análisis de virus informáticos

rodolfo.hernandezbaz

rodolfohbaz@x25.org.mx

Certified White Hat Professional - CEO - www.edu.mx

X. Cyberecurity Conferences - CEO - www.x25.org.mx

SANDBOXES-----------------TIEMPO REAL-----------------

Empresas

-------------------------------Pasos a seguir en un

incidente-------------------------------

3.- Contención

4. Selección de Utilerías

5. Análisis Forense (Técnico) 6. Reporte Oficial

2. Identificación1.- Preparación

-------------------------------UTILERÍAS

-------------------------------DEBUGGERS EDITOR HEXADECIMAL DESENSABLADORESPACKER DETECTOR PATCHER`S

¿COMO LLEGAN AL NUCLEO DE LA PROTECCIÓN?

• A lo retro: Trazar hacia atrás,

Por Predicción: Función del API de Windows esta siendo usada

IMPLEMENTACIÓN

¿COMO LLEGAN AL NUCLEO DE LA PROTECCIÓN?

Por referencia a una cadena conocida (String References)

Implementación: ?

¿COMO LLEGAN AL NUCLEO DE LA PROTECCIÓN?

Por búsqueda de cadenas: Se sospecha que una determinada cadena de caracteres está siendo utilizada y no se encuentra donde debería estar por el método de referencias.

Implementación: Se busca con un editor hexadecimal en el archivo que se sospecha contiene la cadena, o se busca la

cadena en memoria con el SoftIce / OllyDBG.

-------------------------------ANALIZANDO

CASO

PRÁCTICO-------------------------------

rodolfo.hernandezbaz

rodolfohbaz@x25.org.mx

Certified White Hat Professional - CEO - www.ccat.edu.mx

X. Cyberecurity Conferences - CEO - www.x25.org.mx