Skip to content

oSpy, un monitor de actividad para aplicaciones y procesos

Publicado por Sergio Hernando el 29 julio 2008

Hola,

Una notita rpida sobre un artculo de WebSense, en el que se habla del uso de oSpy para la realizacin de ingeniera inversa de malware.

La gran ventaja de oSpy como monitor es que permite el control selectivo de aplicaciones y procesos, es decir, faculta monitorizar slo determinadas ejecuciones, y no todo el trfico de red, como pasa con otros programas tipo Wireshark y compaa. Esto tiene ventajas significativas, ya que, por ejemplo, el anlisis de las peticiones de red especficas en las que incurre una muestra de malware (la bajada del payload de un troyano, el depsito en un FTP de unas credenciales, etc) se simplifica y mucho, ya que en circunstancias normales, en una mquina Windows corren de una manera concurrente muchos procesos, y muchos de ellos pueden, y de hecho tienen, interrelacin con Internet (actualizaciones automticas, envo de informacin, pings, keepalives, etc), lo que hace que el anlisis de comunicaciones pueda ser engorroso y poco productivo, al tener el analista que realizar un desbroce previo para discernir el trfico que genera el malware del trfico legtimo de la mquina.

Comentan los chicos de WebSense que oSpy se integra perfectamente con IDA Pro Disassembler, la que viene a ser, probablemente, una de las la herramientas estrella para la realizacin de anlisis de ingeniera inversa de malware, junto a otras ilustres como Ollydbg, Softice o Syser, por poner algunos ejemplos.

oSpy se puede obtener gratutamente en http://code.google.com/p/ospy/

Un saludo,

Be Sociable, Share!

Categoría/s → Malware

Sin comentarios

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS