Engenharia reversa básica: análise de malware em ambientes isolados
Análise de malware em ambientes isolados
Pré-requisitos
Conhecimento básico de programação em linguagens como C, C++, Python, etc.
Conhecimento básico de sistemas operacionais (Windows, Linux, macOS)
Conhecimento básico de segurança cibernética (conceitos de malware, vulnerabilidades, etc.)
Ferramentas de análise de malware como OllyDbg, IDA Pro, etc.
Configuração do ambiente de análise
Configuração do sistema operacional
Instale um sistema operacional isolado (por exemplo, Windows 10 em um ambiente virtualizado como VMware ou VirtualBox)
Configure o sistema operacional para não se conectar à Internet
Configure o sistema operacional para que nenhum serviço de rede seja executado
Configuração da ferramenta de análise
Instale uma ferramenta de análise de malware (por exemplo, OllyDbg ou IDA Pro)
Configure a ferramenta para funcionar em modo isolado (por exemplo, sem acesso à Internet)
Configure a ferramenta para ser executada em modo de depuração (por exemplo, com acesso a logs de depuração)
Configuração do ambiente de análise
Crie um ambiente de análise isolado (por exemplo, um contêiner Docker)
Configure o ambiente para rodar em modo isolado (por exemplo, sem acesso à Internet)
Configure o ambiente para ser executado em modo de depuração (por exemplo, com acesso a logs de depuração)
##Análise de malware
Análise de amostra de malware
Obtenha uma amostra de malware (por exemplo, um arquivo executável)
Analise a amostra de malware usando uma ferramenta de análise de malware (por exemplo, OllyDbg ou IDA Pro)
Identifique as características da amostra de malware (por exemplo, seu comportamento, suas vulnerabilidades, etc.)
Análise da estrutura do malware
Analise a estrutura do malware (por exemplo, seu código, suas bibliotecas, etc.)
Identifique vulnerabilidades de malware (por exemplo, seus pontos fracos, etc.)
Identifique as características da estrutura do malware (por exemplo, sua complexidade, seu tamanho, etc.)
Análise de comunicação de malware
Analise a comunicação do malware (por exemplo, suas conexões de Internet, suas mensagens, etc.)
Identifique vulnerabilidades de comunicação de malware (por exemplo, seus pontos fracos, etc.)
Identifique as características de comunicação do malware (por exemplo, sua velocidade, sua complexidade, etc.)
Exemplos de código
Exemplo de código C
c
#include <stdio.h>
int principal() {
printf("Olá mundo!\n");
retornar 0;
}
Exemplo de código Python
píton
imprimir("Olá mundo!")
Exemplo de código no IDA Pro
idapro
; Exemplo de código no IDA Pro
; 00401000 55 empurre ebp
; 00401001 8B CE mov ebp,esp
; 00401003 83 EC 10 sub esp,0x10
; 00401006 B8 00 00 00 00 mov eax,0
; 0040100B E8 00 00 00 00 ligue para 00401010
; 00401010 B8 00 00 00 00 mov eax,0
; 00401015 E9 00 00 00 00 jmp 00401010
; 0040101A 90 nop
Tabela de configuração
| Configurações | Valor | Descrição |
| --- | --- | --- |
| Sistema operacional | Janelas 10 | Sistema operacional isolado |
| Ferramenta de análise | OllyDbg | Ferramenta de análise de malware |
| Ambiente de Análise | Contêiner Docker | Ambiente de análise isolado |
Arquitetura detalhada
Arquitetura do sistema operacional
Sistema operacional isolado (por exemplo, Windows 10)
Configurando o sistema operacional para não se conectar à Internet
Configurando o sistema operacional para que nenhum serviço de rede seja executado
Arquitetura da ferramenta de análise
Ferramenta de análise de malware (por exemplo, OllyDbg)
Configurar a ferramenta para funcionar em modo isolado (por exemplo, sem acesso à Internet)
Configurar a ferramenta para ser executada em modo de depuração (por exemplo, com acesso a logs de depuração)
Arquitetura do Ambiente de Análise
Ambiente de análise isolado (por exemplo, um contêiner Docker)
Configurando o ambiente para rodar em modo isolado (por exemplo, sem acesso à Internet)
Configurar o ambiente para execução em modo de depuração (por exemplo, com acesso a logs de depuração)