Skip to content

Análisis de malware: Zerowine

Publicado por Sergio Hernando el 21 enero 2009

Buenas,

Para interesados en el análisis de malware: Offensive Computing comenta en portada que se ha liberado una nueva versión de Zerowine.

Zerowine es una herramienta para realizar volcados de malware (que posteriormente pueden ser empleados en otros productos usuales para el análisis, como IDA y similares), que además permite la detección de patrones antidepurado y de detección de ejecución en máquinas virtuales. Las operaciones de volcado se realizan mediante python-ptrace, un depurador que emplea ptrace (syscall de productos derivados de UNIX para rastrear procesos)

Zerowine se distribuye como una máquina virtual QEmu, aunque puede ser convertida a otros formatos al uso. El código fuente está igualmente disponible. El producto emplea dos cuentas predefinidas para funcionar: root/zerowine y malware/malware.

Al tratarse de una imagen QEmu, es posible su ejecución desde distintos entornos. A los que usáis Linux/derivados UNIX no hará falta explicaros nada, pero los fieles a Windows no temáis. QEmu se puede ejecutar perfectamente en Windows, y siempre se puede convertir la imagen QEmu en una VMware. Si queréis usar Zerowine en Windows, estos son los pasos que hay que seguir. El proceso es sencillo, pero no olvidéis que el programa funciona con un interfaz Web, con lo que habrá que tocar la configuración de red de la máquina virtual para permitir NAT al puerto 8000 (el que usa por defecto)

Zerowine es obra de Joxean Koret, al que felicito desde estas líneas por sus muchas aportaciones de calidad al mundo de la seguridad.

Un saludo,

Be Sociable, Share!

Categoría/s → Malware

Un comentario
  1. 21 enero 2009

    Pues muchas gracias :)

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS