Módulo 4 – Análisis dinámico

Introducción
Hola, Mi nombre es Gabriela Nicolao. Bienvenidos al módulo 4 del curso Introducción al análisis
de malware en Windows de la Universidad Tecnológica Nacional, Regional Buenos Aires de la
República Argentina.

En este video vamos a ver conceptos generales.

Antes de comenzar a analizar malware dinámicamente, es decir, ejecutarlo y observar su

comportamiento, es necesario conocer algunos conceptos que nos van a ayudar a entender
mejor cómo funciona el sistema operativo y cómo el malware interactúa con éste.

Control de cuentas de usuario o UAC (User Access Control)

El UAC es un componente fundamental en la infraestructura de seguridad de Windows. Su
objetivo principal es evitar que piezas de malware realicen cambios no autorizados en una
computadora. El UAC limita los privilegios de un usuario, convirtiéndose en “usuario estándar”,
y solo una cuenta de administrador puede modificar esos privilegios, autorizando un incremento
o elevación.

Si un programa requiere correr con accesos elevados y el usuario no dispone de la autorización

correspondiente, el sistema operativo mostrará un popup o ventana emergente al usuario para
que el usuario ingrese las credenciales y el programa funcione correctamente.

Durante el análisis, se puede elegir con qué tipo de permisos queremos correr las piezas de
malware y con qué permisos queremos correr las herramientas. Se recomienda que las
herramientas usadas durante el análisis, sean ejecutadas con permisos de administrador para
que funcionen correctamente. Los permisos que le daremos al malware a la hora de ejecutarlo,

www.ciie.utn.edu.ar
dependen de qué queremos emular. Si queremos emular un usuario corporativo, el cual
probablemente no tenga permisos de administrador, entonces no deberemos ejecutar el
malware con permisos de administrador. Sin embargo, si queremos saber cómo funciona el
malware cuando se le dan permisos de administrador, deberemos ejecutarlo con permisos de
administrador. En algunos casos, las piezas de malware se programan para funcionar solamente
con permisos de administrador, por lo cual para entender qué daño realizan en el sistema, es
necesario autorizarlos para que corran como administrador.

Ejecutables de 32 bits y de 64 bits

Antes de ejecutar una pieza de malware, es importante saber si funciona en arquitecturas de 32
o 64 bits. Dependiendo de la arquitectura, los programas tendrán el siguiente comportamiento:

Programa
32 64
Sistema 32 Funciona No funciona
64 Funciona Funciona

Los programas de 32 bits se pueden ejecutar en sistemas con arquitectura de 64 bits, pero hay
que tener en cuenta que, la forma de cargar las librerías o DLLs en este esquema, funciona de
manera diferente a la habitual.

Normalmente, si un programa de 32 bits se ejecuta en un sistema de 32 bits, si el programa

necesita una libraría conocida, el sistema sabe que la tiene que buscar en el siguiente directorio:
Windows\System32. Para saber si es una librería conocida o no, el sistema operativo revisará el
siguiente registro: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs.

Los programas de 32 bits funcionan en sistemas de 64 bits a través de un emulador de 32 bits.

Por esta razón, el sistema operativo necesita una versión diferente de las librerías conocidas
para el sistema operativo; por un lado, tendrá las versiones de las librerías para programas de
32 bits que se guardarán en la carpeta Windows\SysWOW64 y por otro lado, tendrá las
versiones de las librerías para programas de 64 bits en la carpeta Windows\System32. Al hacer
el análisis, notarán que las librerías son cargadas usando la carpeta Windows\SysWOW64.

En el próximo video veremos técnicas de persistencia.

Los espero en el próximo video.

www.ciie.utn.edu.ar