martes, 29 de julio de 2008

oSpy, un monitor de actividad para aplicaciones y procesos

Una notita rápida sobre un artículo de WebSense, en el que se habla del uso de oSpy para la realización de ingeniería inversa de malware.

La gran ventaja de oSpy como monitor es que permite el control selectivo de aplicaciones y procesos, es decir, faculta monitorizar sólo determinadas ejecuciones, y no todo el tráfico de red, como pasa con otros programas tipo Wireshark y compañía.
Esto tiene ventajas significativas, ya que, por ejemplo, el análisis de las peticiones de red específicas en las que incurre una muestra de malware (la bajada del payload de un troyano, el depósito en un FTP de unas credenciales, etc) se simplifica y mucho, ya que en circunstancias normales, en una máquina Windows corren de una manera concurrente muchos procesos, y muchos de ellos pueden, y de hecho tienen, interrelación con Internet (actualizaciones automáticas, envío de información, pings, keepalives, etc), lo que hace que el análisis de comunicaciones pueda ser engorroso y poco productivo, al tener el analista que realizar un desbroce previo para discernir el tráfico que genera el malware del tráfico legítimo de la máquina.

Comentan los chicos de WebSense que oSpy se integra perfectamente con IDA Pro Disassembler, la que viene a ser, probablemente, una de las la herramientas estrella para la realización de análisis de ingeniería inversa de malware, junto a otras ilustres como Ollydbg, Softice o Syser, por poner algunos ejemplos.

oSpy se puede obtener gratuitamente en http://code.google.com/p/ospy/

Herramienta relacionada
- Herramienta Process Monitor for Windows

Visto en en la pagina de Sergio Hernando

Link relacionado:
- Ingeniería inversa de procesos que corren en Windows.

No hay comentarios: