Neste
tutorial, veremos ferramentas simples para realizar análises básicas em malwares estáticos como: PEiD para detectar empacotadores, Dependency
Walker para visualizar funções vinculadas dinamicamente, Resource Hacker
para visualizar os recursos do malware e PEview e FileAlyzer para
examinar os cabeçalhos e as seções dos arquivos . Essas
ferramentas são usadas para análises básicas de malware para
tentar determinar o tipo de malware e sua função sem executar o malware.
Ferramentas Básicas de Análise de Malware
Para sua conveniência, forneceremos um link de download para as ferramentas, para que você possa preparar sua caixa de ferramentas de análise de malware para os próximos tutoriais. Os programas aqui apresentados serão: PEiD, Dependency Walker, Resource Hacker, PEview e FileAlyzer.
PEiD
PEiD é um programa usado para detectar empacotadores, cryptors e compiladores comuns. Os criadores de malware geralmente tentam ofuscar seu malware para dificultar a detecção e a análise. A versão atual do PEiD pode detectar mais de 470 assinaturas diferentes em arquivos PE que são carregados de um arquivo txt chamado userdb. O site oficial do PEiD não está mais ativo, mas você pode fazer o download do PEiD usando o seguinte link: PEiD-0.95
Caso você precise substituir o arquivo userdb.txt para adicionar as assinaturas, basta fazer o download aqui.
Dependency Walker
Outra ótima ferramenta básica de análise de malware é o Dependency Walker, sendo distribuída gratuitamente. A ferramenta é utilizada para digitalizar módulos do Windows de 32 e 64 bits (.exe, .dll, .ocx, etc.) e é usada para listar todas as funções importadas e exportadas de um módulo. O Dependency Walker também exibe as dependências do arquivo, o que resultará em um conjunto mínimo de arquivos necessários. O Dependency Walker também exibe informações detalhadas sobre esses arquivos, incluindo o caminho de arquivo, o número da versão, o tipo de máquina, as informações de depuração etc.
Download Dependency Walker 32 bits
Download Dependency Walker 64 bits
Site Oficial
Resource Hacker
O Resource Hacker é um aplicativo gratuito usado para extrair recursos de programas do Windows. O Resource Hacker pode extrair, adicionar e modificar a maioria dos recursos como strings, imagens, menus, diálogos, informação de versões, recursos de manifesto, etc. A versão mais recente do Resource Hacker, que é a versão 4.2.4, foi lançada em julho de 2015.
O Resource Hacker pode ser baixado usando o seguinte link: Resource Hacker
PEview
PEview é um aplicativo gratuito e fácil de usar para navegar pelas informações armazenadas nos cabeçalhos de arquivo do Portable Executable (PE) e as diferentes seções do arquivo. Nos tutoriais a seguir, aprenderemos a ler esses cabeçalhos quando estivermos examinando um malware real.
PEview pode ser baixado usando o seguinte link: PEview.
FileAlyzer
O FileAlyzer também é uma ferramenta gratuita para ler informações armazenadas em cabeçalhos e seções de arquivos PE, mas oferece um pouco mais de recursos e funcionalidades que o PEview. Os ótimos recursos são a guia VirusTotal, que pode ser usada para enviar malware ao VirusTotal para análise e a funcionalidade para descompactar arquivos empacotados do UPX e do PECompact.
FileAlyzer: Download Direto
Site Oficial: FileAlyzer.
Mais ferramentas básicas de análise de malware
É desnecessário dizer que cobrimos apenas uma pequena parte das ferramentas básicas de análise de malware disponíveis. Nos próximos dias, adicionaremos mais ferramentas para você baixar e explorar, portanto, visite este blog para se manter informado sobre as atualizações. Se você tiver alguma dúvida sobre as ferramentas, deixe nos comentários. Informe-nos também quando tiver sugestões para outras ferramentas.
Para sua conveniência, forneceremos um link de download para as ferramentas, para que você possa preparar sua caixa de ferramentas de análise de malware para os próximos tutoriais. Os programas aqui apresentados serão: PEiD, Dependency Walker, Resource Hacker, PEview e FileAlyzer.
PEiD
PEiD é um programa usado para detectar empacotadores, cryptors e compiladores comuns. Os criadores de malware geralmente tentam ofuscar seu malware para dificultar a detecção e a análise. A versão atual do PEiD pode detectar mais de 470 assinaturas diferentes em arquivos PE que são carregados de um arquivo txt chamado userdb. O site oficial do PEiD não está mais ativo, mas você pode fazer o download do PEiD usando o seguinte link: PEiD-0.95
Caso você precise substituir o arquivo userdb.txt para adicionar as assinaturas, basta fazer o download aqui.
Dependency Walker
Outra ótima ferramenta básica de análise de malware é o Dependency Walker, sendo distribuída gratuitamente. A ferramenta é utilizada para digitalizar módulos do Windows de 32 e 64 bits (.exe, .dll, .ocx, etc.) e é usada para listar todas as funções importadas e exportadas de um módulo. O Dependency Walker também exibe as dependências do arquivo, o que resultará em um conjunto mínimo de arquivos necessários. O Dependency Walker também exibe informações detalhadas sobre esses arquivos, incluindo o caminho de arquivo, o número da versão, o tipo de máquina, as informações de depuração etc.
Download Dependency Walker 32 bits
Download Dependency Walker 64 bits
Site Oficial
Resource Hacker
O Resource Hacker é um aplicativo gratuito usado para extrair recursos de programas do Windows. O Resource Hacker pode extrair, adicionar e modificar a maioria dos recursos como strings, imagens, menus, diálogos, informação de versões, recursos de manifesto, etc. A versão mais recente do Resource Hacker, que é a versão 4.2.4, foi lançada em julho de 2015.
O Resource Hacker pode ser baixado usando o seguinte link: Resource Hacker
PEview
PEview é um aplicativo gratuito e fácil de usar para navegar pelas informações armazenadas nos cabeçalhos de arquivo do Portable Executable (PE) e as diferentes seções do arquivo. Nos tutoriais a seguir, aprenderemos a ler esses cabeçalhos quando estivermos examinando um malware real.
PEview pode ser baixado usando o seguinte link: PEview.
FileAlyzer
O FileAlyzer também é uma ferramenta gratuita para ler informações armazenadas em cabeçalhos e seções de arquivos PE, mas oferece um pouco mais de recursos e funcionalidades que o PEview. Os ótimos recursos são a guia VirusTotal, que pode ser usada para enviar malware ao VirusTotal para análise e a funcionalidade para descompactar arquivos empacotados do UPX e do PECompact.
FileAlyzer: Download Direto
Site Oficial: FileAlyzer.
Mais ferramentas básicas de análise de malware
É desnecessário dizer que cobrimos apenas uma pequena parte das ferramentas básicas de análise de malware disponíveis. Nos próximos dias, adicionaremos mais ferramentas para você baixar e explorar, portanto, visite este blog para se manter informado sobre as atualizações. Se você tiver alguma dúvida sobre as ferramentas, deixe nos comentários. Informe-nos também quando tiver sugestões para outras ferramentas.
0 comentários:
Postar um comentário