Guerra Soto, Mario <br/><br/>
Análisis de Malware para sistemas windows. 

 - Primera Edición 
 - Madrid, España  Ra-Ma  2018 
 - 553 páginas;  tablas, ilustraciones;  24 x17 cm 
<br/><br/>CAPÍTULO 1. INTRODUCCIÓN<br/>CAPÍTULO 2. MOTIVOS PARA REALIZAR UN ANÁLISIS DE MALWARE<br/>CAPÍTULO 3. INGENIERÍA INVERSA DE SOFTWARE<br/>3.1 INTRODUCCIÓN<br/>3.2 FUNDAMENTOS DE PROGRAMACIÓN<br/>3.3 ARQUITECTURA X86<br/>3.4 ANÁLISIS DE CÓDIGO DE 64 BITS<br/>CAPÍTULO 4. FUNDAMENTOS DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS<br/>4.1 BREVE HISTORIA<br/>4.2 CARACTERÍSTICAS DE WINDOWS NT<br/>4.3 COMPATIBILIDAD HARDWARE<br/>4.4 GESTIÓN DE MEMORIA<br/>4.5 OBJETOS Y HANDLES<br/>4.6 PROCESOS E HILOS<br/>4.7 API<br/>4.8 FORMATO DE FICHERO PECOFF<br/>4.9 ENTRADA/SALIDA<br/>4.10 STRUCTURED EXCEPTION HANDLING.<br/>CAPÍTULO 5. VIRTUALIZACIÓN Y SANDBOXING<br/>5.1 VIRTUALIZACIÓN<br/>5.2 SANDBOXING.<br/>CAPÍTULO 6. CRIPTOLOGÍA<br/>6.1 INTRODUCCIÓN<br/>6.2 DEFINICIONES<br/>6.3 PRINCIPIOS DE LA CRIPTOGRAFÍA CLÁSICA<br/>6.4 PRINCIPIOS DE CRIPTOGRAFÍA MODERNA<br/>6.5 CRIPTOGRAFÍA DE CLAVE SIMÉTRICA<br/>6.6 CRIPTOGRAFÍA DE CLAVE ASIMÉTRICA<br/>6.7 CIFRADO HÍBRIDO<br/>6.8 ALGORITMOS RESUMEN (HASHING)<br/>6.9 ALGORITMOS DE LÓGICA DIFUSA (FUZZY HASHING) Y RESÚMENES DE SIMILITUD (SIMILARITY DIGESTS)<br/>6.10 EMPLEO DE CIFRADO Y OFUSCACIÓN POR EL MALWARE<br/>6.11 PROTOCOLOS DE CIFRADO DE RED Y ANONIMIZACIÓN DE LAS COMUNICACIONES<br/>CAPÍTULO 7. VECTORES DE INFECCIÓN DE UN SISTEMA<br/>7.1 PROPAGACIÓN DEL MALWARE<br/>7.2 DISTRIBUCIÓN DE MALWARE A TRAVÉS DE LA WEB<br/>CAPÍTULO 8. CAPACIDADES DEL MALWARE<br/>8.1 VIRUS Y GUSANOS<br/>8.2 TROYANOS (TROJAN HORSES)<br/>8.3 ADWARE/SPYWARE<br/>8.4 SCAREWARE<br/>8.5 WIPER<br/>8.6 RANSOMWARE<br/>8.7 DOWNLOADERS Y LAUNCHERS<br/>8.8 PUERTAS TRASERAS (BACKDOORS)<br/>8.9 ROOTKITS<br/>8.10 MALWARE DE EXFILTRACIÓN DE INFORMACIÓN<br/>8.11 ROBO DE CREDENCIALES<br/>8.12 MALWARE A NIVEL BIOS/FIRMARE<br/>CAPÍTULO 9. COMPONENTES DEL MALWARE<br/>9.1 FUNCIONALIDAD MODULAR<br/>9.2 MALWARE DE MÚLTIPLES ETAPAS<br/>9.3 EXPLOIT KITS<br/>CAPÍTULO 10. MECANISMOS DE PERSISTENCIA DEL MALWARE<br/>10.1 INTRODUCCIÓN<br/>10.2 PERSISTENCIA EN LAS CARPETAS DE INICIO DE MICROSOFT WINDOWS<br/>10.3 PERSISTENCIA EN LAS TAREAS PROGRAMADAS<br/>10.4 PERSISTENCIA EN EL REGISTRO DE MICROSOFT WINDOWS<br/>10.5 TROYANIZACIÓN DE BINARIOS DEL SISTEMA<br/>10.6 SECUESTRO DEL ORDEN DE CARGA DE LAS LIBRERÍAS<br/>10.7 PERSISTENCIA EN MEMORIA DEL MALWARE<br/>10.8 FILELESS MALWARE<br/>CAPÍTULO 11. ESCALADA DE PRIVILEGIOS<br/>11.1 INTRODUCCIÓN<br/>11.2 AUTORIZACIÓN EN SISTEMAS MICROSOFT WINDOWS<br/>11.3 LOCALIZANDO EL OBJETO TOKEN<br/>11.4 SEDEBUGPRIVILEGE<br/>CAPÍTULO 12. TÉCNICAS DE OCULTACIÓN DE MALWARE<br/>12.1 TÉCNICAS EVASIVAS<br/>12.2 EMPAQUETADORES (PACKERS)<br/>12.3 CIFRADORES (CRYPTERS)<br/>12.4 PROTECTORES (PROTECTORS)<br/>12.5 INYECCIÓN DE CÓDIGO<br/>12.6 ROOTKITS<br/>12.7 API HOOKING.<br/>12.8 DKOM<br/>12.9 TAXONOMÍA DE LOS ROOTKITS<br/>12.10 DETECCIÓN DE ROOTKITS<br/>CAPÍTULO 13. IDENTIFICACIÓN Y EXTRACCIÓN DEL MALWARE<br/>13.1 INTRODUCCIÓN<br/>13.2 DETECCIÓN DE LA CONFIGURACIÓN<br/>13.3 MODELADO<br/>13.4 INDICADORES<br/>13.5 COMPORTAMIENTO DE LA AMENAZA .<br/>13.6 COMPARACIÓN DE LAS DIFERENTES APROXIMACIONES DE DETECCIÓN DE LA AMENAZA<br/>13.7 INDICADORES DE QUE SE HA PRODUCIDO UNA BRECHA DE SEGURIDAD<br/>CAPÍTULO 14. ETAPAS DEL ANÁLISIS DE MALWARE<br/>14.1 INTRODUCCIÓN<br/>14.2 ANÁLISIS COMPLETAMENTE AUTOMATIZADO<br/>14.3 ANÁLISIS ESTÁTICO DE PROPIEDADES<br/>14.4 ANÁLISIS INTERACTIVO DE COMPORTAMIENTO<br/>14.5 INGENIERÍA INVERSA MANUAL DEL CÓDIGO<br/>14.6 COMBINANDO LAS ETAPAS DE ANÁLISIS DE MALWARE<br/>CAPÍTULO 15. TÉCNICAS DE ANÁLISIS DE MALWARE<br/>15.1 INTRODUCCIÓN<br/>15.2 ANÁLISIS ESTÁTICO DE MALWARE<br/>15.3 ANÁLISIS DINÁMICO DE MALWARE<br/>15.4 ESTABLECIENDO UN ENTORNO DE ANÁLISIS DE MALWARE<br/>CAPÍTULO 16. TÉCNICAS BÁSICAS DE ANÁLISIS ESTÁTICO DE MALWARE<br/>16.1 EMPLEO DE HERRAMIENTAS ANTIVIRUS<br/>16.2 RESÚMENES COMO HUELLA DIGITAL DE MALWARE<br/>16.3 BÚSQUEDA DE CADENAS DE TEXTO<br/>16.4 BÚSQUEDA DE MUTEXES<br/>16.5 BÚSQUEDA DE PATRONES CON YARA<br/>16.6 IDENTIFICACIÓN DE LAS DEPENDENCIAS DE FICHEROS<br/>16.7 ATOMS Y TABLAS ATOM<br/>16.8 MALWARE EMPAQUETADO Y OFUSCADO<br/>16.9 BÚSQUEDA DE LA INFORMACIÓN DE PE<br/>16.10 DESENSAMBLADO DE CÓDIGO<br/>CAPÍTULO 17. TÉCNICAS BÁSICAS DE ANÁLISIS DINÁMICO DE MALWARE<br/>17.1 INTRODUCCIÓN<br/>17.2 MONITORIZACIÓN DE INSTALACIÓN DE APLICACIONES<br/>17.3 MONITORIZACIÓN DE PROCESOS<br/>17.4 MONITORIZACIÓN DE FICHEROS Y CARPETAS<br/>17.5 MONITORIZACIÓN DEL REGISTRO DE WINDOWS<br/>17.6 MONITORIZACIÓN DEL TRÁFICO DE RED DE LAS CAPAS DE RED Y TRANSPORTE<br/>17.7 MONITORIZACIÓN/RESOLUCIÓN DNS<br/>17.8 MONITORIZACIÓN DE TRÁFICO DE RED EN LA CAPA APLICACIÓN<br/>17.9 MONITORIZACIÓN DE LAS LLAMADAS A LA API DE MICROSOFT WINDOWS<br/>17.10 MONITORIZACIÓN DE CONTROLADORES DE DISPOSITIVOS<br/>17.11 MONITORIZACIÓN DE PROGRAMAS AL INICIARSE MICROSOFT WINDOWS<br/>17.12 MONITORIZACIÓN DE SERVICIOS EN MICROSOFT WINDOWS<br/>CAPÍTULO 18. INTERACCIÓN CON SITIOS WEB E INFRAESTRUCTURA MALICIOSA<br/>18.1 ANONIMIZACIÓN DE LAS COMUNICACIONES<br/>18.2 SISTEMAS Y HERRAMIENTAS DEL ANALISTA<br/>CAPÍTULO 19. ANÁLISIS DE DOCUMENTOS MALICIOSOS<br/>19.1 METODOLOGÍA GENERAL DE ANÁLISIS DE DOCUMENTOS<br/>19.2 ANÁLISIS DE SCRIPTS PARA POWERSHELL.<br/>19.3 DESOFUSCACIÓN DE SCRIPTS UTILIZANDO DEPURADORES<br/>19.4 DESOFUSCACIÓN DE SCRIPTS UTILIZANDO INTERPRETADORES388<br/>19.5 FICHEROS HTA<br/>19.6 ANÁLISIS DE DOCUMENTOS DE MICROSOFT OFFICE<br/>19.7 ANÁLISIS DE FICHEROS MSG<br/>19.8 ANÁLISIS DE DOCUMENTOS RTF<br/>19.9 ANÁLISIS DE DOCUMENTOS PDF<br/>19.10 ANÁLISIS DE SHELLCODE<br/>CAPÍTULO 20. TÉCNICAS AVANZADAS DE ANÁLISIS DINÁMICO DE MALWARE<br/>20.1 ANÁLISIS DE MALWARE EMPAQUETADO<br/>20.2 DEPURACIÓN DE CÓDIGO EMPAQUETADO<br/>20.3 ANÁLISIS DE MALWARE QUE UTILIZA MÚLTIPLES TECNOLOGÍAS<br/>20.4 ANÁLISIS FORENSE DEL CONTENIDO DE LA MEMORIA RAM<br/>CAPÍTULO 21. ANÁLISIS DE MALWARE QUE INCORPORA TÉCNICAS ANTIVIRTUALIZACIÓN<br/>21.1 INTRODUCCIÓN<br/>21.2 TÉCNICAS ANTIVIRTUALIZACIÓN<br/>21.3 MEDIDAS ANTI-ANTIDETECCIÓN DE ENTORNOS DE ANÁLISIS DEMALWARE<br/>CAPÍTULO 22. ANÁLISIS DE MALWARE QUE INCORPORA TÉCNICAS ANTIDESENSAMBLADO<br/>22.1 INTRODUCCIÓN<br/>22.2 ALGORITMOS DE DESENSAMBLADO<br/>22.3 TÉCNICAS ANTIDESENSAMBLADO<br/>22.4 TÉCNICAS ANTIANÁLISIS DE LA PILA<br/>CAPÍTULO 23. ANÁLISIS DE MALWARE QUE IMPLEMENTA TÉCNICAS DE OFUSCACIÓN DE FLUJO DE EJECUCIÓN<br/>23.1 INTRODUCCIÓN<br/>23.2 PUNTEROS A FUNCIONES<br/>23.3 EXPLOTACIÓN DE LA INSTRUCCIÓN CALL<br/>23.4 EXPLOTACIÓN DEL PUNTERO DE RETORNO<br/>23.5 EXPLOTACIÓN DE SEH<br/>CAPÍTULO 24. ANÁLISIS DE MALWARE QUE IMPLEMENTA TÉCNICAS ANTIDEPURACIÓN<br/>24.1 INTRODUCCIÓN<br/>24.2 DETECCIÓN DE ENTORNOS DE DEPURACIÓN<br/>24.3 TÉCNICAS BASADAS EN LLAMADAS A LA API DE MICROSOFT WINDOWS<br/>24.4 IDENTIFICANDO EL COMPORTAMIENTO DEL DEPURADOR<br/>24.5 INTERFIRIENDO EL FUNCIONAMIENTO DEL DEPURADOR<br/>24.6 VULNERABILIDADES EXISTENTES EN LOS DEPURADORES<br/>CAPÍTULO 25. ANALIZANDO MUESTRAS<br/>PROGRAMADAS EN .NET<br/>25.1 INTRODUCCIÓN<br/>25.2 INTRODUCCIÓN A .NET.<br/>25.3 EL LENGUAJE IL<br/>25.4 ENSAMBLADOS .NET<br/>25.5 DECOMPILADORES<br/>25.6 PROTECCIÓN DE CÓDIGO EN .NET<br/>25.7 OFUSCADORES EN .NET.<br/>25.8 EMPAQUETADORES EN .NET<br/>25.9 ANÁLISIS DE MUESTRAS MALICIOSAS EN .NET.<br/>25.10 INGENIERÍA INVERSA DE CÓDIGO OFUSCADO<br/>CAPÍTULO 26. COMPRENDIENDO LOS CIBERATAQUES<br/>26.1 AGENTES DE LA AMENAZA<br/>26.2 CATEGORIZACIÓN DE LA CIBERAMENAZA<br/>26.3 DEFENSA DE RED BASADA EN INTELIGENCIA<br/>26.4 PASOS PARA LA EJECUCIÓN DE UN CIBERATAQUE (CYBER KILL CHAIN)<br/>26.5 CURSOS DE ACCIÓN<br/>26.6 RECONSTRUCCIÓN DE UNA INTRUSIÓN<br/>26.7 ANÁLISIS DE CAMPAÑA<br/>26.8 MODELO EN DIAMANTE DE ANÁLISIS DE INTRUSIÓN<br/>26.9 MODELO ATT&CK FOR ENTERPRISE<br/>26.10 MODELO DE FIREEYE PARA EL CICLO DE VIDA DE UN CIBERATAQUE 
<br/><br/> Se considera malware cualquier tipo de software dañino contra el normal funcionamiento de un dispositivo, aplicación o red. Dentro del término malware se engloban virus, troyanos, gusanos, backdoors, rootkits, scareware, spyware, keyloggers, ransomware, etc. En general, un malware moderno incluirá varios de estos comportamientos.<br/>Esta obra compila y desgrana las principales TTP (Tácticas, Técnicas y Procedimientos) empleadas actualmente por los atacantes. Parte de estas TTP están diseñadas para comprometer la CIA (confidencialidad, integridad y disponibilidad) del sistema víctima o de la información almacenada en él. En cambio, técnicas como la ofuscación, el anti desensamblado, la anti depuración y el anti sandboxing, son específicamente implementadas por los desarrolladores de malware para impedir o dificultar la detección de la muestra maliciosa mediante la utilización de herramientas automatizadas y su análisis manual.<br/>El contenido de este libro describe una amplia metodología de análisis estático y dinámico de muestras maliciosas desarrolladas con las técnicas más actuales y avanzadas para entornos Windows sobre IA-32/64 bits. Estos conocimientos permitirán al lector:<br/>• Analizar, caracterizar y contextualizar muestras maliciosas.<br/>• Determinar el alcance del incidente.<br/>• Eliminar los artifacts maliciosos del sistema infectado.<br/>• Contribuir a la mejora de las defensas y elevar el nivel de resiliencia del sistema.<br/>• Fortalecer su capacidad para gestionar ciber incidentes relacionados con malware.<br/>Dado que se incluye el soporte teórico necesario relativo a sistemas operativos Microsoft Windows, arquitectura de computadores IA-32/IA-64 y programación (ensamblador y .NET), se trata de una obra ideal tanto para aquellos que quieran introducirse profesionalmente en el análisis de malware como un libro de referencia para analistas avanzados. 
<br/><br/><label>ISBN: </label>9788499647661 
<br/><br/><label>Subjects--Topical Terms: </label><br/>Herencia<br/>Variables<br/>Módulos<br/>Árboles VAD<br/>API del sistema<br/>Subsistema Win32<br/>Cifrado<br/>Codificación<br/>Reverse shell<br/>Process<br/>PowerShell
<br/><br/><label>Dewey Class. No.: </label>005.8  / G934