Matías Porolli

Matías Porolli

Malware Researcher


Educación: Ingeniero en Sistemas de Información de la Universidad Tecnológica Nacional, regional Mendoza (Argentina).

Resumen de carrera: Luego de graduarme y antes de ingresar a ESET, trabajé en diversos proyectos de investigación en el staff de Fraud Investigation & Dispute Services para la consultora Ernst & Young, dedicándome al análisis de evidencia sobre discos y equipos informáticos.

Posición e historia en ESET: Ganador del Premio Universitario al Mejor Trabajo de Investigación en Seguridad Antivirus en 2011. En mayo de 2013 me sumé al equipo como Especialista de Awareness & Research y a principios de 2014 comencé a desempeñarme como Analista de Malware.

¿Cuál es el malware que más odias? : INF/Autorun.

Actividades favoritas: Estudiar idiomas, básquet, fútbol y BMX.

¿Cuál es tu regla de oro en el ciberespacio? : Cogito ergo sum.

¿Cuándo tuviste tu primer computador y de qué tipo era? : Alrededor de 1996. No recuerdo el modelo, pero sí recuerdo que corría Windows 3.11.

¿Cuál es tu actividad o juego favorito en el computador? : Roms de Sega Genesis, DooM, Need for Speed Most Wanted.


110 articles by Matías Porolli

Malware

Un script de Python para ver strings cifradas

Un script de Python para ver strings cifradas

Malware

Un script de Python para ver strings cifradas

Analizaremos una forma automatizada de extraer las strings de Python e Immunity Debugger.

Matías Porolli09 Sep 20143 min. read


Malware

¿Cómo realizar un análisis de malware que evita la virtualización?

¿Cómo realizar un análisis de malware que evita la virtualización?

Malware

¿Cómo realizar un análisis de malware que evita la virtualización?

La forma más sencilla de analizar un archivo malicioso consiste en ejecutarlo en un entorno controlado y observar los resultados. A tales efectos, la utilización de máquinas virtuales se hace vital, ya que permite la recuperación casi instantánea del estado inicial de la máquina. Por ello, en diversas ocasiones el malware incluye mecanismos para detectar si está siendo ejecutado en un entorno virtualizado, situación ante la cual modifica su camino de ejecución para esconder su verdadero comportamiento. Hoy analizaremos algunas de estas técnicas mediante un caso práctico.

Matías Porolli20 Aug 20144 min. read


Malware

Luchando contra strings cifradas

Luchando contra strings cifradas

Malware

Luchando contra strings cifradas

Cuando estamos reverseando aplicaciones maliciosas, a veces todas las strings serán visibles en texto plano. En otros casos, encontraremos porciones cifradas con mayor o menor grado de complejidad. Hoy expondremos un caso de este último tipo y lo analizaremos de forma intuitiva.

Matías Porolli31 Jul 20143 min. read


Malware

Debuggeando archivos DLL empaquetados

Debuggeando archivos DLL empaquetados

Malware

Debuggeando archivos DLL empaquetados

Cuando empezamos a debuggear un archivo dll con OllyDbg, notaremos que el proceso es distinto en comparación con un ejecutable típico: la dll no es cargada en memoria de forma independiente, sino mediante otro archivo ejecutable que nos ofrece Olly. Por desgracia, si dicha dll está comprimida con algún packer, al debuggear podríamos obtener un entry point posterior a la rutina de unpacking. En este post exploraremos un pequeño truquito para solventar el problema mencionado.

Matías Porolli15 Jul 20142 min. read


Malware

Unpacking en ejemplos prácticos

Unpacking en ejemplos prácticos

Malware

Unpacking en ejemplos prácticos

Si bien las muestras que recibimos a diario en el Laboratorio de Investigación de ESET Latinoamérica presentan packers muy diversos, la mayoría de ellas no se encuentran empaquetadas, o tienen alguna versión de UPX. Por tal motivo, me pareció una buena idea analizar esas muestras en este post, de tal modo de realizar el unpacking en forma práctica.

Matías Porolli01 Jul 20143 min. read


Malware

Complicando el análisis: algunas técnicas de anti-debugging

Complicando el análisis: algunas técnicas de anti-debugging

Malware

Complicando el análisis: algunas técnicas de anti-debugging

Ciertas instrucciones, estructuras de datos o caminos de ejecución pueden no quedar muy claros en el análisis con desensambladores. Allí, los debuggers son la alternativa natural. Sin embargo, así como existen técnicas utilizadas por los desarrolladores de malware para complicar el desensamblado, también podemos encontrar diversos procedimientos anti-debugging que analizaremos en este post.

Matías Porolli18 Jun 20143 min. read


Malware

Anti reversing mediante el manejo de excepciones

Anti reversing mediante el manejo de excepciones

Malware

Anti reversing mediante el manejo de excepciones

El Manejo Estructurado de Excepciones provee una forma a través de un conjunto de rutinas que se encuentran encadenadas mediante una lista enlazada.

Matías Porolli04 Jun 20144 min. read


Recursos y Herramientas

El malware se camufla para persistir en el sistema con AppInit_DLLs

El malware se camufla para persistir en el sistema con AppInit_DLLs

Recursos y Herramientas

El malware se camufla para persistir en el sistema con AppInit_DLLs

Matías Porolli20 May 20143 min. read


Malware

Reconociendo condicionales switch en ingeniería reversa

Reconociendo condicionales switch en ingeniería reversa

Malware

Reconociendo condicionales switch en ingeniería reversa

Matías Porolli08 May 20142 min. read