1
00:00:01,670 --> 00:00:04,910
Gracias por acompañarme y bienvenido a esta nueva lección.

2
00:00:08,250 --> 00:00:15,420
Huella de identificación o finger printing significa generar un jallo o valor criptográfico basado en

3
00:00:15,420 --> 00:00:22,170
el contenido del malware AR Algo significa asignarle un valor de tal manera que no puede alterarse el

4
00:00:22,170 --> 00:00:24,180
contenido sin alterar ese valor.

5
00:00:25,350 --> 00:00:28,810
Sirve para identificar inequívocamente una muestra de malware.

6
00:00:30,320 --> 00:00:34,310
Fusi housing sirve para comparar similitudes entre muestras de malware.

7
00:00:34,850 --> 00:00:36,080
Lo veremos más adelante.

8
00:00:39,330 --> 00:00:43,050
Lo primero que vamos a hacer es ejecutar nuestra máquina virtual.

9
00:00:53,940 --> 00:00:56,400
La primera cosa es visitar esta página.

10
00:00:57,120 --> 00:00:59,430
Aquí vamos a atender los calles de nuestro binario.

11
00:01:00,600 --> 00:01:02,720
Tienes el enlace en recursos web.

12
00:01:05,560 --> 00:01:06,940
Vamos a Subiéramos Huan.

13
00:01:20,560 --> 00:01:27,220
Un as puede ser generado por diferentes algoritmos, como MD5 cha 1 o ya 256.

14
00:01:27,640 --> 00:01:29,380
Tenemos todos aquí en esta página.

15
00:01:38,160 --> 00:01:40,680
Estos valores jazzed son nuestros finger printing.

16
00:01:43,280 --> 00:01:47,840
Y por supuesto, podemos obtenerlo también usando las herramientas que hemos estado viendo.

17
00:01:49,910 --> 00:01:50,730
Vamos a abusar P.

18
00:01:50,800 --> 00:01:54,740
Estudio abrámoslo como administrador para generar nuestro finger printing.

19
00:02:03,480 --> 00:02:09,120
Aquí estábamos gustarla vamos a buscar el proyecto de Ramos Huang, que sabemos que es un Rumson Software.

20
00:02:10,140 --> 00:02:11,940
Voy a buscar la carpeta del proyecto.

21
00:02:14,280 --> 00:02:15,720
Para ubicar el ejecutable.

22
00:02:22,530 --> 00:02:23,250
Aquí está.

23
00:02:23,430 --> 00:02:24,210
Voy a abrirla.

24
00:02:27,010 --> 00:02:29,740
Visual Studio hace esta estructura, este es el proyecto.

25
00:02:32,570 --> 00:02:34,250
El ejecutable está en Vinh.

26
00:02:38,370 --> 00:02:45,330
Aquí está, está cargado y podemos ver que el Pez Studio nos genera los tres mismos Galles.

27
00:02:47,350 --> 00:02:51,130
Si comparamos estos con nuestra herramienta en línea, deben ser los mismos.

28
00:02:58,620 --> 00:03:02,150
Mismo contenido, mismos calles o finger printing.

29
00:03:09,950 --> 00:03:11,050
Aquí podemos verlo.

30
00:03:14,010 --> 00:03:18,600
Finalmente, vamos a ver el ADN generado por CFT Explorer.

31
00:03:23,930 --> 00:03:25,940
Mejor tener varias herramientas a la mano.

32
00:03:27,230 --> 00:03:30,740
Hemos hablado del por qué nunca confías en una sola herramienta.

33
00:03:31,900 --> 00:03:34,000
Usar varias de enriquecerá tu análisis?

34
00:03:34,840 --> 00:03:41,770
Ahora quiero hacer una demostración de cómo los gases son únicos y están definitivamente tachados al

35
00:03:41,770 --> 00:03:42,460
contenido.

36
00:03:44,080 --> 00:03:45,490
Usaremos Visual Studio.

37
00:03:46,270 --> 00:03:47,740
No hagas de esta práctica solo.

38
00:03:47,800 --> 00:03:48,760
Mejor observa.

39
00:03:51,120 --> 00:03:53,130
Aquí tenemos Adoramos Huan el proyecto.

40
00:03:53,610 --> 00:03:57,630
Voy a copiar el ejecutable al escritorio y voy a abrir.

41
00:03:57,900 --> 00:04:00,630
Voy a abrirlo en PC Studio para exponer los caches.

42
00:04:21,930 --> 00:04:22,650
Está listo.

43
00:04:28,720 --> 00:04:31,900
Bien, ahora voy a hacer un pequeño cambio en el código de Ramos WAN.

44
00:04:33,350 --> 00:04:35,060
Y veamos qué pasa con las calles.

45
00:04:39,280 --> 00:04:40,660
Voy a añadir una clase.

46
00:04:50,690 --> 00:04:52,700
La voy a nombrar Lilith.

47
00:04:53,660 --> 00:04:54,320
Lilith III.

48
00:05:01,820 --> 00:05:05,660
Y ahora voy a huir el ejecutable de nuevo Bilt.

49
00:05:09,520 --> 00:05:10,180
Ahí vamos.

50
00:05:15,450 --> 00:05:16,140
Está listo.

51
00:05:21,990 --> 00:05:25,920
Ahora voy a abrir el ejecutable que acabo de construir usando Pet Studio.

52
00:05:32,950 --> 00:05:35,080
Bin Debug y aquí está.

53
00:05:37,150 --> 00:05:38,740
Ahora puedo comparar Ashes.

54
00:05:41,270 --> 00:05:46,080
Recuerda a la izquierda tenemos el jazz antes y a la derecha el jazz.

55
00:05:46,190 --> 00:05:52,070
Después de hacer una pequeña modificación en el código, como podemos ver, son totalmente diferentes.

56
00:05:52,070 --> 00:05:55,460
Incluso una pequeña modificación cambia totalmente las calles.

57
00:05:55,820 --> 00:06:01,850
Y de eso se trata la técnica de Finger Printing, identificar un binario inequívocamente por sus calles.

58
00:06:02,720 --> 00:06:04,520
Ahora vamos a hablar de Fusi Walling.

59
00:06:05,210 --> 00:06:07,430
Digamos que ya tienes del jazz de Ramus wan.

60
00:06:08,710 --> 00:06:13,510
Recuerda que un pequeño cambio en el input dará una un hach completamente diferente.

61
00:06:15,270 --> 00:06:20,340
Ahora los ataques pueden añadir una nueva funcionalidad a Ramus Wan y liberar el malware de nuevo.

62
00:06:20,700 --> 00:06:23,160
Digamos que te infectas de nuevo con el mismo malware.

63
00:06:24,740 --> 00:06:27,300
La pregunta es estás infectado con un nuevo malware?

64
00:06:28,550 --> 00:06:32,810
Porque si comparas calles, estos parecen dos completamente diferentes, verdad?

65
00:06:33,200 --> 00:06:38,000
Pero eso no tiene mucho sentido porque es el mismo malware con un pequeño con una pequeña diferencia.

66
00:06:38,870 --> 00:06:43,880
Entonces lo que debemos hacer es comparar estos binarios para ver cuánto se parecen el uno al otro.

67
00:06:44,780 --> 00:06:49,930
Esto es una comparación, Fusi y tenemos una herramienta para eso llamada es es Deep.

68
00:06:52,510 --> 00:06:58,420
Entonces lo que voy a hacer es compilar dos binarios en el 1, haré un pequeño cambio al código fuente

69
00:06:59,710 --> 00:07:02,590
y luego usaremos es deep para compararlos.

70
00:07:08,240 --> 00:07:11,110
Okey, este binario ya está listo, vamos a guardarlo.

71
00:07:22,070 --> 00:07:26,150
Ahora voy a añadir alguna clase al proyecto solo para cambiar el binario un poco.

72
00:07:34,080 --> 00:07:34,630
Listo.

73
00:07:47,660 --> 00:07:52,220
Bien, lo he modificado un poco, ahora vamos a compilarlo y construir nuestro binario.

74
00:08:03,260 --> 00:08:06,680
Ahora tenemos dos binarios, vamos a cambiar el nombre del primero.

75
00:08:21,190 --> 00:08:21,700
Listo.

76
00:08:22,030 --> 00:08:26,300
Ahora voy a copiar los dos binarios en el mismo directorio que nuestra herramienta es.

77
00:08:26,300 --> 00:08:26,890
Es div.

78
00:08:47,850 --> 00:08:49,980
Ese es D.E.P, es una aplicación de consola.

79
00:08:50,130 --> 00:08:51,180
La tengo lista aquí.

80
00:08:55,720 --> 00:08:58,990
Encontrará de estas instrucciones de la documentación de la herramienta.

81
00:09:00,430 --> 00:09:07,870
Como puedes ver, los binarios se parecen en un 55 por ciento, entonces inclusive con un pequeño con

82
00:09:07,870 --> 00:09:09,010
un cambio que se hizo.

83
00:09:09,100 --> 00:09:14,680
La herramienta nos está diciendo que es del mismo malware o al menos pertenece a la misma familia.

84
00:09:17,920 --> 00:09:18,490
Gracias.

85
00:09:18,670 --> 00:09:20,920
Por favor, acompáñame en la siguiente elección.