¿Cómo puedo ver qué archivos, puertos, URL, etc., son utilizados por un ejecutable sospechoso de Windows?
¿Cómo puedo ver qué archivos, puertos, URL, etc., son utilizados por un ejecutable sospechoso de Windows?
Esto depende de lo inteligente que el programador del binario malicioso decida ser.
Si se trata de un simple binario, sugeriría primero descargar Strings para Windows. Es una versión de los programas de Linux del mismo nombre. Se ejecuta e imprime todas las cadenas en un binario. Si el binario no está codificado o empaquetado, debería proporcionarle lo que desea saber. Una vez instalado:
WindowsKey + r
, escribe cmd
y pulsa ENTER
cd <directory/of/binary>
strings <binary_name>.exe
Se imprimirá una gran cantidad de resultados en la pantalla. Puede usar strings <binary_name>.exe > output.txt
para escribirlo en un archivo.
Si el binario está empaquetado o codificado, la forma más fácil de analizar un binario de Windows para estas cosas es mediante una herramienta llamada PE Insider o < a href="http://www.ntcore.com/exsuite.php"> CFF Explorer . PE Insider le permite ver rápidamente los encabezados de Portable Executable, realiza una descompilación rápida y un análisis simple. CFF Explorer le permite decodificar y descomprimir otros recursos dentro del binario.
Los enlaces provistos deberían brindarle suficientes recursos sobre cómo usar esas herramientas. Para obtener más información sobre el análisis de malware, puede consultar Cómo analizar una pieza de malware y Temas que debe saber al analizar el malware .
Puede comenzar enviando su archivo a virustotal o a Sandbox de Cucko
Le proporcionará información sobre su archivo malicioso que puede ser interesante.
Por ejemplo, con una búsqueda en el hash del archivo, puedes encontrar personas que ya hayan revertido el mismo archivo.
Lea otras preguntas en las etiquetas windows static-analysis