Analizador de malware de Beenu

Ayer leí en Twitter acerca de un interesante analizador de malware de código abierto hecho en Python por Beenu y que utiliza el PeFile de Ero Carrera.

Las versión 2.9 acaba de salir y sus características incluyen:

1. Análisis de cadenas para el registro, llamadas a la API, comandos IRC, llamadas a DLLs y detección de VM.

2. Muestra las cabeceras del PE con todos los detalles de las secciones, símbolos de exportación e importación, etc.

3. En la distro, puede ejecutar un dump en ascii del ejecutable con múltiples opciones (ver argumento -help).

4. En Windows, puede generar varias secciones de un PE: DOS Header , DOS Stub, PE File Header , Image Optional Header , Section Table , Data Directories , Sections

5. ASCII dump sobre windows

6. Análisis de código (desensamblado)

7. Comprobación de malware online (www.virustotal.com)

8. Comprobación de packers a través de una base de datos

9. Funcionalidad de Tracer que puede ser usada para identificar:

anti-debugging Calls tricks , File system manipulations Calls, Rootkit Hooks, Keyboard Hooks , DEP Setting Change,Network Identification traces,Privilage escalation traces , Hardware Breakpoint traces

10. Permite la creación de firmas de malware

11. Verificación de CRC y Timestamp

12. Entropía basada en escaneos para identificar secciones maliciosas

13. Dump de la memoria de un proceso

14. Análisis dinámico (todavía en una fase inicial) para creación de ficheros

Comentarios

  1. Buenas.. muy bueno el blog, pero dejame hacerte una critica constructiva: Donde dice "Las versión 2.9 acaba de salir" hace referencia a la URL http://code.google.com/p/malwareanalyzer/downloads/detail?name=malware_analyser%202.9.zip&can=2&q=, y la misma esta offline. Para poner un link a la descarga de dicha version, hacelo hacia la siguiente URL: http://sourceforge.net/projects/malwareanalyser/files/malware_analyser%202.9.zip/download

    Saludos!

    ResponderEliminar
  2. Gracias por el apunte @pcastagnaro! Ya he corregido el enlace

    ResponderEliminar

Publicar un comentario