Hoy os traigo una herramienta prácticamente imprescindible y que se ha quedado en el olvido en esto de el reversing o el análisis de malware...
Sacacorchos es una herramienta desarrollada por Thor & Psymera allá por el 2008 y presentada como una rápida solución ante la extracción de datos de troyanos. Fué presentada principalmente con plugins para Poison Ivy y Bifrost, pero con el paso del tiempo ha acabado olvidada siendo realmente algo básico en cuanto a extracción de datos de forma rápida sin llegar a correr el proceso para determinar más datos.
Lo que hace que la herramienta pueda aguantar el paso de los años y mantenerse actualizada pese a que los creadores ya no la mantengan es la incorporación de un sistema de plugins muy simple y efectivo.
Hace unos meses que estoy preparando una actualización para esta herramienta incorporando Plugins programados en ANSI C para troyanos actuales. Realmente la programación de el plugin es algo que no lleva más de dos/tres horas... sin embargo ver como el troyano almacena los datos es algo que lleva tiempo y que no siempre se consigue(datos encriptados bajo algoritmos con clave, etc)...
Por ejemplo, en este caso tenemos un servidor de Indetectables++... no sabemos ni a donde conecta ni que hace... y tampoco podemos dumpear las conexiones de red que va a crear porque no queremos ejecutarlo...
Hasta ahora no tenías más opción que ejecutarlo... ahora es posible incorporar el plugin a esta increíble herramienta:
Finalmente quedaría así el printeo:
El proyecto original no incorpora este plugin. El plugin Indetectables++ está siendo desarrollado por mi junto con otro Plugin para Coolvibes 1.X!
En próximas actualizaciones iré incorporando plugins para el resto de troyanos como para este por ejemplo.
El plugin es capaz de saber si el ejecutable está packeado con UPX y automáticamente unpackearlo para obtener su configuración. En breve estará disponible el plugin para Coolvibes!
¡Feliz Navidad, pórtense bién! 
6 comentarios:
muy buena tool poison me ha encantado
PD: aki tienes tu comentario marica
buaa poison eres un makina tio la verdad que esta tool me a servido en alguna ocasion y ahora le actualizaste, yo queria preguntarte si se podria descorchar un spy-net o un cibergay ya que son los mas usados un abrazo broter
@bravus:
Un millón de gracias loco! Porsupuesto que se puede ahora mismo estoy con Coolvibes y Xtreme rat, después le toca a spynet!
Un saludo :)
Buuuena máquina! está genial! te hiciste un fiera en C por lo que veo! felicidades! :)
@Germán: Muchas gracias hermano :) Prometo algún que otro plugin a mayores!
Un saludo y feliz navidad ;)
Jjaja exelente herramienta para el que debe estar en el baul siempre y bueno esperando esos plugins saludos poison
Publicar un comentario en la entrada