IRIS-CERT, Taller de análisis de código malicioso

JT2006 - Granada


El taller de análisis de código malicioso tiene como finalidad presentar diversas herramientas y técnicas que se pueden emplear a la hora de detectar y analizar los "bichos" que suelen infectar los sistemas Windows habitualmente.

A diferencia de los bots y otros códigos maliciosos para equipos Unix , que suelen estar escritos en lenguajes de Scripting como Perl, el código malicioso en Windows suele presentarse en forma de programas ejecutables cifrados con diversas técnicas, para evitar un análisis de estos.

Los asistentes a este taller deberán acudir con un portátil, (pueden acudir con un PC de sobremesa, pero el espacio es reducido), con las siguientes prestaciones:

  • CDROM/DVD
  • Procesador Pentium III o superior a una velocidad de unos 400 Mz o superior.
  • Más de 256 Mb de RAM, un mínimo de 512 Mb es recomendado.
  • 2,5Gb de Disco duro libre

Es posible que el taller se pueda realizar empleando equipos con Procesadores PowerPC con sistema Operativo MacOS , empleando el software "VirtualPC" en vez de VMWARE, pero no se ha podido comprobar. Así mismo para aquellos usuarios que empleen MacOS en la plaforma Intel pueden emplear el programa , parallels.com , que permite emplear máquinas vmware.

Para no perder tiempo en el taller es recomendable que los asistentes al curso instalen el programa VMware Workstation en su versión 5.5 o superior. Es posible obtener una licencia de 30 días en la página WWW de forma gratuita. Se recomienda emplear esta versión (VMWARE Workstation) en vez de la versión gratuita (vmware server o vmware player).

Una vez que se haya instalado el programa vmware y activado la licencia se debe crear una máquina virtual que contenga un sistema operativo Windows XP , 200X, para aquellos usuarios que no dispongan de una licencia de este sistema Operativo, tras registrarse en Microsoft Network , se puede descargar una versión de evaluación de 6 meses del sistema Operativo Windows 2003 server siguiendo las instrucciones que se comentan en Microsoft.com

Es recomendable dimensionar el disco duro de la máquina virtual para dejar libres unas 800Mb de espacio, ya que en el curso se entregará otra imagen de un sistema operativo Linux , así como diversas herramientas y aplicaciones que habrá que instalar en esta imagen.

Las materias que se tratarán en esta sesión serán las siguientes:

  • Captura de bots y gusanos
  • Configuración de un laboratorio virtual
  • Análisis basado en comportamiento
  • Desemsamblado de código