Análisis de malware

Componentes internos de Windows para análisis de malware

21 de abril de por Richard Azú

Introducción

Este artículo define los aspectos internos de Windows e ilustra las herramientas que se pueden utilizar para explorar los sistemas internos de Windows. Definiremos el malware y describiremos cómo se pueden analizar comparando los estados del registro. Esto también ayuda a los desarrolladores emprendedores a depurar problemas básicos o complejos.

Este artículo está diseñado para principiantes, estudiantes y profesionales interesados ​​en ingeniería inversa, pruebas de penetración y creación de aplicaciones dentro del entorno Windows.

Partes internas de Windows

Los elementos internos de Windows son el funcionamiento interno, los datos críticos del sistema operativo o la arquitectura del sistema de la arquitectura del sistema operativo Windows. En este artículo, exploraremos brevemente los siguientes componentes básicos del sistema operativo Windows; Interfaz de aplicación de Windows, proceso, registro y subprocesos.

Interfaz de programación de aplicaciones

La interfaz de programación de aplicaciones (API) de Windows es la interfaz de programación del sistema en modo de usuario para la familia de sistemas operativos Windows. La API de Windows es generalmente el conjunto de funciones que utiliza un programa codificado de Windows para solicitar la ejecución de acciones como cerrar una ventana, abrir una nueva ventana o mostrar un mensaje en una pantalla, entre muchas otras aplicaciones. El programa que solicita la ejecución de una acción no necesita saber cómo funciona u opera el hardware subyacente.

La API de Windows permite que los programas escritos por el usuario interactúen con Windows.

Proceso

Es fácil confundir un programa con un proceso, pero son dos cosas completamente diferentes. Mientras que un programa es una secuencia estática de instrucciones, un proceso es un conjunto dinámico de recursos para ejecutar un programa.

La herramienta de exploración de procesos de Sysinternals muestra opciones y funciones avanzadas, en comparación con el administrador de tareas de Windows integrado en los sistemas operativos Windows actuales. A diferencia del administrador de tareas, el explorador de procesos puede rastrear una aplicación hasta el último archivo de biblioteca de vínculos dinámicos (DLL) que está utilizando.

También de la suite Sysinternals se encuentra la herramienta de monitoreo de procesos, que muestra el sistema de archivos, el registro y la actividad de procesos/hilos en tiempo real.

Registro

El registro es una fuente muy útil de elementos internos de Windows. Esto se debe simplemente a que contiene configuraciones clave que afectan el rendimiento y el comportamiento de un sistema.

El registro es una base de datos del sistema que contiene la información necesaria para iniciar y configurar el sistema, los ajustes de software de todo el sistema que controlan el funcionamiento de Windows, la base de datos de seguridad y los ajustes de configuración por usuario. El registro predeterminado de Windows es una herramienta gráfica para almacenar y editar ajustes de configuración de componentes de Windows, dispositivos de hardware instalados y aplicaciones de software.

RegistryChangesView es una herramienta de registro creada por Nirsoft para Windows. Esta es una herramienta que permite a los usuarios tomar una instantánea de la configuración del registro de Windows y luego compararla con otras configuraciones del registro después de que se haya instalado un software o hardware. También se puede utilizar para monitorear los cambios que se han producido en el registro.

Hilos

Un hilo es el segmento dentro de un proceso cuya ejecución se puede programar. Los subprocesos pueden hacer más de una cosa a la vez y pueden ejecutar código de proceso, incluso código que esté ejecutando otro subproceso.

Análisis de malware

Es cierto que la mayoría del malware está escrito para sistemas operativos Windows y el análisis de malware es absolutamente esencial. El malware se puede analizar comparando dos estados del registro de Windows. El primer estado puede ser el estado inicial del sistema operativo antes de que se realicen cambios como la instalación de software o hardware. El segundo estado puede ser una instantánea del registro después de que se hayan producido cambios en el sistema operativo.

La herramienta RegistryChangesView recoge cambios como valor agregado, valor modificado y valores eliminados dentro del registro. Las infecciones de malware se pueden detectar comparando los estados anteriores y actuales del registro de Windows. Y la herramienta RegistryChangesView ayuda a detectar todas las modificaciones en el registro.

Conclusión

Este artículo explica cuatro características clave de las partes internas de Windows y algunas herramientas que se pueden utilizar para explorar este funcionamiento interno de Windows. También hemos visto cómo se puede utilizar la herramienta RegistryChangesView para comparar dos estados del registro de Windows, detectando así cualquier modificación dentro del sistema.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Fuentes

  1. Pavel Yosifovich, “Windows Internals, Parte 1 (Referencia para desarrolladores), séptima edición”, Microsoft Press (15 de mayo de)
  2. Introducción rápida a la API de Windows , Andrew M. Steane (users.physics.ox.ac.uk)
  3. Mark E. Russinovich, “Windows Internals, Part 1 (6.ª edición)”, Microsoft Press (25 de marzo de)
  4. Procesos y subprocesos , Microsoft