Sólo diré algunos puntos a tomar en cuenta al momento de analizar un archivo:
1) En este caso ya que es un programa que contiene modulos/plugins con funcionabilidades no es posible hacer un analisis concreto con servicios de Sandbox en internet que aceptan un solo archivo. Como una posible solución a esto, uno puede programar una especie de Loader que contenga todos los archivos que serán cargados al momento de ejecutar y extraer de si el ejecutable(s) y los modulos. Sí, Elektro consideró el punto 1, mirar punto 2.
2) En este caso ya que es una aplicación con interface botones y demás controles, no es posible saber con exactitud con simpemente ejecutar y esperar, se debe ejecutar todas las funcionabilidades que tenga la aplicación al usar los controles. En el caso del Loader que mencione en el punto 1, tambien es posible enviar mensajes a los controles de la aplicación desde el Loader para ejecutar las funcionabilidades, enviar todos los mensajes posibles incluso algunos como WM_MOUSEMOVE que podría ser usado para detectar si realmente está siendo usada por un usuario o manipulada por algun otro programa, hay muchisimos mensajes.
3) Servicios de Sandbox como Anubis son extremadamente faciles de detectar, solo en el caso de Anubis es posible detectarlo por medio de información del hardware, procesos, modulos o una combinación de ellos, este punto incluye Maquinas Virtuales y programas como Process monitor ( Por medio de nombre de clases de ventana, controles, etc ) de esta manera es posible que al detectar este tipo de herramientas un programa puede ocultar sus acciones maliciosas y no mostrar algún comportamiento extraño.
4) Las aplicaciones puede tener funciones que se ejecutarán en un futuro, algunos les llaman bombas logicas: por ahora no muestran ningun comportamiento extraño pero luego quien sabe.
5) La única manera de saber con exactitud todas las acciones de una aplicación es teniendo el código fuente o haciendo un analisis muy extenso usando tecnologia avanzada para analisis como un Hipervisor, estoy actualmente terminando uno espero tenerlo en unos meses.
6) Podría listar más puntos, creo que mi punto acerca de esto quedo claro.
Quiero aclarar que yo nunca dije que el programa era maliciosos, no, no estoy huyendo de lo que yo dije, sino que alguien me cite el texto donde especificamente dije que el programa era malicioso/infectado incluyendo todos los Posts que engel lex me borro de los temas.
1) En este caso ya que es un programa que contiene modulos/plugins con funcionabilidades no es posible hacer un analisis concreto con servicios de Sandbox en internet que aceptan un solo archivo. Como una posible solución a esto, uno puede programar una especie de Loader que contenga todos los archivos que serán cargados al momento de ejecutar y extraer de si el ejecutable(s) y los modulos. Sí, Elektro consideró el punto 1, mirar punto 2.
2) En este caso ya que es una aplicación con interface botones y demás controles, no es posible saber con exactitud con simpemente ejecutar y esperar, se debe ejecutar todas las funcionabilidades que tenga la aplicación al usar los controles. En el caso del Loader que mencione en el punto 1, tambien es posible enviar mensajes a los controles de la aplicación desde el Loader para ejecutar las funcionabilidades, enviar todos los mensajes posibles incluso algunos como WM_MOUSEMOVE que podría ser usado para detectar si realmente está siendo usada por un usuario o manipulada por algun otro programa, hay muchisimos mensajes.
3) Servicios de Sandbox como Anubis son extremadamente faciles de detectar, solo en el caso de Anubis es posible detectarlo por medio de información del hardware, procesos, modulos o una combinación de ellos, este punto incluye Maquinas Virtuales y programas como Process monitor ( Por medio de nombre de clases de ventana, controles, etc ) de esta manera es posible que al detectar este tipo de herramientas un programa puede ocultar sus acciones maliciosas y no mostrar algún comportamiento extraño.
4) Las aplicaciones puede tener funciones que se ejecutarán en un futuro, algunos les llaman bombas logicas: por ahora no muestran ningun comportamiento extraño pero luego quien sabe.
5) La única manera de saber con exactitud todas las acciones de una aplicación es teniendo el código fuente o haciendo un analisis muy extenso usando tecnologia avanzada para analisis como un Hipervisor, estoy actualmente terminando uno espero tenerlo en unos meses.
6) Podría listar más puntos, creo que mi punto acerca de esto quedo claro.
Quiero aclarar que yo nunca dije que el programa era maliciosos, no, no estoy huyendo de lo que yo dije, sino que alguien me cite el texto donde especificamente dije que el programa era malicioso/infectado incluyendo todos los Posts que engel lex me borro de los temas.