# Análisis estático

# ARCHIVO 1 sample_vg655_25th.exe

### Realice un análisis de los ejecutables proporcionado. Responda las siguientes preguntas y muestre evidencia de los pasos:

### 1. ¿Se encuentran empaquetados los ejecutable? ¿Cómo lo puede determinar? (en caso positivo, desempaquetelos)

 argher    \Documents\uvg\Security_DS\act3\examples  ➜ (  main)   2ms   9:12 PM   
 ⚡arg ❯❯ upx -t sample_vg655_25th.exe 
                       Ultimate Packer for eXecutables
                          Copyright (C) 1996 - 2024
UPX 4.2.2       Markus Oberhumer, Laszlo Molnar & John Reiser    Jan 3rd 2024

upx: sample_vg655_25th.exe: NotPackedException: not packed by UPX

Tested 0 files.

- No esta empaquetado via UPX

In [1]:
import pefile
import capstone

In [2]:
pe = pefile.PE("./examples/sample_vg655_25th.exe")

# Verificar si hay UPX en las secciones
for section in pe.sections:
    print(f"Sección: {section.Name.decode().strip()}")
    print(f"  Tamaño en disco: {section.SizeOfRawData}")
    print(f"  Tamaño en memoria: {section.Misc_VirtualSize}")

    # Detectar UPX
    if b"UPX" in section.Name:
        print("Posible empaquetamiento con UPX detectado.")

# Verificar importaciones sospechosas
if not hasattr(pe, 'DIRECTORY_ENTRY_IMPORT') or len(pe.DIRECTORY_ENTRY_IMPORT) < 5:
    print("Pocas importaciones detectadas. Podría estar empaquetado.")


Sección: .text   
  Tamaño en disco: 28672
  Tamaño en memoria: 27056
Sección: .rdata  
  Tamaño en disco: 24576
  Tamaño en memoria: 24432
Sección: .data   
  Tamaño en disco: 8192
  Tamaño en memoria: 6488
Sección: .rsrc   
  Tamaño en disco: 3448832
  Tamaño en memoria: 3448736
Pocas importaciones detectadas. Podría estar empaquetado.


In [3]:
pe = pefile.PE("./examples/sample_vg655_25th.exe")

entry_point = pe.OPTIONAL_HEADER.AddressOfEntryPoint
image_base = pe.OPTIONAL_HEADER.ImageBase

code_section = None
for section in pe.sections:
    if entry_point >= section.VirtualAddress and entry_point < (section.VirtualAddress + section.Misc_VirtualSize):
        code_section = section
        break

if code_section:
    offset = entry_point - code_section.VirtualAddress
    raw_data = code_section.get_data()[offset:offset+32]  # Leer las primeras 32 bytes
    md = capstone.Cs(capstone.CS_ARCH_X86, capstone.CS_MODE_32)  # Para ejecutables de 32 bits

    print("Código ensamblador en el Entry Point:")
    for i in md.disasm(raw_data, image_base + entry_point):
        print(f"0x{i.address:x}: {i.mnemonic} {i.op_str}")


Código ensamblador en el Entry Point:
0x4077ba: push ebp
0x4077bb: mov ebp, esp
0x4077bd: push -1
0x4077bf: push 0x40d488
0x4077c4: push 0x4076f4
0x4077c9: mov eax, dword ptr fs:[0]
0x4077cf: push eax
0x4077d0: mov dword ptr fs:[0], esp
0x4077d7: sub esp, 0x68


### 2. Muestra una lista de las DLLs y funciones utilizadas. Lea el artículo Descargar artículo "Malware classification based on API calls and behaviour analysis." Compare la tabla 3 contra las funciones de los ejecutables. ¿Hay indicios de algún comportamiento malicioso en base a la comparación? Justifique su respuesta.

Se observaron estas actividades, en base a la tabla 3.

    Process Hollowing: CreateProcessA, GetModuleHandleA, GetProcAddress, VirtualAlloc son funciones clave para inyectar código en otro proceso.
    Drop de archivos desde la sección de recursos: FindResourceA, LoadResource, CreateFileA indican que el ejecutable podría estar extrayendo y escribiendo archivos desde su sección de recursos.
    IAT Hooking: GetModuleHandleA, strcmp, VirtualProtect podrían indicar modificación de la tabla de importaciones para ocultar funciones maliciosas.
    Autodestrucción: GetModuleFileNameA, ExitProcess podrían ser parte de un mecanismo de autodestrucción.

No hay evidencia directa de comunicación en red, pero esto no significa que el malware no tenga otras técnicas para evadir detección.


In [4]:
exe_path = "./examples/sample_vg655_25th.exe"  # Cambia por el nombre real del ejecutable

pe = pefile.PE(exe_path)

print("\nDLLs y funciones importadas:")
for entry in pe.DIRECTORY_ENTRY_IMPORT:
    print(f"\n{entry.dll.decode()}")
    for imp in entry.imports:
        print(f"   └─ {imp.name.decode() if imp.name else 'ORDINAL ' + str(imp.ordinal)}")



DLLs y funciones importadas:

KERNEL32.dll
   └─ GetFileAttributesW
   └─ GetFileSizeEx
   └─ CreateFileA
   └─ InitializeCriticalSection
   └─ DeleteCriticalSection
   └─ ReadFile
   └─ GetFileSize
   └─ WriteFile
   └─ LeaveCriticalSection
   └─ EnterCriticalSection
   └─ SetFileAttributesW
   └─ SetCurrentDirectoryW
   └─ CreateDirectoryW
   └─ GetTempPathW
   └─ GetWindowsDirectoryW
   └─ GetFileAttributesA
   └─ SizeofResource
   └─ LockResource
   └─ LoadResource
   └─ MultiByteToWideChar
   └─ Sleep
   └─ OpenMutexA
   └─ GetFullPathNameA
   └─ CopyFileA
   └─ GetModuleFileNameA
   └─ VirtualAlloc
   └─ VirtualFree
   └─ FreeLibrary
   └─ HeapAlloc
   └─ GetProcessHeap
   └─ GetModuleHandleA
   └─ SetLastError
   └─ VirtualProtect
   └─ IsBadReadPtr
   └─ HeapFree
   └─ SystemTimeToFileTime
   └─ LocalFileTimeToFileTime
   └─ CreateDirectoryA
   └─ GetStartupInfoA
   └─ SetFilePointer
   └─ SetFileTime
   └─ GetComputerNameW
   └─ GetCurrentDirectoryA
   └─ SetCurrentDirectoryA

In [5]:
import datetime

# Extraer timestamp de compilación
timestamp = pe.FILE_HEADER.TimeDateStamp
compilation_date = datetime.datetime.utcfromtimestamp(timestamp)

# Mostrar resultado
print(f"📅 El ejecutable fue compilado el: {compilation_date}")


📅 El ejecutable fue compilado el: 2010-11-20 09:05:05


  compilation_date = datetime.datetime.utcfromtimestamp(timestamp)


### 3. ¿Cuándo fueron compilados los ejecutable?
En este caso, se observa que la fecha de compilacion es igual o mayor a 15 años.

### 4. Obtenga el código ensamblador aplicando ingeniería inversa de ambos ejecutables

In [6]:
entry_point = pe.OPTIONAL_HEADER.AddressOfEntryPoint
image_base = pe.OPTIONAL_HEADER.ImageBase

code_section = None
for section in pe.sections:
    if entry_point >= section.VirtualAddress and entry_point < (section.VirtualAddress + section.Misc_VirtualSize):
        code_section = section
        break

if code_section:
    offset = entry_point - code_section.VirtualAddress
    raw_data = code_section.get_data()[offset:offset+64]  # Leer primeras 64 bytes
    md = capstone.Cs(capstone.CS_ARCH_X86, capstone.CS_MODE_32)  # Cambia a CS_MODE_64 si es 64 bits

    print("\nCódigo ensamblador en el Entry Point:")
    for i in md.disasm(raw_data, image_base + entry_point):
        print(f"0x{i.address:x}: {i.mnemonic} {i.op_str}")



Código ensamblador en el Entry Point:
0x4077ba: push ebp
0x4077bb: mov ebp, esp
0x4077bd: push -1
0x4077bf: push 0x40d488
0x4077c4: push 0x4076f4
0x4077c9: mov eax, dword ptr fs:[0]
0x4077cf: push eax
0x4077d0: mov dword ptr fs:[0], esp
0x4077d7: sub esp, 0x68
0x4077da: push ebx
0x4077db: push esi
0x4077dc: push edi
0x4077dd: mov dword ptr [ebp - 0x18], esp
0x4077e0: xor ebx, ebx
0x4077e2: mov dword ptr [ebp - 4], ebx
0x4077e5: push 2
0x4077e7: call dword ptr [0x4081c4]
0x4077ed: pop ecx
0x4077ee: or dword ptr [0x40f94c], 0xffffffff


# ARCHIVO 2 sample_qwrty_dk2