SysAnalizer
SysAnalyzer fue creado con la intención de poder ver en tiempo real el comportamiento de los ejecutables, recopilando información
sobre las acciones que realiza en el sistema.
Una vez abierto el Sysanalyzer veremos la siguiente ventana:
En la casilla "Executable" podemos buscar el archivo en el disco, o soltar directamente el ejecutable en el casillero.
En "Options" marcar los tres casilleros:
* Use SniffHit
* Use Api Logger
* Use Directory Watcher
Cuando tengas elegido el ejecutable le damos a Start y empezará a correr el programa.
Podemos ver las acciones que ha hecho el ejecutable en las diferentes pestañas:
Running Processess -> Procesos ejecutandose
Open Ports -> Conexiones creadas, irc, etc
Process Dlls -> Archivos de librerias Dll cargadas o inyectadas
Loaded Drivers -> Drivers cargados o modificados
Reg Monitor -> Claves añadidas o modificadas en el registro
Api Log -> Posible inyección en las API´s Dll
Directory Watch Data -> Archivos creados y borrados durante la instalación
Con la funcion "SniffHit" podemos ver las conexiones establecidas, informado de las ip´s, tipo de servidores, peticiones, etc.
Se pueden exportar los datos a un .txt
Peso: 1,91 MB
S.O: XP (en Vista no arranca el módulo "SniffHit")
Link: http://labs.idefense.com/software/malcode.php
Descarga directa: http://labs.idefense.com/software/download/?downloadID=15
Nota: Recuerda que el analisis se hace ejecutando el programa que quieras probar, NO detiene un programa infectado solo analiza su comportamiento.
Para mas info (en ingles): http://labs.idefense.com/files/labs/releases/previews/SysAnalyzer/