Analizar Ejecutable En Red?

Iniciado por Vaagish, 26 Septiembre 2014, 01:15 AM

0 Miembros y 1 Visitante están viendo este tema.

Vaagish

Hola!

No estoy seguro si posteo en el Sub-Foro correcto, pero ahi va..

Tengo "a mi disposición" una lan con unas cuantas maquinas, mi intención es: desde una maquina poder enviar un ejecutable a toda la red para que cada una de las maquinas analicen el archivo con un AV (diferente), luego me retornen el resultado del análisis a la pc..

Dicho esto, no se me ocurre bien por donde empezar,, podría hacer un programa y copiarlo en cada maquina, (si es necesario)

Y para rematar, alguien sabe si existe alguna forma de correr el AV sin tenerlo activo todo el tiempo? O sea, que este instalado (o no, de ser posible) y hacer un análisis puntual y volver a cerrarse.. y todo esto sin UI, que el usuario no vea nada del proceso..

Bueno, si hay forma de hacer todo esto seria un lujo para mi.. me ahorraría mucho tiempo..

Saludos!

Eleкtro

#1
Cita de: Vaagish en 26 Septiembre 2014, 01:15 AMY para rematar, alguien sabe si existe alguna forma de correr el AV sin tenerlo activo todo el tiempo? O sea, que este instalado (o no, de ser posible) y hacer un análisis puntual y volver a cerrarse.. y todo esto sin UI, que el usuario no vea nada del proceso.

Existe cierta herramienta alojada en una página que no nombraré porque no se si es una página amiga de elhacker.net, pero ya te digo que son algo 'indetectables' ;), es un multi-scanner con una GUI que como su nombre indica recopila muchos AntiVirus portables para realizar un multi-escaneo, y ahí puedes ver en la configuración de la aplicación las instrucciones que utilizan para llamar a cada antivirus por linea de comandos para realizar el escaneo, y entonces eso sería todo lo que necesitas saber, por no decir que de ahí mismo puedes obtener varios AV portables.

Aquí tienes un enlace externo fuera de esa página: https://code.google.com/p/kims/
( aunque sinceramente, no se si la herramienta seguirá en desarrollo, hace un par de años la última vez que la utilicé  )

Prueba la aplicación bajo tu única responsabilidad, por experiencia sé que los engreidos y colaboradores de esa página que no he mencionado, no son nada de fiar.

Como esa herramienta multi AV scanner conocia otra (y más profesional), cuyo nombre no recuerdo ahora mismo :-/ pero hace unos años también...

En fin, cualquier AV se puede portabilizar después de haberlo instalado con unos mínimos conocimientos, monitorizando las claves de registro que instala, replicando los servicios que instala (en caso de ser necesarios para el funcionamiento del AV) y los archivos que éste expande (a veces llega a ser un proceso tedioso), y cualquier buen AV tiene su versión CLI (Command-Line-Interface) y eso significa que puedes realizar un escaneo de forma 'invisible'.

Por otro lado, en mi opinión creo que para realizar un multi-escaneo lo mejor sería depender de algún servicio online como VirusTotal que estuviese implementado en alguna aplicación como esta: http://securityxploded.com/virus-total-scanner.php, pero commandline, claro... no me viene a la cabeza ninguna aplicación con esa característica ahora mismo (y en el futuro, lo dudo xD).

PD: Espero que la información te haya podido servir de algo.

Saludos.








Vaagish

Genial! Es un buen comienzo.. podría implementar todo eso.. mi idea era en diferentes maquinas, porque no son ni cerca de ser "ultima generación" (tampoco la que uso yo) por eso asignarle a cada pc un análisis, así intentar reducir el tiempo de espera..  :silbar:

CitarEn fin, cualquier AV se puede portabilizar después de haberlo instalado con unos mínimos conocimientos, monitorizando las claves de registro que instala, replicando los servicios que instala (en caso de ser necesarios para el funcionamiento del AV) y los archivos que éste expande (a veces llega a ser un proceso tedioso), y cualquier buen AV tiene su versión CLI (Command-Line-Interface) y eso significa que puedes realizar un escaneo de forma 'invisible'.

Mmm.. eso suena a mucho trabajo.. hay algunos ya portales que me van a servir, los otros los tendré que tener instalados..  :rolleyes:

CitarPor otro lado, en mi opinión creo que para realizar un multi-escaneo lo mejor sería depender de algún servicio online como VirusTotal que estuviese implementado en alguna aplicación como esta: http://securityxploded.com/virus-total-scanner.php, pero commandline, claro... no me viene a la cabeza ninguna aplicación con esa característica ahora mismo (y en el futuro, lo dudo xD).

Eso lo podría hacer en mi maquina, aunque es un análisis de firmas, es un análisis mas..  :D

PD: El código de esa herramienta que nombras me va a servir, me queda resolver el script que envía el ejecutable, y el que lo manda analizar al AV, luego ese script me debería enviar el resultado a mi maquina.. Quizás sea conveniente un programa y no un script.. no?

Gracias Elektro!

Saludos!

Vaagish

#3
Siguiendo este hilo dentro del foro encontré el programa, alojado en el foro también.. sera segura esa descarga??

Citarhttp://foro.elhacker.net/analisis_y_diseno_de_malware/kims_02_escanea_un_archivo_con_12_avs-t112529.0.html

Saludos!

Actualizo! No, el programa no esta mas en el foro.. pero si estuvo, seguro alguien lo uso y no reporto bicho raro..  :silbar:

Eleкtro

#4
Cita de: Vaagish en 26 Septiembre 2014, 20:20 PM
Siguiendo este hilo dentro del foro encontré el programa, alojado en el foro también.. sera segura esa descarga??

Saludos!

Actualizo! No, el programa no esta mas en el foro.. pero si estuvo, seguro alguien lo uso y no reporto bicho raro..  :silbar:

¿Te has fijado en que esa es la versión 0.2, y la de code-google es la 2.0?, 6 años de desarrollo de diferencia entre cada versión...
tú tranquilo, esa APP no está infectada, creo que se puede descargar el source por SVN, pero aun así tenia que dar un aviso general por la gente que son...

Saludos!








Vaagish

Citar¿Te has fijado en que esa es la versión 0.2, y la de code-google es la 2.0?, 6 años de desarrollo de diferencia entre cada versión...
tú tranquilo, esa APP no está infectada, creo que se puede descargar el source por SVN, pero aun así tenia que dar un aviso general por la gente que son...

Mmm.. si, verdad. Al final mas que el code (que ni lo vi) me quede con la idea, arme un programa, pero también van a ser necesarios los scripts..

Gracias! Saludos!

k0pkill3r

#6
no sé.....pero esa opción de scanear un archivo la tienen la mayoría de los av que he probado.......

ahora, bien......que solo escaneen archivos a petición.....hay que configurarlos durante la instalación.........

algo sabrás de éso......

y un script para pedir a varios av (DIFERENTES) éso......un reporte de un archivo....tela.....

estaría bien

p.d. no se te olvide anunciar a cada av que no quieres colaborar....... ;D ;D ;D ;D



hola elektro.....eso de que los av se pueden portabilizar me suena raro...... si mal rollo   ;D ;D........drivers o servicios portables????

pregunto.....


Eleкtro

Cita de: k0pkill3r en 28 Septiembre 2014, 22:55 PM

hola elektro.....eso de que los av se pueden portabilizar me suena raro...... si mal rollo   ;D ;D........drivers o servicios portables????

pregunto.....

Hola

No entiendo exactamente lo que estás preguntándome, ¿porque te suena raro, que ves de raro con los drivers y los servicios del AV?.

Una vez instalado (CUALQUIER software) se puede portabilizar, por portabilizar no me refiero a portabilizar la plataforma (obviamente a eso no me estoy refiriendo y es lo que te pareció extraño) sino a que el software se pueda portar y utilizar en cualquier momento sin requerir una previa instalación del programa (para llevarlo en pendrives por ejemplo),
los drivers que expande un AV existen de forma física así que se pueden copiar (y si es necesario se registran en el SO), las claves de registro que instala se pueden monitorizar y copiar, así como los servicios se pueden monitorizar para replicarlos con la herramienta SC de Microsoft. Esto lo hago todo de forma manual con mis herramientas, pero imagino que las herramientas que intentan facilitar este tipo de tareas como por ejemplo 'VmWare ThinApp' servirán igual de bien.

Saludos.