Herramientas comúnmente utilizadas en el Análisis de Malware

Este post pretende ser una recopilación de las herramientas comúnmente utilizadas los procedimientos de Análisis de Malware.

Durante el transcurso de los próximos post de análisis de malware haremos uso de todas las herramientas aquí descritas. Además realizaré otro listado de herramientas más avanzadas para dichos análisis.

OllyDbg

OllyDbg es un potente depurador (Debugger) Windows con un motor de ensamblado y desensamblado integrado. Tiene numerosas otras características . Muy útil para parcheado, desensamblado y depuración.

Más información sobre OllyDbg>>

Descargar OllyDbg

IDA Pro

Es un desensamblador y debugger programable e interactivo. IDA Pro permite realizar ingeniería inversa con cualquier tipo de ejecutable o aplicación existente. IDA Pro puede manejar archivos de  consolas y máquinas como Xbox, Playstation, Nintendo, sistemas para Macintosh, PDA. Plataformas, Windows, UNIX, y un sinfín de archivos.

Más información sobre IDA Pro>>

Descargar IDA Pro

PEiD

Detector de más de 600 firmas diferentes de archivos PE (Portable Ejecutable). PEiD detecta compiladores, cifradores, Packers, etc. Cuenta además con una interfaz grafica muy intuitiva que facilita su uso.

Más información sobre PEiD>>

Descargar PEiD

GNU Debugger (GDB)

GDB o GNU Debugger es el depurador estándar para el sistema operativo GNU. Es un depurador portable que se puede utilizar en varias plataformas Unix y funciona para varios lenguajes de programación como C, C++ y Fortran. GDB fue escrito por Richard Stallman en 1988. GDB es software libre distribuido bajo la licencia GPL.

Más información sobre GDB>>

Descargar GDB Linux / Windows

Editor Hexadecimal

Un editor hexadecimal (o editor de archivos binarios) es un tipo de programa de ordenador que permite a un usuario modificar archivos binarios. Los editores hexadecimales fueron diseñados para editar sectores de datos de disquetes o discos duros por lo que a veces se llaman "editores de sectores".

Más Información sobre Editores Hexadecimales>>

Descargar Editores Hexadecimales: Hexplorer - UltraEdit - MadEdit - HxD

Syser

El depurador Syser pretende ser un reemplazo completo de SoftICE. Se ejecuta en las versiones 32-bit de Windows Vista/XP/2003/2000, y soporta SMP, HyperThreading y CPUs multinúcleo.

Más información sobre Syser>>

Descargar Syser

Micrisoft Debugging Tools

Microsoft Debugging Tools 32/64-bit Version es un conjunto de herramientas de depuración, que detecta y permite la corrección de errores en el código fuente de programas, controladores, servicios y el núcleo (kernel) de Windows.

Descargar Microsoft Debugging Tools

Process Explorer

Process Explorer muestra información acerca de los procesos de identificadores y DLL que se han abierto o cargado.

Más información sobre Process Explorer>>

Descargar Process Explorer

Process Monitor

Process Monitor es una herramienta avanzada de supervisión para Windows que muestra en tiempo real el sistema de archivos, el Registro y la actividad de los procesos y subprocesos. Combina las características de dos utilidades heredadas de Sysinternals, Filemon y Regmon, y agrega una amplia lista de mejoras, entre las que se incluyen las siguientes: filtrado rico y no destructivo, completas propiedades de evento como Id. de sesión y nombres de usuario, información de proceso confiable, completas pilas de subprocesos con compatibilidad integrada de símbolos para cada operación, registro simultáneo en un archivo, etc. Sus características, de eficacia única, harán de Process Monitor una utilidad imprescindible en el conjunto de herramientas de solución de problemas de sistema y eliminación de malware.

Más información sobre Process Monitor>>

Descargar Process Monitor

RegMon

Regmon es una utilidad de supervisión del Registro que le mostrará qué aplicaciones tienen acceso al Registro, a qué claves tienen acceso y los datos del Registro que leen y escriben, todo en tiempo real. Esta utilidad avanzada va un paso más allá con respecto a las funciones que las herramientas estáticas de Registro pueden hacer, con objeto de permitirle consultar y conocer exactamente cómo usan los programas el Registro. Con las herramientas estáticas, es posible que pueda ver qué claves y qué valores del Registro cambian. Con Regmon, verá cómo han cambiado los valores y las claves.

Más información sobre RegMon>>

Descargar RegMon

FileMon

FileMon supervisa y muestra la actividad del sistema de archivos de un sistema en tiempo real. Sus capacidades avanzadas la convierten en una herramienta eficaz para explorar el modo de funcionamiento de Windows, ver cómo usan las aplicaciones los archivos y las DLL, o realizar un seguimiento de los problemas de configuraciones de archivos de aplicaciones o del sistema. La característica de marca de hora de Filemon le mostrará con precisión cuándo se produce la apertura, la lectura, la escritura o la eliminación, y la columna de estado ofrecerá los resultados. FileMon es tan fácil de usar que se convertirá en un experto en pocos minutos. Empieza a supervisar cuando se inicia y su ventana de resultados se puede guardar en un archivo para verla sin conexión. Tiene una capacidad de búsqueda completa y, si considera que se está produciendo una sobrecarga de información, sólo tiene que configurar uno o más filtros.

Más información sobre FileMon>>

Descargar FileMon

PortMon

Portmon es una utilidad que supervisa y muestra la actividad de todos los puertos serie y paralelos de un sistema. Cuenta con capacidades avanzadas de filtrado y búsqueda que la convierten en una herramienta eficaz para explorar el modo en que funciona Windows, viendo cómo las aplicaciones usan los puertos o localizando los problemas de las configuraciones del sistema o las aplicaciones.

Más información sobre PortMon>>

Descargar PortMon

Subir