Issuu on Google+

Zerowine para análisis de malware Version del software usado en este laboratorio: Zerowine versión 0.0.2 UPDATE http://sourceforge.net/project/showfile ... _id=654858 Requisitos: El sistema donde trabaje fue un Ubuntu 8.04 Hardy. Las cosas que me fueron necesarias además del paquete del source fueron * Tener instalado WINE en su ultima actualización 1.1.13 (synapse ayuda en eso, o desde la web oficial). * Tener python como IDE (Ubuntu lo trae por defecto así que no hay problema), además de eso tener la librería pefile-1.2.10 (para analizar las propiedades del .exe malware) y python-ptrace (para dumpear el proceso) instaladas correctamente. * Otorgarle permisos de ejecución a los archivos .py que se crean tras la instalación de Zerowine. * Configurar el fichero en cgi-bin/config.py con las rutas que vaya a manejar para los archivos. Configurar además el puerto en donde correrá el framework y la IP que le vamos a asignar... y después de unas cosas más lo tenía corriendo. Es un framework tipo anubis por así decirlo: Vista del funcionamiento

Es útil para detectar los métodos ANTI ejecuciones que posee un archivo sin ensuciarse. Ya que WINE no crea una maquina virtual sino que trabaja de otra forma el ejecutable queda expuesto a lo que queramos saber.


Preview tipo de datos obtenidos (Solo algunos que creí importantes resaltar en el análisis)

La colección de ANTI-tricks (Virtual Machine Trick's Detector v0.1 - Joxean Koret) está bastante completa y la base de signatures (firmas de empaquetado) se puede actualizar manualmente como si fuese PeiD... una maravilla. Claro, es aun una plataforma no tan completa, pero seguro se puede mejorar y actualizar. Una buena combinación para un sistema de pruebas de malware sería algo como: Zerowine + sysanalizer desde una sesión de VirtualPC o VMware por ejemplo.


Zerowine para analisis