Existen muchas formas de analizar el malware para algunos esto es un pasatiempo ir analizando bichos para ver que tienen. en un pos anterior les mostraba como descubrir si tu pc esta infectada usando solo herramientas para saber si hacen alguna conexion o deja un autoinicio.
En este caso solo dejare estas herramientas como complemento del primero si encontraste un archivo infectado y quieres revisar que funciones hace estos programas permiten mirar paso a paso los movimientos del malware mas que nada es para comprobar si un ejecutable es de fiar o no. por ejemplo crypter keylogger o algun programa que realmente quieras pero venga con regalo incluido.
Sandboxie version 4.12
Su modo de uso
Es tan sencillo como dar un click derecho y enviar al sandboxie.
Lo pueden descargar desde la pagina oficial
Buster Sandbox Analizer (BSA)
BSA, herramienta diseñada para analizar cambios que ocurren en el sistema, basada en Sandboxie permitiendo ejecutar ficheros en un ambiente controlado.
Una de las Principales caracteristicas es que hace hook a la funcion NtQuerySystemInformation(ssdt Hook)
Descargar
Para configurar esta herremienta requiere que tengas instalado sandboxie ya que tienes que compartir la carpeta. como esta en la image.
igual requiere unas configuraciones extras
Abres sanboxie Configurar> Editar configuracion
se te abrira un archivo de configuracion en un bloc de notas.
Ahora ejecuta el BSA y podras mirar el manual en la pestaña ayuda. incluye un manual de instalacion.
el objetivo seria copiar esas lineas de codigo e irlas colocando en el archivo de configuracion del sandboxie.
Este programa a mi parecer es recomendado. ya que da un reporte de procesos creados y hasta la ip en caso que haya conexiones.
Pare dejar mas clara la configuracion de BSA dejo el siguiente video. no es mio pero va bien explicado.
No hay comentarios:
Publicar un comentario