En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Análisis de archivos PE (Portable Ejecutable) en busca de Malware.

Los archivos PE pueden contener otros archivos PE empaquetados, de forma que pueden existir archivos PE con malware empaquetados en archivos PE legítimos. Esto hace que un análisis con una herramienta que use una norma estática, no sea capaz de analizar la carga útil. Sucede con los antivirus, algunos archivos ejecutables empaquetados pueden evadir el archivo malicioso que se oculta dentro de ellos.

Esta técnica es detectable con Pev,  un conjunto de herramientas multiplataforma para trabajar con PE (Portable Ejecutable). Su principal objetivo es proporcionar herramientas con muchas funciones para analizar archivos PE y con funciones especificas para detectar y analizar los que tienen malware.

Entre sus características destaca:

  • Con base en la propia biblioteca PE, llamada libpe.
  • Apoyo a la PE32 y PE32+ archivos de 64 bits. 
  • Salida con formato de texto y CSV.
  • Incluye herramientas para convertir RVA desde el fichero offset y viceversa.

Las herramientas que forman Pev son las siguientes:

  • Pesec, para comprobar: características de seguridad de los archivos PE, certificados de extracto y más.
  • Readpe, para analizar: encabezados PE, secciones, las importaciones y exportaciones.
  • Pescan,  detectar las funciones de devolución de llamada TLS, modificación talón DOS, secciones sospechosas…
  • Pedis, desmontar una sección de archivo PE o función con soporte para la sintaxis de Intel y AT & T.
  • Pehash, calcular los hashes de archivos PE.
  • Pepack, detectar si un ejecutable está lleno o no. 
  • Pestr, buscar texto codificado Unicode y cadenas ASCII de forma simultánea en los archivos PE. 
  • Peres, mostrar y extraer los recursos de archivos PE.

Más información y descarga de Pev:
http://pev.sourceforge.net/

Completo manual de instalación y uso de Pev:
http://pev.sourceforge.net/doc/manual/en_us/
Análisis de archivos PE (Portable Ejecutable) en busca de Malware. Análisis de archivos PE (Portable Ejecutable) en busca de Malware. Reviewed by Álvaro Paz on miércoles, julio 16, 2014 Rating: 5
Publicar un comentario
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.