WEBVTT 00:01.070 --> 00:02.470 Hola y bienvenidos de nuevo. 00:02.480 --> 00:08.390 En este vídeo, vamos a analizar nuestro archivo desempaquetado volcado utilizando Ghidra. 00:09.110 --> 00:11.270 Empecemos con Ghidra. 00:12.290 --> 00:16.460 Busca Ghidra y enciéndelo. 00:24.930 --> 00:25.950 Cerremos esto. 00:27.000 --> 00:32.180 Crearemos un nuevo proyecto: Archivo > Nuevo proyecto, No compartido. 00:32.190 --> 00:36.750 Haga clic en Siguiente y navegue hasta el directorio del proyecto en el escritorio. 00:44.470 --> 00:46.390 Bien, usaremos este. 00:49.380 --> 00:55.200 Y le damos un nombre: malware_sample_4. 00:58.810 --> 01:11.170 A continuación, arrastraremos el malware volcado a la carpeta para importarlo. 01:15.100 --> 01:21.760 Ghidra lo ha identificado correctamente como un ejecutable PE, x86, 32 bits. 01:22.360 --> 01:23.230 Haga clic en Aceptar. 01:35.040 --> 01:35.460 De acuerdo. 01:35.460 --> 01:37.820 Ha importado el archivo. 01:37.830 --> 01:38.580 Ahora haz clic 01:38.580 --> 01:39.270 en Aceptar. 01:43.210 --> 01:44.290 De acuerdo. Como dice 01:46.240 --> 01:48.370 aquí, Ghidra se está inicializando. 01:48.790 --> 01:51.580 Y ahora vamos a empezar el análisis. 01:51.580 --> 01:55.540 Así que sólo tenemos que arrastrar el archivo al CodeBrowser 01:55.540 --> 01:57.940 para iniciar el análisis. 01:58.420 --> 02:02.380 Nos pregunta si queremos analizar. Sí. 02:05.480 --> 02:07.790 Y aquí hay una lista de analizadores. 02:09.520 --> 02:12.430 Así que asegúrese de que el ID de parámetro del descompilador está marcado. 02:15.780 --> 02:19.010 Desplácese hacia abajo y compruebe en Windows x86 PE Exception 02:19.350 --> 02:20.010 Handling. 02:22.020 --> 02:23.940 Y para la PDB, no hace 02:24.870 --> 02:25.920 falta. 02:27.060 --> 02:28.110 Haga clic en Analizar 02:30.720 --> 02:35.520 y, a continuación, observe el progreso en la esquina inferior derecha. 02:35.940 --> 02:40.500 Esto llevará unos minutos, así que pondré el vídeo en pausa y volveré cuando haya terminado. 02:44.520 --> 02:50.370 Finalmente, al cabo de unos minutos, Ghidra ha terminado el análisis. 02:52.180 --> 02:58.000 Echemos un vistazo al punto de entrada y a las funciones. 02:58.010 --> 03:04.390 Así que si quieres una forma más rápida, puedes ir a Exportaciones y buscar la función de entrada. 03:04.390 --> 03:09.370 Así que haga doble clic en este y usted va directamente al punto de entrada. 03:10.930 --> 03:15.640 Y ahora ves aquí el punto de entrada. 03:16.180 --> 03:25.420 Tiene __security_init_cookie, que se encuentra comúnmente en los programas PE de Windows, seguido de un salto. 03:26.770 --> 03:37.930 Así que si nos fijamos en la función de entrada aquí, desplácese hacia abajo, y aquí abajo verá wwincmdln, que parece 03:39.450 --> 03:48.270 una función de variable de entorno, y poco después de que usted consigue esta función en el desplazamiento 03:48.780 --> 03:51.990 FUN_0041efc0. 03:52.440 --> 03:55.110 Luego, poco después, tienes una salida. 03:55.290 --> 04:00.960 Así que esta podría ser la firma para WinMain. 04:01.470 --> 04:05.340 Y sabemos que es un programa GUI por análisis anteriores, 04:05.340 --> 04:08.850 así que tiene una firma específica. 04:08.850 --> 04:14.190 Podemos abrir MSDN y echar un vistazo a la firma WinMain. 04:14.820 --> 04:26.220 Así que vamos a abrir el navegador y nos dirigimos a MSDN para la firma WinMain. Escriba "MSDN WinMain. Y echa un vistazo a este segundo 04:30.340 --> 04:33.250 resultado. 04:33.580 --> 04:35.950 Y esta es la firma WinMain. 04:36.280 --> 04:38.350 Así que podemos copiar esto. 04:42.710 --> 04:43.370 Recibido. 04:43.880 --> 04:48.560 No copies el punto y coma, y luego vuelve a Ghidra. 04:50.240 --> 04:56.150 Y luego este, podemos hacer doble clic para entrar en la función. 04:57.410 --> 05:00.710 Así que ahora podemos editar la firma. 05:02.840 --> 05:04.700 Hagámoslo ahora. 05:06.620 --> 05:07.310 Haga clic con el botón 05:07.670 --> 05:09.320 derecho del ratón, Editar firma de función. 05:10.280 --> 05:10.760 Este. 05:10.760 --> 05:17.600 Así que lo pegamos aquí y luego quitamos el prefijo WINAPI aquí. 05:19.280 --> 05:20.600 Y, a continuación, haga clic 05:20.600 --> 05:21.170 en Aceptar. 05:24.910 --> 05:29.710 Ahora, para esto, tenemos que especificar LPSTR, puntero 05:30.400 --> 05:33.790 a cadena, cadena de Windows. 05:34.450 --> 05:37.570 Y actualizará la firma en consecuencia, como puedes 05:37.840 --> 05:38.560 ver. 05:38.560 --> 05:39.880 Así que este es el WinMain. 05:40.150 --> 05:45.030 Así que cada programa GUI en Windows tendrá un WinMain, y puedes ver que esta es 05:45.040 --> 05:50.530 la función WinMain donde todos los programas de Windows comenzarán a ejecutarse. 05:52.120 --> 05:55.000 Y aquí hay un montón de funciones interesantes. 05:55.630 --> 06:02.350 DeleteFile, GetVersion, etc. Así que puedes pasar mucho tiempo analizando este código descomprimido. 06:02.710 --> 06:04.060 CreateThread aquí. 06:04.630 --> 06:11.020 Así que este malware está creando hilos adicionales, y así sucesivamente. 06:12.580 --> 06:12.910 De acuerdo. 06:12.910 --> 06:15.100 Así que te dejo el análisis a ti. 06:15.370 --> 06:26.720 Así que el objetivo de esta sección era mostrarle cómo detectar los empaquetadores personalizados y luego cómo encontrar la memoria 06:26.720 --> 06:29.060 correcta para volcar. 06:29.900 --> 06:34.040 Ahora también sabes cómo abrirlo e identificar el WinMain. 06:35.090 --> 06:42.980 Así pues, hemos llegado al final de esta sección, y os dejo que hagáis vuestro propio análisis con 06:42.980 --> 06:43.790 Ghidra. 06:44.360 --> 06:46.100 Así que gracias por vernos.