Charla impartida por Pedro Sánchez, en el I Curso de Verano de Informática Forense de la Universidad de A Coruña.

1. Diario de un pederasta Pedro Sánchez Http://conexioninversa.blogspot.com

3. http://conexioninversa.blogspot.com

6. Ayer recordábamos El malware tiene muchas formas

7. Y vimos con volatility que se podía obtener el .EXE

8. Instalación de un laboratorio Los sistemas más conocidos de virtualización: * VMWare * Windows Virtual PC * Microsoft Virtual PC * VirtualBox 1

9. Instala herramientas de análisis de comportamiento. Para ello necesitaremos utilidades que nos muestren/monitoricen: El sistema de ficheros y el registro (Windows): Process Monitor , Capture BAT o alguna otra herramienta que nos muestre que ficheros o partes del registro toca el malware. Los procesos: Process Explorer, Process Hacker , etc. Aquí necesitamos ver como se mueve el proceso en memoria, que proceso/s crea, etc. La red: WireShark, SmartSniff, etc. Esnifar la red por supuesto para controlar que tipo de peticiones hace, protocolo y destino de las mismas. Cambios en el sistema: RegShot . También es deseable hacer una copia del sistema y después de soltar al bicho, comparar el estado de antes y después para ver las diferencias. 2

10. herramientas de análisis de código Ahora viene lo más divertido, ver que demonios hace el software, como funciona, como piensa y que decisiones toma en base a que factores. Desensambladores / depuradores: OllyDbg, IDA Pro, Immunity Debugger , etc. . Volcadores de memoria: LordPE, OllyDump , etc. 3

11. herramientas de análisis online Hacer uso de herramientas disponibles en la red también te puede arrojar mucha luz a tu análisis. * Anubis * CWSandbox * Joebox * Norman Sandbox * ThreatExpert 4

12. CaptureBAT.EXE Suelo emplear:

13. Suelo emplear:

16. Pero...si quieres algo de verdad

24. [email_address]

26. LA TRAMPA