Análisis de malware

Introducción

EL anális de malware es una práctica que surge de la necesidad de conocer el comportamiento de éste para palicar medidas preventivas y correctivas para sus acciones.

Éste anális puede ser estático o dinámico. Ambos son muy importantes para conocer a profundidad la funcionálidad del malware. Para esto existen varias herramientas que se listarán a continuación

Análisis Dinámico

El Análisis dinámico, consiste en revisar el comportamiento del malware en tiempo de ejecución. Con este fin se utilizan ambientes de prueba llamados sandbox.

Sandbox

Las sandbox son ambientes controlados en los que se revisa el comportamiento de ejecutables además de realizar pruebas para revisar su comportamiento

Análisi Estático

El análisis estático consiste en análizar binarios sin ejecutar el código. Los medios más utilizados son los Hashes de éstos. Se compara el hash de un archivo en una báse de datos que contiene los hashes de malware conocido. Analizán además el tamaño, el nombre y el tipo de archivo. Esta es la técnica utilizada por la mayoria de los antivirus.

Estos ambientes deben de estar aislados de cualquier información que pueda sufrir daños. Deben de tener conectividad a internet ya que la mayoria de malware crea conexiones, pero la conectividad debe de estar limitada. Generalmente se encuentran instalados en máquinas virtuales porque es más facil restaurarla a un punto funcional en caso de que el malware afecte la funcionaldad del sistema y estas son mas fáciles de asilar.

Pueden recibir ejecutables a travéz de procesos automáticos, que es lo más común, pero también puede realizarse el análisis manualmente. Estos análisis requieren bastantes recursos.