Win API hooking by using DBI: log me, baby! presented at NoConName 2017

by Ricardo j. Rodriguez,

Summary : En esta charla, se explora el uso de Instrumentación Dinámica de Ejecutables (Dynamic Binary Instrumentation, DBI) para análisis de malware. El principal objetivo de esta charla es proveer información suficiente del potencial que tienen los frameworks de DBI para ingeniería inversa, y cómo se puede sacar beneficio de ello. Concretamente, en esta charla se enseñará cómo se ha de programar una herramienta que haga uso de un framework DBI, concretamente el framework PIN, de Intel, y a modo de ejemplo se hará una herramienta que permita hookear las funciones API de Windows que se quieran. Básicamente, el objetivo de la charla es dar a conocer DBI desde un punto de vista práctico, mostrando la potencia de las herramientas que se pueden llegar a desarrollar con esta tecnología. A modo de ejemplo, se mostrará una herramienta desarrollada que permite loggear toda la actividad realizada por una muestra malware: qué APIs usa, qué información se envía por Internet, con qué servidor se intenta establecer conexión, etc...