SalSA

El análisis del archivo de Windows PE en el navegador: https://a-rey.github.io/salsa/

Documentación disponible en: https://github.com/deptofdefense/salsa/wiki

La teoría del análisis de malware se ha estandarizado en la industria. Consiste en 3 pasos:

• Análisis estático: no ejecutar el malware
• Análisis dinámico: ejecutar el malware
• Depuración: atravesando el malware con un depurador (Ida Pro, Olly Debug, etc.)

El primer paso a menudo se considera que solo mira las cuerdas. Esto es solo una pequeña parte de lo que la industria considera el análisis estático. Solo mirar las cuerdas limita al analista a un pequeño subconjunto y, a menudo, engañosa por la parte de este paso vital en el análisis de malware. Un buen análisis de malware estático puede trazar rápidamente ejecutables, lo que permite un subconjunto de ejecutables sospechosos que se prueban bajo análisis dinámico. Luego, a medida que el analista progresa a través del análisis dinámico para la depuración, la cantidad de tiempo requerida aumenta drásticamente y los rendimientos disminuyen rápidamente. Esta herramienta analiza el formato de archivo PE y lo presenta todo al analista para el triaje rápido. Además, este proyecto lleva esto más allá mediante el uso de una lista de reglas que verifica ciertos comportamientos de malware.