viernes, 29 de enero de 2016

Analizando malware (analisis estatico teoria)

Continuado con el análisis del malware, iniciaremos con la primer técnica, la cual consiste en analizar el malware sin ejecutarlo, es decir mediante un análisis estático. La siguientes técnicas son utilizadas para efectuar dicho análisis.

  1. Antivirus: Cuando se cuenta con el archivo sospechoso, se puede utilizar un antivirus o un conjunto de antivirus, para estar seguros que el archivo en verdad es malicioso. En internet se encuentra virustotal.com, con el cual disponen de un gran numero de antivirus con el cual puede analizar el malware. Aunque un buen grupo de Antivirus se basan en una base de datos firmas, hay otros que utilizan heuristica, lo cual incrementa la tasa de detección. Aunque esto únicamente nos serviría para confirmar que el archivo sospechoso es en realidad un programa malicioso.   
  2. Hashes: Los hashes permiten detectar un archivo malicioso de forma única, generando una huella digital y  verificar si este malware ya ha sido analizado por alguien mas y detectado.  
  3. Obteniendo las cadenas y encabezados de funciones de un ejecutable: Esta es una técnica bastante útil, en la cual se puede obtener trozos de información del ejecutable que puede resultar bastante relevante, como puede ser nombre del host a donde se conecta el malware nombres de algunas funciones, entre otros que puede aportar.    

Saludos.
Lexer Pars.

No hay comentarios:

Publicar un comentario