Análise do Malware
Em alguns casos, quando vamos analisar um programa, pode ser de nosso interesse ver quais importações ele utiliza. Isso pode facilitar muito na hora da análise.
Nesse exemplo, vamos utilizar o Detect-It-Easy para visualizar as importações que o programa utiliza.
Como podemos ver, existem algumas APIs "maliciosas" que o programa importa, Caso você não saiba quais APIs podem ser usadas em malwares, existe um site chamado MalApi.net que pode ajudar:
Então, em casos como esse, podemos simplesmente marcar pontos de interrupção nas APIs que considerarmos necessárias. Neste exemplo, estarei utilizando o API-Monitor:
Após definir os pontos de interrupção neste programa, vamos ver que teremos um ponto de interrupção na API WriteProcessMemory. Então, vamos apenas copiar esse endereço para poder fazer um dump do que foi escrito na memória do processo. Para isso, vamos utilizar o x64dbg:
Após ter feito um dump da memória do que foi escrito, vamos analisar o conteúdo no VirusTotal:
Como podemos ver, conseguimos fazer o dump da memória do programa contendo o malware sem ao menos
executá-lo. Devemos ter em mente que nem sempre conseguiremos identificar quais APIs o programa de fato utiliza,
pois existem muitas técnicas para
ocultar quais APIs o programa utiliza, como neste exemplo em que, ao
tentarmos visualizar as APIs que o programa usa no Detect-It-Easy, não vamos ver nada de muito suspeito:
Agora, se definirmos pontos de interrupção no API-Monitor para algumas APIs, como VirtualAlloc/VirtualProtect, e executarmos o programa, vamos ver que de fato esse programa faz uso dessas APIs:
Mais uma vez, aprendemos algumas maneiras simples de detectar carregadores utilizando ferramentas que podem facilitar muito nosso trabalho.