A analista de malware polonesa hasherezade atualizou duas de suas ferramentas de engenharia reversa/análise de malware. O PE-Sieve é uma ferramenta que analisa processos, identifica possíveis atividades maliciosas e faz o dump das atividades em questão, tais como Injeção de Processo, Process Hollowing, Hooking, shellcodes, dentre outros patches em memória. Esta ferramenta tem como objetivo ser leve e rodar em um processo de cada vez, mas ainda assim é possível utilizá-la como uma biblioteca e importar suas funções da forma que quiser.
Veja as principais atualizações realizadas na PE-Sieve:
- Novo Parâmetro: /refl permite que você procure por process reflection antes de escanear o processo.
- Suporta escanear arquivos PE que não possuam seções (packeados com o Crinkler, por exemplo) (Issue #46)
- Permite que o PE-Sieve seja compilado como uma biblioteca estática.
- Obter o report sobre os hooks mesmo se o dumping dos módulos falhar.
Além das novas funcionalidades também houve a correção de alguns bugs. Veja o change log completo.
Já o hollows_hunter é uma ferramenta que utiliza o PE-Sieve como biblioteca para verificar todos os processos em execução e identificar possíveis patches em memória. Enquanto o PE-Sieve foca na análise unitária dos módulos, o hollows_hunter é a melhor solução para escanear todo o sistema. Entre as principais atualizações realizadas nesta ferramenta estão:
- Escaneia caves em memória.
- Correção na opção /mignore (utilizada para filtrar quais módulos não serão escaneados pela ferramenta).
Acesse o changelog completo.
E se você curte análise de malware e quer aprender mais sobre o assunto, está rolando o nosso curso AMO – Análise de Malware Online. Já estamos na Aula 08. Dá uma olhada:
Edited by Bruna Chieco
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.