Skip to content

Explícame tus herramientas centrales para el análisis estático frente al dinámico de malware y cuándo usas cada una.

Respuesta breve

Las herramientas estáticas leen la muestra en reposo: PEStudio, CFF Explorer y pefile para cabeceras e imports, FLOSS y strings para el texto embebido, capa para el mapeo de capacidades, y Ghidra o IDA para el desensamblado. Las herramientas dinámicas la observan ejecutarse dentro de una VM aislada: Procmon y Process Hacker para la actividad del host, Wireshark e INetSim o FakeNet para la red falseada, Regshot para los diffs de antes/después, y x64dbg para el stepping controlado. El flujo de trabajo es triar estáticamente, detonar dinámicamente, y luego volver al desensamblador para rellenar los huecos de comportamiento.

Los entrevistadores preguntan esto para ver si te has sentado de verdad frente a muestras o solo has leído sobre análisis. Nombrar herramientas es fácil; explicar por qué cada una se gana su sitio en el flujo de trabajo es lo que separa a un profesional de un memorizador.

Herramientas estáticas — leer la muestra en reposo

La primera pasada nunca ejecuta el fichero. Empiezas con los hashes (para consultar VirusTotal y la threat intel interna), luego un visor de PE — PEStudio, CFF Explorer o la biblioteca de Python pefile — para leer cabeceras, nombres de sección y entropía, la import address table y los recursos embebidos. FLOSS extiende el simple strings decodificando cadenas de pila y ofuscadas que el strings estático pasa por alto. capa mapea construcciones de código a comportamientos ("crea un servicio", "cifra datos con RC4") casando reglas contra el desensamblado, dándote un resumen de capacidades antes de leer una sola instrucción. Para la lógica profunda abres Ghidra (gratuito, programable) o IDA Pro para desensamblar y decompilar.

Herramientas dinámicas — observarla ejecutarse

Dentro de una VM aislada con snapshots, instrumentas el host y la red. Procmon captura eventos de fichero, registro y proceso; Process Hacker o Process Explorer muestran los procesos generados, los hilos inyectados y los handles; Regshot compara el registro antes y después de la detonación. Para la red apuntas la muestra a una internet falseadaINetSim o FakeNet-NG — y capturas con Wireshark para que el malware "hable" con su C2 sin alcanzar infraestructura real. Cuando el comportamiento está condicionado o necesitas ver ocurrir el descifrado, enganchas x64dbg y vas paso a paso.

El flujo de trabajo

Triar estáticamente, detonar dinámicamente y luego volver al desensamblador con las observaciones de ejecución como mapa. Un candidato sólido subraya que las herramientas son complementarias, no competidoras.

Posibles preguntas de seguimiento

  • ¿Qué aporta capa más allá de una simple revisión de la tabla de imports?
  • ¿Por qué falsear la red con INetSim en lugar de dejar que la muestra alcance la internet real?
  • ¿Cuándo recurrirías a x64dbg en lugar de a un desensamblador estático?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.