7. Y vimos con volatility que se podía obtener el .EXE
8. Instalación de un laboratorio Los sistemas más conocidos de virtualización: * VMWare * Windows Virtual PC * Microsoft Virtual PC * VirtualBox 1
9. Instala herramientas de análisis de comportamiento. Para ello necesitaremos utilidades que nos muestren/monitoricen: El sistema de ficheros y el registro (Windows): Process Monitor , Capture BAT o alguna otra herramienta que nos muestre que ficheros o partes del registro toca el malware. Los procesos: Process Explorer, Process Hacker , etc. Aquí necesitamos ver como se mueve el proceso en memoria, que proceso/s crea, etc. La red: WireShark, SmartSniff, etc. Esnifar la red por supuesto para controlar que tipo de peticiones hace, protocolo y destino de las mismas. Cambios en el sistema: RegShot . También es deseable hacer una copia del sistema y después de soltar al bicho, comparar el estado de antes y después para ver las diferencias. 2
10. herramientas de análisis de código Ahora viene lo más divertido, ver que demonios hace el software, como funciona, como piensa y que decisiones toma en base a que factores. Desensambladores / depuradores: OllyDbg, IDA Pro, Immunity Debugger , etc. . Volcadores de memoria: LordPE, OllyDump , etc. 3
11. herramientas de análisis online Hacer uso de herramientas disponibles en la red también te puede arrojar mucha luz a tu análisis. * Anubis * CWSandbox * Joebox * Norman Sandbox * ThreatExpert 4