Herramientas de usuario
mwr:tema1
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| mwr:tema1 [2024/09/30 15:48] – thejuanvisu | mwr:tema1 [2024/09/30 16:11] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 231: | Línea 231: | ||
| Es un ejecutable de 8 bits de la época de CP-M y MS-DOS con un tamaño máximo de 64KB para almacenar código y datos. Algunos malware se aprovecha del desconocimiento de los archivos con extensiones .COM ya que la gente los confunde con enlaces .com. | Es un ejecutable de 8 bits de la época de CP-M y MS-DOS con un tamaño máximo de 64KB para almacenar código y datos. Algunos malware se aprovecha del desconocimiento de los archivos con extensiones .COM ya que la gente los confunde con enlaces .com. | ||
| + | ===== Análisis de malware y herramientas ===== | ||
| + | ==== Creación de un sandbox ==== | ||
| + | Normalmente se trata de evitar que un malware pueda tener contacto con una red real: | ||
| + | * Se unsa una red Host Only en la plataforma de virtualización | ||
| + | * Se establecen servicios reales en el Host o en otras máquinas virtuales | ||
| + | * Se crean puertos de escuchas y se interactua con un cliente basado en texto | ||
| + | * Se crean servidores de control. | ||
| + | ==== Laboratorio de virtualización ==== | ||
| + | Construir un laboratorio para el análisis de malware requiere contemplar los pros y los contras de usar máquinas virtuales o hardware real. Las recomendaciones habituales suelen ser las de usar máquinas virtuales para reducir el coste de hardware que necesita una o dos máquinas físicas. Una de las mejores características de las máquinas virtuales es que se pueden crear snapsots | ||
| + | |||
| + | Los probllemas son que algunos malware pueden detectar si están en una máquina virtual, parando su ejecución. El software de virtualización tampoco es perfecto y puede dar problemas. Algunos Gusanos 0 day, si detectan que están en una máquina virtual pueden escapar y acceder al host, pudiendo llegar a escapar por la red. | ||
| + | |||
| + | ==== Virtualuzando el laboratorio ==== | ||
| + | |||
| + | Normalmente se consuderan dos jungadores | ||
| + | * Un servidor linux o windows comprometido | ||
| + | * Una máquina cliente arrancando el sistema operativo objetivo. | ||
| + | |||
| + | Se recomienda tomar snapsots cada cierto tiempo, además de hacerlo justo antes de comenzar el análisis de un malware. Lo normal es realizar primero el análisis estático ya que esto nos proporciona información que se puede utilizar durante el análisis dinámico. | ||
| + | ==== Herramientas de anáisis dinámico ==== | ||
| + | * Monitorizadores de cambios | ||
| + | * Escaneadores de malware basado en rootkits | ||
| + | * Sniffers, port scanners | ||
| + | * Buscar archivos ocultos en el disco duro | ||
| + | * Detector de cambios de archivos | ||
| + | * Escuchador de puertos TCP/UDP | ||
| + | * Generadores de MD5 para revisar la integridad de los archivos | ||
| + | * Editores Hex | ||
mwr/tema1.1727711303.txt.gz · Última modificación: 2024/09/30 15:48 por thejuanvisu
Herramientas de la página
