Archivos ejecutables de Windows

En este artículo presentaremos las formas que existen para hacer un análisis de archivos ejecutables en el sistema operativo Windows. Se puede realizar un análisis estático o un análisis dinámico.

Antes de empezar cualquier análisis es bueno obtener un hash del binario a analizar. Desde Linux se puede utilizar:

$ sha256sum ejecutable.exe

Un análisis estático es aquel que permite realizarse sin ejecutar el binario. Para ello una alternativa es utilizar el software rabin2. Este software es parte de un framework para ingeniería inversa llamado radare2 (https://github.com/radareorg/radare2).

A continuación se presentan algunos usos de este programa:

Buscar símbolos importados desde librerías

rabin2 -i ejecutable.exe

Buscar strings

rabin2 -z ejecutable.exe

Obtener toda la información posible

rabin2 -g ejecutable.exe