Jump to content

A analista de malware polonesa hasherezade atualizou duas de suas ferramentas de engenharia reversa/análise de malware. O PE-Sieve é uma ferramenta que analisa processos, identifica possíveis atividades maliciosas e faz o dump das atividades em questão, tais como Injeção de Processo, Process Hollowing, Hooking, shellcodes, dentre outros patches em memória. Esta ferramenta tem como objetivo ser leve e rodar em um processo de cada vez, mas ainda assim é possível utilizá-la como uma biblioteca e importar suas funções da forma que quiser.

Veja as principais atualizações realizadas na PE-Sieve:

  • Novo Parâmetro: /refl permite que você procure por process reflection antes de escanear o processo.
  • Suporta escanear arquivos PE que não possuam seções (packeados com o Crinkler, por exemplo) (Issue #46)
  • Permite que o PE-Sieve seja compilado como uma biblioteca estática.
  • Obter o report sobre os hooks mesmo se o dumping dos módulos falhar.

Além das novas funcionalidades também houve a correção de alguns bugs. Veja o change log completo.

detected1.thumb.png.a815bc796ea3ff56916ce04fd7c3d2e9.png

 

Já o hollows_hunter é uma ferramenta que utiliza o PE-Sieve como biblioteca para verificar todos os processos em execução e identificar possíveis patches em memória. Enquanto o PE-Sieve foca na análise unitária dos módulos, o hollows_hunter é a melhor solução para escanear todo o sistema. Entre as principais atualizações realizadas nesta ferramenta estão:

  • Escaneia caves em memória.
  • Correção na opção /mignore (utilizada para filtrar quais módulos não serão escaneados pela ferramenta).

Acesse o changelog completo.

E se você curte análise de malware e quer aprender mais sobre o assunto, está rolando o nosso curso AMO – Análise de Malware Online. Já estamos na Aula 08. Dá uma olhada:
 

 

Edited by Bruna Chieco

User Feedback

Recommended Comments

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Add a comment...