El análisis de malware debe realizarse en una máquina virtual, preferiblemente desconectada de Internet. Esto es principalmente para proteger su sistema y evitar que se propague (si el malware tiene esa capacidad). También puede usar instantáneas o, a veces, puede configurar una máquina virtual para nunca mantener el estado. VirtualBox es gratis y hará el trabajo. VMWare Player también es gratis, pero limitado. No permite el uso de instantáneas por desgracia.
Existen varias herramientas para ayudarle con el análisis de malware. Desconectarse de Internet a veces puede impedir que el malware ejecute su código malicioso. Hay un par de herramientas de sandboxing que escucharán en los puertos y responderán a las solicitudes de la red de manera adecuada para obligar al malware a continuar con su operación. El recomendado por Practical Malware Analysis es FakeNet . Con FakeNet puede incluso diseñar respuestas personalizadas para protocolos propietarios y / o puertos no estándar.
Cuckoo Sandbox es una herramienta de código abierto que puede proporcionar informes de análisis sobre el malware durante su operación. Puede rastrear las llamadas al sistema, mantener copias de los archivos creados (incluso si son eliminados más tarde) por el malware y proporcionar volcados de memoria de todo el sistema. Una herramienta muy poderosa.
La mayoría del malware está empaquetado, así que querrás asegurarte de que puedas descomprimir binarios, extraer recursos, etc. UPX es el más común. CFF Explorer es bastante útil para analizar recursos, e incluye una utilidad UPX. Es posible que desee revisar estas 5 herramientas recomendadas por MAMB.
Estas herramientas le darán un gran vistazo a lo que el malware está haciendo en un sistema. Sin embargo, si necesita llegar a los detalles importantes, querrá que su popular IDA Pro . Esto es principalmente para un malware más complicado que no puedes forzar a correr. Algunos malware se iniciarán en subprocesos suspendidos para ejecutarse más tarde. Algunos simplemente saben que no estás conectado a Internet a través de sus propios controles. Así que tendrás que depender del desmontaje para descubrir qué es lo que están tratando de lograr.
Otras herramientas que son útiles, depuradores. Windbg o Ollydbg son las dos más comunes, pero hay muchas opciones. Le permite adjuntar a la pieza de malware mientras se está ejecutando, establecer puntos de interrupción, inspeccionar la memoria, etc.