Analizador de malware de Beenu

Ayer leí en Twitter acerca de un interesante analizador de malware de código abierto hecho en Python por Beenu y que utiliza el PeFile de Ero Carrera.

Las versión 2.9 acaba de salir y sus características incluyen:

1. Análisis de cadenas para el registro, llamadas a la API, comandos IRC, llamadas a DLLs y detección de VM.

2. Muestra las cabeceras del PE con todos los detalles de las secciones, símbolos de exportación e importación, etc.

3. En la distro, puede ejecutar un dump en ascii del ejecutable con múltiples opciones (ver argumento -help).

4. En Windows, puede generar varias secciones de un PE: DOS Header , DOS Stub, PE File Header , Image Optional Header , Section Table , Data Directories , Sections

5. ASCII dump sobre windows

6. Análisis de código (desensamblado)

7. Comprobación de malware online (www.virustotal.com)

8. Comprobación de packers a través de una base de datos

9. Funcionalidad de Tracer que puede ser usada para identificar:

anti-debugging Calls tricks , File system manipulations Calls, Rootkit Hooks, Keyboard Hooks , DEP Setting Change,Network Identification traces,Privilage escalation traces , Hardware Breakpoint traces

10. Permite la creación de firmas de malware

11. Verificación de CRC y Timestamp

12. Entropía basada en escaneos para identificar secciones maliciosas

13. Dump de la memoria de un proceso

14. Análisis dinámico (todavía en una fase inicial) para creación de ficheros

2 comentarios :

  1. Buenas.. muy bueno el blog, pero dejame hacerte una critica constructiva: Donde dice "Las versión 2.9 acaba de salir" hace referencia a la URL http://code.google.com/p/malwareanalyzer/downloads/detail?name=malware_analyser%202.9.zip&can=2&q=, y la misma esta offline. Para poner un link a la descarga de dicha version, hacelo hacia la siguiente URL: http://sourceforge.net/projects/malwareanalyser/files/malware_analyser%202.9.zip/download

    Saludos!

    ResponderEliminar
  2. Gracias por el apunte @pcastagnaro! Ya he corregido el enlace

    ResponderEliminar