Ayer leí en Twitter acerca de un interesante analizador de malware de código abierto hecho en Python por Beenu y que utiliza el PeFile de Ero Carrera.Las versión 2.9 acaba de salir y sus características incluyen:
1. Análisis de cadenas para el registro, llamadas a la API, comandos IRC, llamadas a DLLs y detección de VM.
2. Muestra las cabeceras del PE con todos los detalles de las secciones, símbolos de exportación e importación, etc.
3. En la distro, puede ejecutar un dump en ascii del ejecutable con múltiples opciones (ver argumento -help).
4. En Windows, puede generar varias secciones de un PE: DOS Header , DOS Stub, PE File Header , Image Optional Header , Section Table , Data Directories , Sections
5. ASCII dump sobre windows
6. Análisis de código (desensamblado)
7. Comprobación de malware online (www.virustotal.com)
8. Comprobación de packers a través de una base de datos
9. Funcionalidad de Tracer que puede ser usada para identificar:
anti-debugging Calls tricks , File system manipulations Calls, Rootkit Hooks, Keyboard Hooks , DEP Setting Change,Network Identification traces,Privilage escalation traces , Hardware Breakpoint traces
10. Permite la creación de firmas de malware
11. Verificación de CRC y Timestamp
12. Entropía basada en escaneos para identificar secciones maliciosas
13. Dump de la memoria de un proceso
14. Análisis dinámico (todavía en una fase inicial) para creación de ficheros
Buenas.. muy bueno el blog, pero dejame hacerte una critica constructiva: Donde dice "Las versión 2.9 acaba de salir" hace referencia a la URL http://code.google.com/p/malwareanalyzer/downloads/detail?name=malware_analyser%202.9.zip&can=2&q=, y la misma esta offline. Para poner un link a la descarga de dicha version, hacelo hacia la siguiente URL: http://sourceforge.net/projects/malwareanalyser/files/malware_analyser%202.9.zip/download
ResponderEliminarSaludos!
Gracias por el apunte @pcastagnaro! Ya he corregido el enlace
ResponderEliminar