Ir para conteúdo
  • Quer saber mais sobre análise de malware? Essas ferramentas podem ajudar


    Bruna Chieco

    A analista de malware polonesa hasherezade atualizou duas de suas ferramentas de engenharia reversa/análise de malware. O PE-Sieve é uma ferramenta que analisa processos, identifica possíveis atividades maliciosas e faz o dump das atividades em questão, tais como Injeção de Processo, Process Hollowing, Hooking, shellcodes, dentre outros patches em memória. Esta ferramenta tem como objetivo ser leve e rodar em um processo de cada vez, mas ainda assim é possível utilizá-la como uma biblioteca e importar suas funções da forma que quiser.

    Veja as principais atualizações realizadas na PE-Sieve:

    • Novo Parâmetro: /refl permite que você procure por process reflection antes de escanear o processo.
    • Suporta escanear arquivos PE que não possuam seções (packeados com o Crinkler, por exemplo) (Issue #46)
    • Permite que o PE-Sieve seja compilado como uma biblioteca estática.
    • Obter o report sobre os hooks mesmo se o dumping dos módulos falhar.

    Além das novas funcionalidades também houve a correção de alguns bugs. Veja o change log completo.

    detected1.thumb.png.a815bc796ea3ff56916ce04fd7c3d2e9.png

     

    Já o hollows_hunter é uma ferramenta que utiliza o PE-Sieve como biblioteca para verificar todos os processos em execução e identificar possíveis patches em memória. Enquanto o PE-Sieve foca na análise unitária dos módulos, o hollows_hunter é a melhor solução para escanear todo o sistema. Entre as principais atualizações realizadas nesta ferramenta estão:

    • Escaneia caves em memória.
    • Correção na opção /mignore (utilizada para filtrar quais módulos não serão escaneados pela ferramenta).

    Acesse o changelog completo.

    E se você curte análise de malware e quer aprender mais sobre o assunto, está rolando o nosso curso AMO – Análise de Malware Online. Já estamos na Aula 08. Dá uma olhada:
     

     

    Editado por Bruna Chieco


    Feedback do Usuário

    Comentários Recomendados



    Participe da conversa

    Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

    Visitante
    Adicionar um comentário...

    ×   Você colou conteúdo com formatação.   Remover formatação

      Apenas 75 emojis são permitidos.

    ×   Seu link foi automaticamente incorporado.   Mostrar como link

    ×   Seu conteúdo anterior foi restaurado.   Limpar o editor

    ×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.


×
×
  • Criar Novo...