Análisis estático de binarios con Peframe

Buenas a todos, hace varios meses Marc nos habló de la herramienta peframe (http://www.flu-project.com/peframe-analisis-portable-de-malware.html). Esta utilidad nos permite realizar un análisis estático a un binario para ver rápidamente algunos datos interesantes, como sus hashes, tamaño, fecha de compilación, etc.:

File Name: malware.exe File Size: 214528 bytes Compile Time: 2012-06-15 21:29:40 DLL: False Sections: 3 MD5 hash: 230f7b7bb0640136ccdd932e42842378 SHA-1 hash: 8a1a9ea594f148234f3884c574ababd92270b298 Packer: None Anti Debug: Yes

Peframe se encuentra programado en Python, y podéis descargarlo gratuitamente desde aquí: http://code.google.com/p/peframe/downloads/list

Una de sus funcionalidades más utilizadas es la posibilidad de recuperar las APIs/funciones de las que hace uso el ejecutable que se está analizando. Además, nos permitirá clasificar las funciones que supuestamente (como les gusta decir en cierto canal de televisión) son sospechosas. Para ello tendremos que hacer uso del flag “—suspicious”.

A continuación os presentamos tres análisis realizados con peframe a Putty, a UPX y a Winpcap.

Putty:

 

UPX:

 

Winpcap:

 

Esta herramienta nos será de mucha utilidad a la hora de desarrollar malware, y por supuesto, en nuestras labores anti-malware. La semana que viene lo utilizaremos en nuestra cadena sobre evasión de Antivirus, así que tenedlo a mano

Saludos!

Fuente:http://www.flu-project.com/analisis-estatico-de-binarios-con-peframe.html