El otro amigo mío me envió un rootkit / código que encontró en un servidor que fue explotado (php cgi exploit).
Ahora estaba pensando en echarle un vistazo, pero me preguntaba si hay algunos pasos básicos a seguir para analizar estas cosas.
No estoy hablando de cosas obvias, como usar una caja de arena que no está conectada a la red. Pero más sobre cómo realizar un análisis detallado paso a paso y cómo se documenta normalmente.
Como parte de un desafío CTF que ejecuté, tuvimos algunos problemas de ingeniería inversa el año pasado. Publiqué algunos consejos sobre cómo realizar el análisis (verificado por personas que lo hacen a diario). La publicación del blog es aquí . Los enlaces apuntan a tutoriales para IDA y OllyDbg, dos de las herramientas más populares para tal análisis y hay un buen artículo de uno de los proveedores de AV. Desde la memoria los tutoriales fueron paso a paso.
También hay algunos videos de análisis de rootkit en enlace .
En primer lugar, un programa basado en php / cgi podría no ser un rootkit: los rootkits generalmente se asocian con un malware que se oculta en un kernel, no solo en un malwares.
Si está seguro de que es un rootkit, tiene dos opciones:
A diferencia de los malwares normales, la instrumentación binaria o la depuración de rootkits es mucho más difícil, ya que se ejecutan en el mismo nivel de seguridad que el resto del kernel y tiene que adjuntar un depurador al kernel. Puede elegir utilizar KGDB , por ejemplo.
El análisis fuera de línea es muy parecido a la ingeniería inversa de otros malwares, pero teniendo en cuenta el hecho de que los códigos son relativos al kernel, etc. Las cosas pueden ser mucho más complejas. Para esto, la AIF ya ha sido mencionada. Esta es una herramienta estándar de la industria para tales cosas.
En realidad, el proceso no es tan diferente de un malwares normal.