![[artigo] analise basica malware - 1º parte Tumblryy](https://2img.net/r/ihimg/scaled/large/854/tumblryy.png)
Início
![[artigo] analise basica malware - 1º parte QdhdIA2](https://i.imgur.com/qdhdIA2.png)
bom galera nesse artigo vou falar um pouco sobre analise de malware porem nao vou me aprofundar muito nessa area, para começar vamos entender oque é exatamente um malware
o que diabos é um malware
o significado da palavra malware seria software malicioso vindo da concatenação da palavra "MALicius softWARE", um software malicioso pode ser qualquer programa que faça uma coisa indesejada no sistema ou alguma coisa nao autorizada que cause algum prejuizo ou perda para o usuario
tipos de malware
existem varios tipos de malwares embora as pessoas mais leigas só conhece um, é o famoso "VIRUS", essas frases são muito comum "meu pc ta lento deve ser virus" (mentira seu pc ta lento pq vc baixo 38gb de filme porno em um hd 40gb), nao aperta ai nesse link é virus (essa mesma pessoa aperto 5 minutos depois no outro link que tinha uma mulher com as tetas de fora), para esse hack funcionar vc tem q desabilitar o anti virus mais ele nao é virus entao relaxa (verdade nao é virus e trojan), meu antivirus é pago to livre de virus! (se vc ta dizendo quem sou pra questionar), meu pc levanto e violento a impressora é virus? (noooo isso é dorgas !!!), muitas pessoas acha que qualquer espirro que o pc da é um virus e nem sempre isso é verdade, existem dezenas de tipos de malware mais nem todos os malwares sao virus
virus: qualquer programa que faz copia de si mesmo infectando outros programas do mesmo tipo, ou seja ele precisa de um determinado programa para poder disseminar e ele tambem necessita ser executo pelo usuario , uns exemplo virus de macro que usa vba de programa como microsoft word para injetar seu codigo, um virus de arquivo executavel pode adicionar seu codigo virual nos primeiro bytes de um executavel ou modificar o mesmo para ele ser executado primeiro, os virus de boot altera o os primeiros bytes de uma dispositivo como a mbr ou arquivos autorun, existem outros alem desses tipos virus
worms: tambem conhecido como verme é um tipo de malware autonomo que nao precisa de um tipo especifico de arquivo ou execuvel para se disseminar, as vezes ele usa falhas no sistema ou tecnicas para se auto-executar como por exemplo ele esta em determinada pasta do sistema ou com determinado nome
trojan: os trojan ou cavalo de troia são malwares que diz que faz determinada ação na maquina e depois faz mais coisas nao autorizada no sistema, como instalar determinado servidores ou outros tipos de malwares
keylogger: esse malware permite gravar todas as teclas digitada, tambem existem os printlogger (screenlogger) que memoriza onde a vitima aperto ou tira screen em determinado tempo)
rat: essa malware permite controlar o pc da vitima a distancia podendo visualizar o desktop tipo os vnc ou mostrar as pastas e arquivos, deletar mover apagar arquivos, baixar e upar da maquina do invasor para maquina da vitima entre outras coisas
backdoor: esse malware tem um nome meio estranho porta dos fundos (ate parace nome para filme porno sei la kkkk), é uma forma do invasor acessar aquela maquina sem precisar explorar a falha denovo, pode ser um acesso apenas no terminal tipo o netcat, ou um servidor customizado podendo dar varias ferramentas para o invasor
rootkit: são programas que usa determinadas api ou tecnicas para ocultar a sua presença ou consegui determinado privilegio na execução, um exemplo disso é fazer hook ssdt para ocultar o processo ou trava-lo
web shell: as web shell sao scripts (em php na maioria das vezes devido o grande uso do php), que permite visualizar o diretorio do servidor web, baixar e upar arquivo, remover e mover, executar comandos no sistema entre outras coisas
existem outros malwares como rabbit, badcon, dropper (downloader), adware, entre outros
comparando para ver se o arquivo é original
existem muitas formas para saber se o arquivo é orignal uma delas e comparar o tamanho do dois arquivos o original e o falso, se ambos os arquivos tiver a mesma quantidade de bytes é possivel que seja o mesmo arquivo embora isso nem sempre e verdade, para comparar o tamanho dos dois arquivos apertamos botao direito do mouse em cima e vamos em propriedade la voce vai ver tamanho em bytes
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
como eu disse antes é possivel que se o arquivo tiver o mesmo tamanho possa ser o mesmo arquivo, porem isso nem sempre é verdade, quando criamos um arquivo de texto podemos criar outro com o mesmo tamanho porem com o texto totalmente diferente, um executavel e mais dificil fazer isso mais não é impossivel, entao uma forma mais corretar é comparar todos os caracteres em ambos arquivos se um for diferente os arquivos sao diferente, um programa que faz isso para windows é o winmerge ([Tens de ter uma conta e sessão iniciada para poderes visualizar este link]), existem outros como o editor hexadecimal winhex, hex editor neo, diff entre outros
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
um outra forma é ver a hash dos dois arquivos se for igual é o mesmo arquivo, as hash sao algoritimos matematicos que codifica cada caracter retornando um codigo com a mudança de um unico caracter muda toda hash, existem programas como FileAlyzer ou md5sum q checa a hash de arquivos
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
bom galera esse artigo vai ter uma 2º parte ^^
by kõdo no kami
o que diabos é um malware
o significado da palavra malware seria software malicioso vindo da concatenação da palavra "MALicius softWARE", um software malicioso pode ser qualquer programa que faça uma coisa indesejada no sistema ou alguma coisa nao autorizada que cause algum prejuizo ou perda para o usuario
tipos de malware
existem varios tipos de malwares embora as pessoas mais leigas só conhece um, é o famoso "VIRUS", essas frases são muito comum "meu pc ta lento deve ser virus" (mentira seu pc ta lento pq vc baixo 38gb de filme porno em um hd 40gb), nao aperta ai nesse link é virus (essa mesma pessoa aperto 5 minutos depois no outro link que tinha uma mulher com as tetas de fora), para esse hack funcionar vc tem q desabilitar o anti virus mais ele nao é virus entao relaxa (verdade nao é virus e trojan), meu antivirus é pago to livre de virus! (se vc ta dizendo quem sou pra questionar), meu pc levanto e violento a impressora é virus? (noooo isso é dorgas !!!), muitas pessoas acha que qualquer espirro que o pc da é um virus e nem sempre isso é verdade, existem dezenas de tipos de malware mais nem todos os malwares sao virus
virus: qualquer programa que faz copia de si mesmo infectando outros programas do mesmo tipo, ou seja ele precisa de um determinado programa para poder disseminar e ele tambem necessita ser executo pelo usuario , uns exemplo virus de macro que usa vba de programa como microsoft word para injetar seu codigo, um virus de arquivo executavel pode adicionar seu codigo virual nos primeiro bytes de um executavel ou modificar o mesmo para ele ser executado primeiro, os virus de boot altera o os primeiros bytes de uma dispositivo como a mbr ou arquivos autorun, existem outros alem desses tipos virus
worms: tambem conhecido como verme é um tipo de malware autonomo que nao precisa de um tipo especifico de arquivo ou execuvel para se disseminar, as vezes ele usa falhas no sistema ou tecnicas para se auto-executar como por exemplo ele esta em determinada pasta do sistema ou com determinado nome
trojan: os trojan ou cavalo de troia são malwares que diz que faz determinada ação na maquina e depois faz mais coisas nao autorizada no sistema, como instalar determinado servidores ou outros tipos de malwares
keylogger: esse malware permite gravar todas as teclas digitada, tambem existem os printlogger (screenlogger) que memoriza onde a vitima aperto ou tira screen em determinado tempo)
rat: essa malware permite controlar o pc da vitima a distancia podendo visualizar o desktop tipo os vnc ou mostrar as pastas e arquivos, deletar mover apagar arquivos, baixar e upar da maquina do invasor para maquina da vitima entre outras coisas
backdoor: esse malware tem um nome meio estranho porta dos fundos (ate parace nome para filme porno sei la kkkk), é uma forma do invasor acessar aquela maquina sem precisar explorar a falha denovo, pode ser um acesso apenas no terminal tipo o netcat, ou um servidor customizado podendo dar varias ferramentas para o invasor
rootkit: são programas que usa determinadas api ou tecnicas para ocultar a sua presença ou consegui determinado privilegio na execução, um exemplo disso é fazer hook ssdt para ocultar o processo ou trava-lo
web shell: as web shell sao scripts (em php na maioria das vezes devido o grande uso do php), que permite visualizar o diretorio do servidor web, baixar e upar arquivo, remover e mover, executar comandos no sistema entre outras coisas
existem outros malwares como rabbit, badcon, dropper (downloader), adware, entre outros
comparando para ver se o arquivo é original
existem muitas formas para saber se o arquivo é orignal uma delas e comparar o tamanho do dois arquivos o original e o falso, se ambos os arquivos tiver a mesma quantidade de bytes é possivel que seja o mesmo arquivo embora isso nem sempre e verdade, para comparar o tamanho dos dois arquivos apertamos botao direito do mouse em cima e vamos em propriedade la voce vai ver tamanho em bytes
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
como eu disse antes é possivel que se o arquivo tiver o mesmo tamanho possa ser o mesmo arquivo, porem isso nem sempre é verdade, quando criamos um arquivo de texto podemos criar outro com o mesmo tamanho porem com o texto totalmente diferente, um executavel e mais dificil fazer isso mais não é impossivel, entao uma forma mais corretar é comparar todos os caracteres em ambos arquivos se um for diferente os arquivos sao diferente, um programa que faz isso para windows é o winmerge ([Tens de ter uma conta e sessão iniciada para poderes visualizar este link]), existem outros como o editor hexadecimal winhex, hex editor neo, diff entre outros
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
um outra forma é ver a hash dos dois arquivos se for igual é o mesmo arquivo, as hash sao algoritimos matematicos que codifica cada caracter retornando um codigo com a mudança de um unico caracter muda toda hash, existem programas como FileAlyzer ou md5sum q checa a hash de arquivos
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
bom galera esse artigo vai ter uma 2º parte ^^
by kõdo no kami
Última edição por Kodo no Kami em Ter Fev 18, 2014 8:17 pm, editado 1 vez(es)
uso o md5sum quando preciso, podemos levar esse processo de um dos 3 pilares da segurança que e integridade do dados,gerar um hash e importante se esta com duvida de que alguem adulterou no meio do caminho qualquer coisa.
