1
00:00:01,580 --> 00:00:02,660
Hola y bienvenidos.

2
00:00:09,690 --> 00:00:16,470
En esta lección vamos a aprender cómo capturar nuestro qué Logger total cuerdos usando Olorun.

3
00:00:18,850 --> 00:00:21,550
No olvides de ejecutar la herramienta como administrador.

4
00:00:25,250 --> 00:00:26,870
Estás de interfaz de ON?

5
00:00:28,690 --> 00:00:33,610
Su característica principal es que nos permite crear una línea base en un sistema limpio.

6
00:00:34,420 --> 00:00:36,460
Vamos a dividir esto en algunos pasos.

7
00:00:37,270 --> 00:00:41,590
Primero asegúrate de que tu máquina virtual está limpia, sin virus.

8
00:00:42,580 --> 00:00:48,850
Como regla general, antes de ejecutar un malware peligroso debería sacar una instantánea del sistema

9
00:00:48,850 --> 00:00:49,840
con VirtualBox.

10
00:00:50,470 --> 00:00:54,170
Si no sabes cómo hacerlo, visita nuestra elección VirtualBox extras.

11
00:00:55,150 --> 00:00:56,950
Aunque esté mal, Warnock es peligroso.

12
00:00:56,960 --> 00:00:59,130
Si deseas, puedo hacerlo como práctica.

13
00:01:05,680 --> 00:01:07,840
Crea un snapshot con algo doron.

14
00:01:11,780 --> 00:01:13,430
Tercero, ejecuta el malware.

15
00:01:16,790 --> 00:01:20,120
Cuarto, crea un nuevo snapshot con autor Ron.

16
00:01:24,830 --> 00:01:28,610
Quinto, compara ambos snapshot y analiza los resultados.

17
00:01:32,990 --> 00:01:33,310
Ok.

18
00:01:33,860 --> 00:01:38,240
En cuanto abres o Doron empieza a escanear el sistema automáticamente.

19
00:01:41,550 --> 00:01:42,750
Dice escaneando.

20
00:01:46,490 --> 00:01:47,450
Vamos a esperar.

21
00:01:49,770 --> 00:01:50,820
Ahora está listo.

22
00:01:53,580 --> 00:01:58,500
Lo siguiente que vamos a hacer es guardar este snapshot o línea base.

23
00:02:09,740 --> 00:02:14,690
Le pongo voice line o línea base y guardamos.

24
00:02:20,190 --> 00:02:21,690
Lo pongo aquí, en el escritorio.

25
00:02:24,150 --> 00:02:26,710
Bien, ahora vamos a hacer esto manualmente.

26
00:02:27,090 --> 00:02:33,000
Solo copia el ejecutable de totales cuerdos en tu carpeta de inicio o starter folder.

27
00:02:34,520 --> 00:02:37,700
Cómo sabemos esto lo puede hacer un malware, ya lo hemos visto.

28
00:02:37,940 --> 00:02:40,100
Pero vamos a mantener las cosas simples.

29
00:02:40,340 --> 00:02:41,630
Simplemente copiarlo.

30
00:02:42,050 --> 00:02:47,900
Y lo importante es que nos vamos a dar cuenta como Durum nos va a advertir sobre cualquier cambio en

31
00:02:47,900 --> 00:02:48,590
el sistema.

32
00:02:49,220 --> 00:02:50,720
A partir de su línea base.

33
00:02:53,140 --> 00:02:57,450
Bien, vamos a dar e iniciar o durum para tomar un nuevo snapshot.

34
00:03:03,510 --> 00:03:05,040
Empieza a escanear de nuevo.

35
00:03:12,180 --> 00:03:13,170
Y estamos listos.

36
00:03:13,500 --> 00:03:15,750
Ahora vamos a comparar nuestros snapshots.

37
00:03:16,560 --> 00:03:19,200
Vamos a buscar la opción con poder comparar.

38
00:03:22,740 --> 00:03:29,850
Ya seamos clique en nuestra línea base y lo que tenemos aquí es Olorun, diciéndonos que encontré estos

39
00:03:29,850 --> 00:03:35,520
cambios desde nuestro último snapshot en control total fueron 2.

40
00:03:37,500 --> 00:03:39,770
Así que acabamos de capturar este malware.

41
00:03:48,730 --> 00:03:49,540
Continuemos.

42
00:03:49,780 --> 00:03:53,530
Ahora vamos a indagar más en las funcionalidades de totalI where 2.

43
00:03:57,350 --> 00:03:59,930
Lo primero que vamos a hacer es buscar strings.

44
00:04:00,080 --> 00:04:05,030
Vamos a abrir como administrador Piez Studio.

45
00:04:09,070 --> 00:04:12,510
Vamos a cargar nuestro exe total de Wardog.

46
00:04:17,870 --> 00:04:18,520
Ahí vamos.

47
00:04:25,200 --> 00:04:29,640
Tenemos toneladas de información, alguna muy útil, otra no tanto.

48
00:04:31,020 --> 00:04:36,330
Cuando tengas más experiencia sabrás discernir mejor entre lo importante y lo que no es importante.

49
00:04:38,380 --> 00:04:40,720
Ahora estoy interesado en mirar los strings.

50
00:04:49,740 --> 00:04:55,230
Como vemos, Pie Estudio hace una lista negra o blacklist de algunos valores, nos está diciendo que

51
00:04:55,230 --> 00:04:56,670
este valor es sospechoso.

52
00:04:59,260 --> 00:05:01,240
Esta vez no tenemos que buscar mucho.

53
00:05:04,360 --> 00:05:08,420
Esta línea dice Explorer punto texte.

54
00:05:08,500 --> 00:05:09,400
TXT.

55
00:05:10,990 --> 00:05:12,370
También está en la lista negra.

56
00:05:13,480 --> 00:05:20,740
Vemos de este keyboard Stadt y estos hooks pies estudio hace un grant, un gran trabajo haciendo una

57
00:05:20,740 --> 00:05:23,680
lista negra o incluso agrupando los valores.

58
00:05:24,400 --> 00:05:27,920
Joaquín es básicamente interferir en una cadena de eventos.

59
00:05:27,940 --> 00:05:30,760
Esto es típico comportamiento de un Key Logger.

60
00:05:33,250 --> 00:05:37,150
Porque interfiere en los eventos GAAP and keep down del sistema.

61
00:05:43,010 --> 00:05:44,330
Sigo bajando un poco.

62
00:05:46,890 --> 00:05:51,240
Aquí veo Kida, un KIPP y OOK en todas partes.

63
00:05:51,660 --> 00:05:52,950
Veo Keyboard Listener.

64
00:05:56,590 --> 00:05:57,910
Creo que esto es suficiente.

65
00:05:58,330 --> 00:06:00,520
Vamos a chequear el archivo que encontramos.

66
00:06:01,480 --> 00:06:02,740
Tengo la ruta de acceso a.

67
00:06:14,070 --> 00:06:15,660
Aquí está Explorer.

68
00:06:20,210 --> 00:06:22,150
Parecen algunas palabras randoms.

69
00:06:23,120 --> 00:06:24,560
Pero qué sabemos hasta ahora?

70
00:06:26,270 --> 00:06:28,700
Sospechamos que esto podría ser un Key Logger.

71
00:06:31,390 --> 00:06:36,070
Y los que Logger necesitan un log, un archivo log que podría ser éste.

72
00:06:37,750 --> 00:06:43,660
Entonces lo que vamos a hacer es ejecutar el malware y vamos a ver si tiene algún efecto sobre este

73
00:06:43,660 --> 00:06:44,850
archivo Explorer.

74
00:06:51,710 --> 00:06:54,740
Ejecuta tu malware como administrador.

75
00:06:55,070 --> 00:06:59,570
Vamos ahora a tipear algunas cosas de randoms icado aquí en el navegador o donde quieras.

76
00:07:04,740 --> 00:07:06,630
Casas o casas?

77
00:07:11,620 --> 00:07:13,840
Bien, eso es todo, vamos a chequear el archivo.

78
00:07:21,010 --> 00:07:22,300
Y mira lo que tenemos aquí.

79
00:07:22,330 --> 00:07:28,090
Ahora estamos seguros que es un Key Logger y está guardando las pulsaciones de teclas en este archivo

80
00:07:28,090 --> 00:07:29,980
Explorer punto txt.

81
00:07:40,120 --> 00:07:40,750
Gracias.

82
00:07:41,140 --> 00:07:43,060
Espero verlos en la siguiente elección.