Jump to content
  • Quer saber mais sobre análise de malware? Essas ferramentas podem ajudar


    Bruna Chieco

    A analista de malware polonesa hasherezade atualizou duas de suas ferramentas de engenharia reversa/análise de malware. O PE-Sieve é uma ferramenta que analisa processos, identifica possíveis atividades maliciosas e faz o dump das atividades em questão, tais como Injeção de Processo, Process Hollowing, Hooking, shellcodes, dentre outros patches em memória. Esta ferramenta tem como objetivo ser leve e rodar em um processo de cada vez, mas ainda assim é possível utilizá-la como uma biblioteca e importar suas funções da forma que quiser.

    Veja as principais atualizações realizadas na PE-Sieve:

    • Novo Parâmetro: /refl permite que você procure por process reflection antes de escanear o processo.
    • Suporta escanear arquivos PE que não possuam seções (packeados com o Crinkler, por exemplo) (Issue #46)
    • Permite que o PE-Sieve seja compilado como uma biblioteca estática.
    • Obter o report sobre os hooks mesmo se o dumping dos módulos falhar.

    Além das novas funcionalidades também houve a correção de alguns bugs. Veja o change log completo.

    detected1.thumb.png.a815bc796ea3ff56916ce04fd7c3d2e9.png

     

    Já o hollows_hunter é uma ferramenta que utiliza o PE-Sieve como biblioteca para verificar todos os processos em execução e identificar possíveis patches em memória. Enquanto o PE-Sieve foca na análise unitária dos módulos, o hollows_hunter é a melhor solução para escanear todo o sistema. Entre as principais atualizações realizadas nesta ferramenta estão:

    • Escaneia caves em memória.
    • Correção na opção /mignore (utilizada para filtrar quais módulos não serão escaneados pela ferramenta).

    Acesse o changelog completo.

    E se você curte análise de malware e quer aprender mais sobre o assunto, está rolando o nosso curso AMO – Análise de Malware Online. Já estamos na Aula 08. Dá uma olhada:
     

     

    Edited by Bruna Chieco



    User Feedback

    Recommended Comments



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...