Ir para conteúdo
    • Fernando Mercês

      retoolkit

      Por Fernando Mercês, em Software,

      Montar uma máquina virtual para analisar malware no Windows pode ser bastante demorado devido à quantidade de ferramentas que precisamos baixar e configurar. Mesmo existindo soluções que as baixam automaticamente, a banda de internet necessária pode ser bem grande, já que algums programas possuem muitos gigabytes. Pensando em otimizar este tempo, criamos o retoolkit, um conjunto de ferramentas pré-configurado que você baixa uma vez e usa sempre, em quantas máquinas virtuais quiser.

       
      A lista de ferramentas é grande, por isso criamos uma wiki no respositório do projeto no Github falando sobre cada uma delas, inclusive com exemplos de uso. Além de acelerar o setup de uma VM nova, você pode utilizar o retoolkit simplesmente para conhecer mais sobre algumas ferramentas utilizadas na área. ?

    • Vitor Mob

      maProc

      Por Vitor Mob, em Software,

      maProc é um inspetor de processos para Linux. Com ele é possível inspecionar a memória de um processo, alterá-la, além de controlar o processo em si. O autor do projeto é o @Vitor Mob. ?
      Releases e código-fonte disponíveis no repositório do Github.

    • Leandro Fróes

      manw

      Por Leandro Fróes, em Software,

      Imagina que você tá lá no Linux, macOS ou mesmo no Windows e quer saber quantos são e quais os parâmetros da função, por exemplo, CreatePipe(), da API do Windows. O que você faz? Bom, se estiver num ambiente gráfico, pode buscar na internet, mas no Linux é muito mais rápido usar o man né? Só que o man contém as funções da API do Linux, não do Windows. E agora? Pensando nisso, o @Leandro Fróes implementou o manw. Olha que maravilha:
      > .\manw64.exe createpipe CreatePipe function (namedpipeapi.h) - Win32 apps Exported by: Kernel32.dll Creates an anonymous pipe, and returns handles to the read and write ends of the pipe. BOOL CreatePipe( [out] PHANDLE hReadPipe, [out] PHANDLE hWritePipe, [in, optional] LPSECURITY_ATTRIBUTES lpPipeAttributes, [in] DWORD nSize ); Return value: If the function succeeds, the return value is nonzero.If the function fails, the return value is zero. Source: https://docs.microsoft.com/en-us/windows/win32/api/namedpipeapi/nf-namedpipeapi-createpipe E não para nas funções da API do Windows. É possível buscar uma estrtura por exemplo:
      > .\manw64.exe -s PROCESS_INFORMATION PROCESS_INFORMATION (processthreadsapi.h) - Win32 apps Contains information about a newly created process and its primary thread. It is used with the CreateProcess, CreateProcessAsUser, CreateProcessWithLogonW, or CreateProcessWithTokenW function. typedef struct _PROCESS_INFORMATION { HANDLE hProcess; HANDLE hThread; DWORD dwProcessId; DWORD dwThreadId; } PROCESS_INFORMATION, *PPROCESS_INFORMATION, *LPPROCESS_INFORMATION; Source: https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/ns-processthreadsapi-process_information E tem muito mais. ?
      Código-fonte e releases para vários sistemas operacionais disponíveis no repositório do autor no Github.

    • Vitor Mob

      elfparser-ng

      Por Vitor Mob, em Software,

      A análise de executáveis Linux é uma área em constante crescimento. Pensando nisso, pegamos um projeto que estava sem atualizações há 7 anos chamado elfparser e fizemos nosso próprio fork (um novo projeto que começa com uma cópia idência ao original) com autorização do autor. Chamado de elfparser-ng, o programa abre um arquivo ELF e o disseca, de modo a ser um bom aliado numa primeira análise do binário. O elfparser-ng também emite um score onde tenta inferir se o binário é malicioso ou não. Nossa versão conta com algumas melhorias já:
      Editor hexadecimal. Botão de reset. Abas arrastáveis. Screenshot do elfparser-ng em funcionamento na linha de comando:

      Repositório do projeto no Github: elfparser-ng.

    • Fernando Mercês

      FileGrab

      Por Fernando Mercês, em Software,

      Muitas vezes quando analisando processos suspeitos estes criam arquivos e podem apagá-los depois. Algumas famílias de ransomware chegavam a escrever a chave usada para encriptar os arquivos no disco e depois apagar com o recurso de shredding (substituindo os bytes com zero ou com bytes aleatórios) para evitar a recuperação. Da necessidade de recuperar estes arquivos que "tocam" o filesystem surgiu, em 2014, o FileGrab, um software para monitorar a criação de arquivos no Windows e copiar assim que este for "fechado" (ter todo o seu conteúdo escrito).
      Na monitoração, é possível especificar um padrão de arquivos específicos para monitorar, utilizando a expansão tradicional do Windows (como *.exe) ou expressões regulares:

      Os nomes de arquivos que casarem sofrerão uma ação, se especificada na aba Capture. Esta pode ser a cópia para uma outra pasta, drive de rede ou um servidor FTP:

      O FileGrab é particularmente útil em máquinas virtuais para análise de malware e sandboxes. O código-fonte, assim como binários para Windows estão disponíveis no repositório do Github.

×
×
  • Criar Novo...