SysAnalyzer (analizando el comportamiento de un ejecutable)
SysAnalyzer (analizando el comportamiento de un ejecutable)
por R32 el Miér Feb 17, 2010 3:15 pm
SysAnalyzer fue creado con la intención de poder ver en tiempo real el comportamiento de los ejecutables, recopilando información
sobre las acciones que realiza en el sistema.
Una vez abierto el Sysanalyzer veremos la siguiente ventana:
En la casilla "Executable" podemos buscar el archivo en el disco, o soltar directamente el ejecutable en el casillero.
En "Options" marcar los tres casilleros:
* Use SniffHit
* Use Api Logger
* Use Directory Watcher
Cuando tengas elegido el ejecutable le damos a Start y empezará a correr el programa.
Podemos ver las acciones que ha hecho el ejecutable en las diferentes pestañas:
Running Processess -> Procesos ejecutandose
Open Ports -> Conexiones creadas, irc, etc
Process Dlls -> Archivos de librerias Dll cargadas o inyectadas
Loaded Drivers -> Drivers cargados o modificados
Reg Monitor -> Claves añadidas o modificadas en el registro
Api Log -> Posible inyección en las API´s Dll
Directory Watch Data -> Archivos creados y borrados durante la instalación
Con la funcion "SniffHit" podemos ver las conexiones establecidas, informado de las ip´s, tipo de servidores, peticiones, etc.
Se pueden exportar los datos a un .txt
Peso: 1,91 MB
S.O: XP (en Vista no arranca el módulo "SniffHit")
Link: http://labs.idefense.com/software/malcode.php
Nota: Recuerda que el analisis se hace ejecutando el programa que quieras probar, NO detiene un programa infectado solo analiza su comportamiento.
Para mas info (en ingles): http://labs.idefense.com/files/labs/releases/previews/SysAnalyzer/
sobre las acciones que realiza en el sistema.
Una vez abierto el Sysanalyzer veremos la siguiente ventana:
En la casilla "Executable" podemos buscar el archivo en el disco, o soltar directamente el ejecutable en el casillero.
En "Options" marcar los tres casilleros:
* Use SniffHit
* Use Api Logger
* Use Directory Watcher
Cuando tengas elegido el ejecutable le damos a Start y empezará a correr el programa.
Podemos ver las acciones que ha hecho el ejecutable en las diferentes pestañas:
Running Processess -> Procesos ejecutandose
Open Ports -> Conexiones creadas, irc, etc
Process Dlls -> Archivos de librerias Dll cargadas o inyectadas
Loaded Drivers -> Drivers cargados o modificados
Reg Monitor -> Claves añadidas o modificadas en el registro
Api Log -> Posible inyección en las API´s Dll
Directory Watch Data -> Archivos creados y borrados durante la instalación
Con la funcion "SniffHit" podemos ver las conexiones establecidas, informado de las ip´s, tipo de servidores, peticiones, etc.
Se pueden exportar los datos a un .txt
Peso: 1,91 MB
S.O: XP (en Vista no arranca el módulo "SniffHit")
Link: http://labs.idefense.com/software/malcode.php
Nota: Recuerda que el analisis se hace ejecutando el programa que quieras probar, NO detiene un programa infectado solo analiza su comportamiento.
Para mas info (en ingles): http://labs.idefense.com/files/labs/releases/previews/SysAnalyzer/
Última edición por R32 el Jue Feb 18, 2010 9:47 pm, editado 1 vez
R32- Colaborador
- Posts: 259
Puntos: 584
Reputación: 5
Fecha de inscripción: 03/11/2009
Re: SysAnalyzer (analizando el comportamiento de un ejecutable)
por Skapunky el Miér Feb 17, 2010 3:30 pm
Muy útil la verdad, aunque me quedo con una duda, una vez se analiza un archivo cuando dices que lo ejecuta, lo ejecuta realmente en el ordenador? De ser así si se analiza un virus te infectas automáticamente.
Si solo analiza el comportamiento, sin ejecutarlo en el PC, realmente muy bueno y más rápido que los servicios online existentes.
Si solo analiza el comportamiento, sin ejecutarlo en el PC, realmente muy bueno y más rápido que los servicios online existentes.
Skapunky- Admin
- Posts: 349
Puntos: 570
Reputación: 7
Fecha de inscripción: 16/06/2008
-
Re: SysAnalyzer (analizando el comportamiento de un ejecutable)
por R32 el Miér Feb 17, 2010 4:04 pm
Si, quizás es lo malo que tiene, para hacer pruebas en las que hay posibilidad de infección es mejor ejecutarlo
en máquina virtual, y evitar problemas en el sistema.
Por lo demás me pareció bastante completa la información que extrae, si crea conexiones a otras IP´s, desde que servidores
coje o manda información y alguna cosa mas que aun no se, no llevo mucho utilizandola.
Otra cosa que pude ver desde la pagina oficial es que no funciona bajo Windows 95/ 98/ ME y tampoco pone nada sobre Vista
o 7, de todas formas lo probaré y lo edito en el post.
en máquina virtual, y evitar problemas en el sistema.
Por lo demás me pareció bastante completa la información que extrae, si crea conexiones a otras IP´s, desde que servidores
coje o manda información y alguna cosa mas que aun no se, no llevo mucho utilizandola.
Otra cosa que pude ver desde la pagina oficial es que no funciona bajo Windows 95/ 98/ ME y tampoco pone nada sobre Vista
o 7, de todas formas lo probaré y lo edito en el post.
R32- Colaborador
- Posts: 259
Puntos: 584
Reputación: 5
Fecha de inscripción: 03/11/2009
-
Re: SysAnalyzer (analizando el comportamiento de un ejecutable)
por novlucker el Jue Feb 18, 2010 4:53 am
Lo he usado en reiteradas ocasiones, pero desde dentro de una VM porque como se ha dicho antes, lo ejecutas y te infectas 
Este soft no debe de faltar en "la caja de herramientas"
Saludos
Este soft no debe de faltar en "la caja de herramientas"
Saludos
_________________
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro."
Albert Einstein
novlucker- Colaborador
- Posts: 116
Puntos: 177
Reputación: 2
Fecha de inscripción: 25/09/2008
-
Re: SysAnalyzer (analizando el comportamiento de un ejecutable)
por R32 el Jue Feb 18, 2010 9:51 pm
Hola Novlucker, ¿lo probaste en Windows Vista?, me salta un error.
Estoy mirando a ver si me falta alguna .dll o similar, pero me parece que en vista no funciona, o al menos me
falla el módulo "SniffHit", me salta error en la aplicación.
En la página oficial no pone nada de que funcione con Vista, pero salvo ese módulo funciona sin problemas
Un saludo
Estoy mirando a ver si me falta alguna .dll o similar, pero me parece que en vista no funciona, o al menos me
falla el módulo "SniffHit", me salta error en la aplicación.
En la página oficial no pone nada de que funcione con Vista, pero salvo ese módulo funciona sin problemas
Un saludo
Última edición por R32 el Mar Feb 23, 2010 3:26 pm, editado 1 vez
R32- Colaborador
- Posts: 259
Puntos: 584
Reputación: 5
Fecha de inscripción: 03/11/2009
-
Re: SysAnalyzer (analizando el comportamiento de un ejecutable)
por novlucker el Vie Feb 19, 2010 12:52 am
No, nunca lo he usado en Vista, justamente por eso que digo que de lo meto en máquinas virtuales, y son XP sp2/3, voy a tener que probarlo
Saludos
Saludos
_________________
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro."
Albert Einstein
novlucker- Colaborador
- Posts: 116
Puntos: 177
Reputación: 2
Fecha de inscripción: 25/09/2008
-
Permiso de este foro:
No puedes responder a temas en este foro.