1
00:00:08,760 --> 00:00:15,030
Cadenas o strings son secuencias de caracteres de embebidos en la muestra de malware.

2
00:00:16,590 --> 00:00:20,670
Estos caracteres contienen pistas acerca de las funcionalidades del malware.

3
00:00:21,900 --> 00:00:27,760
Se pueden encontrar nombres de dominio wireless, nombres de archivos APIs, etcétera.

4
00:00:29,040 --> 00:00:32,400
Como siempre, primero vamos a iniciar nuestra máquina virtual.

5
00:00:40,060 --> 00:00:44,170
Ok, vamos a extraer las cadenas de nuestro binario RUMS wan.

6
00:00:47,240 --> 00:00:51,230
La primera herramienta que vamos a usar es FLOSS.

7
00:00:53,940 --> 00:00:59,910
Es más fácil si sólo copiadoras Wang en la carpeta de Floss Floss es una aplicación de consola.

8
00:01:00,000 --> 00:01:01,170
La tengo lista aquí.

9
00:01:03,330 --> 00:01:15,390
En mi caso FLOSS en mi drive c entonces sólo voy a tipear FLOSS 64 espacio ramus 1 punto X.

10
00:01:21,880 --> 00:01:27,640
Lo que estamos viendo es vlogs, obteniendo todas las cadenas de nuestro binario ramus wan, o al menos

11
00:01:27,640 --> 00:01:33,130
las que la herramienta puede obtener este.

12
00:01:34,390 --> 00:01:40,090
Esta cadena que dice This program can not be running 2 mod sale, sale siempre.

13
00:01:41,050 --> 00:01:42,250
Entonces solo ignórala.

14
00:01:45,810 --> 00:01:48,600
Vamos a ver si tenemos alguna cadena de interés por aquí.

15
00:01:54,460 --> 00:01:55,720
Mira lo que tenemos aquí.

16
00:01:55,990 --> 00:02:01,780
Este enlace podría ser un commandant Controles Center, al que el malware se está comunicando.

17
00:02:05,600 --> 00:02:09,200
Aquí tenemos la nota de rescate que este made war está dejando.

18
00:02:19,540 --> 00:02:25,870
Si sigues indagando y buscando, probablemente encontrarás funciones APIs y mucho más.

19
00:02:36,730 --> 00:02:41,710
Ok, y ahora vamos a usar la herramienta de texto, como siempre, vamos a usar más de una herramienta

20
00:02:41,710 --> 00:02:42,490
para hacer esto.

21
00:02:48,060 --> 00:02:49,320
Vamos a abrir bien тех.

22
00:03:01,450 --> 00:03:02,950
Vamos a cargar el binario.

23
00:03:05,580 --> 00:03:06,480
Y ahí vamos.

24
00:03:14,930 --> 00:03:17,300
Para empezar, estas herramientas son suficientes.

25
00:03:20,380 --> 00:03:21,430
Gracias por mirar.

26
00:03:21,610 --> 00:03:23,470
Espero verte en la próxima lección.