Me gustaría saber cómo puedo analizar un código php de malware ofuscado. Escuché sobre el arenero de cuco, pero parece demasiado abrumador para esta tarea en particular. Así que decidí ejecutar un cuadro de Vagrant, instalar php-cli, tcpdump, ... ejecutar el código php y buscar conexiones con tcpdump por ejemplo ...
¿Qué harías en tal caso? Me gustaría saber si hay algunas herramientas dedicadas para el análisis específico de malware / backdoor php?
Gracias :)
Si tiene todo el código PHP para la aplicación, puede configurar una máquina virtual LAMP / WAMP y cargarla en una IDE . Puede ejecutarlo y establecer sus puntos de interrupción según sea necesario.
Apague la tarjeta de red e instale y ejecute wireshark en segundo plano. Si lo necesita, puede consultar algunas aplicaciones de DNS spoofing .
Si está muy preocupado, haga todo esto en un hardware dedicado que no esté conectado a ninguna red.
Eso debería ser suficiente para que comiences.
Lea otras preguntas en las etiquetas malware static-analysis php sandbox