Para los analistas de seguridad o los que se introducen en el mundo de limpiar computadoras siempre es importante tener sus herramientas para analizar el malware, bueno, hoy traigo un kit tools para analizar malware desde una USB. Son herramientas de seguridad desde observación de procesos hasta el análisis de tráfico de paquetes en redes, la mayoría son herramientas de Windows.
Estas herramientas son las que más destacan sobre el kit de Sysinternals Suite. La suite de Sysinternals es imprescindible en casi cualquier tarea de administración, reparación, pero también en materia de malware.
Autoruns: Esta herramienta permite ver de manera muy clara que programas se inician con el sistema. Permite además realizar snapshots. Esto nos sirve porque, imaginad que estamos en una empresa y hay dos máquinas iguales. Con Autoruns podríamos hacer uns snapshot de la máquina limpia, otro snapshot de la máquina infectada y poder comparar los resultados.
.jpg)
Uso
Simplemente ejecute Autoruns y le mostrará las aplicaciones de inicio automático configuradas actualmente, así como la lista completa de ubicaciones del Registro y sistema de archivos disponibles para la configuración de inicio automático. Las ubicaciones de inicio automático que muestra Autoruns incluyen entradas de inicio de sesión, complementos del Explorador, complementos de Internet Explorer que incluyen objetos del ayudante del explorador (BHO), DLL de Appinit, apropiaciones de imágenes, imágenes de ejecución de inicialización, DLL de notificación de Winlogon, Servicios de Windows y proveedores de servicio por capas Winsock. Cambie las fichas para ver los inicios automáticos de categorías diferentes.
Para ver las propiedades de un archivo ejecutable configurado para ejecutarse automáticamente, selecciónelo y utilice el elemento de menú Properties o el botón de la barra de herramientas. Si Process Explorer está en ejecución y hay un proceso activo que ejecuta el archivo ejecutable seleccionado, el elemento de menú Process Explorer del menú Entryabrirá el cuadro de diálogo de propiedades del proceso que ejecuta la imagen seleccionada.
Diríjase a la ubicación del Registro o el sistema de archivos que se muestra o a la configuración de un elemento de inicio automático seleccionando el elemento y usando el elemento de menú Jump o el botón de la barra de herramientas.
Para deshabilitar una entrada de inicio automático, desactive su casilla de verificación. Para eliminar una entrada de configuración de inicio automático, use el elemento de menú Delete o el botón de la barra de herramientas.
Seleccione entradas en el menú User para ver imágenes de inicio automático para cuentas de usuario diferentes.
Hay disponible más información sobre las opciones de visualización e información adicional en la ayuda en línea.
Sintaxis de Autorunsc
Autorunsc es la versión de línea de comandos de Autoruns. Su sintaxis es:
Uso: autorunsc [-a] | [-c] [-b] [-d] [-e] [-h] [-i] [-l] [-m] [-n] [-p] [-r][-s] [-v] [-w] [user]
-a Muestra todas las entradas.
-b Inicia la ejecución.
-c Imprime el resultado como CSV.
-d DLL de Appinit.
-e Complementos del Explorador.
-h Apropiaciones de imágenes.
-i Complementos de Internet Explorer.
-l Inicios de sesión (valor predeterminado).
-m Oculta las entradas de Microsoft firmadas.
-n Proveedores de protocolo Winsock.
-p Controladores de monitor de impresora.
-r Proveedores de LSA.
-s Servicios de inicio automáticos y controladores no deshabilitados.
-t Tareas programadas.
-v Comprueba firmas digitales.
-w Entradas de Winlogon.
user Inicios automáticos de volcado para la cuenta de usuario especificada.
Portmon: Esta herramienta nos permitirá ver de manera detallada la actividad en puertos serie y paralelo.
.gif)
Supervisión remota: Captura el resultado del depurador en Win32 o modo núcleo de cualquier equipo accesible mediante TCP/IP, incluso por Internet. Puede supervisar varios equipos remotos simultáneamente. Portmon instalará aún su software cliente si lo ejecuta en un sistema Windows NT/2K y está capturando de otro sistema Windows NT/2K en el mismo entorno de red.
- Listas de filtros más recientes: Portmon se ha ampliado con capacidades eficaces de filtrado y recuerda las selecciones de filtro más recientes, con una interfaz que hace sencillo seleccionarlos de nuevo.
- Copia en el Portapapeles: selecciona varias líneas en la ventana de resultados y copia su contenido en el Portapapeles.
- Resaltado: resalta el resultado del depurador que coincida con el filtro de resaltado e incluso personaliza los colores de resaltado.
- Registro en archivo: escribe el resultado del depurador en un archivo a la vez que se captura.
- Impresión: imprime todo o parte del resultado del depurador capturado en una impresora.
- Carga de un archivo:Portmon ahora se implementa como un archivo.
Process Explorer: Este programa nos permite ver MUY detalladamente los procesos abiertos en el sistema.
Además nos permite ver que archivos tiene abiertos que procesos. Si los procesos están iniciados con soporte para DEP o ALSR. Y de manera gráfica procesos padre e hijos. Muy recomendable, la verdad.
.jpg)
La pantalla de Process Explorer incluye dos subventanas. La ventana superior siempre muestra una lista de los procesos activos, incluidos los nombres de sus cuentas de propiedad; mientras que la información mostrada en la ventana inferior depende del modo en que se encuentre Process Explorer: si está en modo de identificador, verá los identificadores que ha abierto el proceso seleccionado en la ventana superior; si Process Explorer está en modo de DLL, verá los archivos DLL y los asignados en memoria que el proceso ha cargado. Process Explorer también tiene una eficaz capacidad de búsqueda que le mostrará rápidamente los procesos que hayan abierto ciertos identificadores o cargado determinados archivos DLL.
Las capacidades únicas de Process Explorer lo convierten en una útil herramienta para la localización de problemas de versión de DLL o pérdidas de identificadores, y ofrece detalles internos acerca del funcionamiento de Windows y las aplicaciones.
La siguiente parte se pondrán más herramientas de malware. Comenten si les gustó el post.
Entradas
0 comentarios:
Publicar un comentario