operaciones en el registro …

  • Ejecución del malware

  • Observación y análisis de los datos recopilados

El análisis dinámico proporciona una visión más completa del comportamiento del malware, pero puede ser más complejo y costoso en comparación con el análisis estático.

  1. Motores de antivirus

  1. Consultar hash de un malware para saber si ha sido analizado pero sin generar ruido.

  2. Buscar strings

  3. Comando file para detectar el tipo de fichero

  4. Malware ofuscado por un packer, en este caso antes de realizar el análisis hay que eliminar esta primera capa de abstracción. Comprobar si está ofuscado

PreviousWindowsNextProving Grounds

Last updated 1 year ago

Was this helpful?

rdg packer detector ->

Yara -> herramienta para identificar y clasificar malware

☣️
https://www.virustotal.com/gui/home/upload
https://virusscan.jotti.org/
https://www.hybrid-analysis.com/
https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml
https://link333r.blogspot.com/2010/06/rdg-packer-detector.html
https://github.com/Yara-Rules/rules
https://www.angusj.com/resourcehacker/#downloadwww.angusj.com
Winitor