1 00:00:00,240 --> 00:00:06,930 Hola amigos, bienvenidos a esta clase, donde vamos a continuar analizando el mal lugar en cogestión, 2 00:00:07,650 --> 00:00:16,470 en este caso vaje otra prueba con extensión, punto ex o sea ejecutable, ya que este tipo de madrugar 3 00:00:16,500 --> 00:00:20,980 los ejecutables suelen traer asociada más información todavía. 4 00:00:21,480 --> 00:00:28,290 Permítanme voy a cerrar esto y vamos a empezar de cero en los dos tipos de análisis que vamos a hacer 5 00:00:28,290 --> 00:00:32,430 en este caso que valga el comentario. 6 00:00:32,520 --> 00:00:33,930 Es interesante saberlo. 7 00:00:34,470 --> 00:00:41,550 Está Estos análisis muchas veces también son muy útiles en la perspectiva de análisis forense. 8 00:00:41,970 --> 00:00:48,960 O sea que justamente podemos recolectar información que nos pueden llegar a dar determinados indicios 9 00:00:49,020 --> 00:00:53,910 que nos permiten llegar a determinadas deducciones en un caso a resolver. 10 00:00:54,510 --> 00:00:59,730 La primera herramienta que vamos a utilizar es la preview donde la vamos a ejecutar o te salvará de 11 00:00:59,730 --> 00:01:00,480 una máquina virtual. 12 00:01:00,570 --> 00:01:04,100 Inmediatamente nos pide que elijamos el archivo. 13 00:01:04,110 --> 00:01:07,530 En este caso ya nos marca en forma predeterminada a ejecutar. 14 00:01:07,560 --> 00:01:14,610 Yo voy a poner todos porque en mi caso no tiene extensión y eso ya sé que es el ejecutable. 15 00:01:15,240 --> 00:01:17,040 Fíjense la diferencia. 16 00:01:17,100 --> 00:01:21,750 Es más, se los voy a mostrar entre la diferencia entre el ejecutable y el punto RAR. 17 00:01:22,590 --> 00:01:29,760 Miren, si yo acá es poderosamente resumida la cantidad de información que podemos llegar a acceder, 18 00:01:29,970 --> 00:01:34,680 porque justamente las propias propiedades del archivo comprimido. 19 00:01:35,190 --> 00:01:41,700 En cambio, cuando lo hacemos directamente sobre el archivo ejecutables en cuestión es que vemos en 20 00:01:41,700 --> 00:01:47,490 realidad muchísima más información que podemos obtener. 21 00:01:47,520 --> 00:01:50,100 Lo cual, fíjense qué interesante. 22 00:01:51,640 --> 00:01:57,130 Lo cual nos abre un abanico de posibilidades al momento de hacer análisis. 23 00:01:57,640 --> 00:02:01,290 Pero qué es lo que a nosotros nos interesa? 24 00:02:01,300 --> 00:02:05,050 Se encuentra cuenta del sección Punto y data en este caso? 25 00:02:05,560 --> 00:02:14,950 Fíjense que no podemos llegar a observar los archivos, los DLL, que son los archivos a través de los 26 00:02:14,950 --> 00:02:17,550 cuales en este caso el malware va a funcionar. 27 00:02:17,920 --> 00:02:20,980 En algunos casos va a enviar la información. 28 00:02:21,440 --> 00:02:31,630 El archivo kernel 32 puntos DLL es un archivo caracteristico dll de este tipo de los tipos de malware. 29 00:02:32,290 --> 00:02:35,980 Los invito en su defecto, si quieren saber un poquito más de información no pueden googlear, van a 30 00:02:35,980 --> 00:02:37,720 encontrar bastante información. 31 00:02:37,720 --> 00:02:46,510 Así podemos seguir viendo información sumamente interesante que nos puede llegar a llevar a algún indicio. 32 00:02:46,510 --> 00:02:52,960 De hecho, inclusive más adelante vamos a estar viendo tecno grafía donde fíjense cómo inclusive nosotros 33 00:02:52,960 --> 00:02:59,080 podríamos enviar información oculta y la podríamos visualizar de esta manera. 34 00:02:59,140 --> 00:03:02,860 Pero eso es un soltero más adelante en el curso. 35 00:03:03,400 --> 00:03:05,020 Bien, fíjense que en este caso. 36 00:03:05,050 --> 00:03:11,650 Bueno, hemos recolectado una información importante conocer los DLL y también tenemos otra forma de 37 00:03:11,650 --> 00:03:13,900 ver más información a través de Vim tex. 38 00:03:13,960 --> 00:03:22,270 En este caso donde yo directamente puedo arrastrar el archivo berlo acá está cargando. 39 00:03:22,270 --> 00:03:27,820 Y fíjense que tenemos bastante información, no tanto al principio, sino que vamos al final. 40 00:03:28,180 --> 00:03:37,510 Fíjense que empezamos a ver datos que no pueden llegar a llamar la atención o a raíz de la reconexión 41 00:03:37,510 --> 00:03:42,690 de diferente información o evidencia podemos llegar a determinadas conclusiones. 42 00:03:42,700 --> 00:03:45,790 Fíjense que acá me están marcando los meses del año. 43 00:03:46,360 --> 00:03:54,130 Bueno, vemos más roleado, ustedes pueden explorar cuanto quieran e indagar y ver qué información uno 44 00:03:54,130 --> 00:04:00,580 puede llegar a conseguir donde claramente cuando lo Welker nada práctica en la vida real. 45 00:04:01,090 --> 00:04:05,080 El valor que le van a dar a la información va a cambiar significativamente. 46 00:04:05,440 --> 00:04:07,750 Seguramente ni quizás lo están viendo. 47 00:04:07,750 --> 00:04:10,090 ME-O chico por la resolución de la pantalla. 48 00:04:10,090 --> 00:04:16,330 Sepan que acá abajo a la derecha está el sabe donde yo puedo guardarlo en un texte esto lo voy a cerrar 49 00:04:16,420 --> 00:04:20,170 a captar txt y lo podemos ver acá. 50 00:04:21,280 --> 00:04:27,160 Vamos a ver si en formato fuente lo podemos hacer un poco más grande, ven? 51 00:04:28,000 --> 00:04:30,600 Y de esa manera no quedamos tan ciegos. 52 00:04:30,640 --> 00:04:37,390 Fíjense, ven acá nos está devolviendo un mensaje de error right format. 53 00:04:38,080 --> 00:04:44,050 En este caso, dependiendo el virus o el malware en cuestión, pueden llegar a obtener información bastante 54 00:04:44,050 --> 00:04:52,540 interesante y significativa en relación a la investigación o saber el comportamiento del malware. 55 00:04:53,080 --> 00:04:59,350 Muchas veces cuando estamos hablando de un Ransome huer o no lo dice textualmente, o podemos ver que 56 00:04:59,680 --> 00:05:04,510 marca rutas o dice incrustación, etcétera. 57 00:05:05,290 --> 00:05:07,840 Bueno amigos, espero que les haya gustado la clase. 58 00:05:07,870 --> 00:05:09,610 Les dejo un abrazo digital.