Analisis de Malware 2025

Clase 1 – Introducción: ¿Cuál es la definición más precisa de “malware”?. Cualquier software que cause errores al usuario. Código utilizado para realizar acciones maliciosas. Software no deseado instalado por el usuario. Software legítimo y seguro.

Clase 1 – Introducción: ¿Cuál de los siguientes NO es un objetivo típico del malware?. Interrupción de operaciones. Acceso no autorizado. Mejorar el rendimiento del sistema. Robo de información.

Clase 1 – Introducción: Sobre PUP/PUA, señale lo correcto. Son siempre maliciosos por definición. Son software legítimo certificado por proveedores. Son aplicaciones potencialmente no deseadas que a menudo se instalan junto a otro software. Son sinónimo de “goodware”.

Clase 1 – Introducción: ¿Qué distingue mejor a un gusano de un virus?. El gusano requiere intervención humana; el virus no. El gusano se autorreplica sin fichero anfitrión; el virus depende de un fichero anfitrión y de intervención humana. El virus solo afecta a Linux; el gusano a Windows. No hay diferencias relevantes hoy.

Clase 1 – Introducción: Un keylogger se define como…. Un RAT que abre puertos remotos. Un tipo de spyware que registra pulsaciones de teclado. Un dropper con payload incluido. Un adware que muestra anuncios.

Clase 1 – Introducción: El scareware busca principalmente…. Ganar persistencia en modo kernel. Cifrar archivos de la víctima. Inducir pánico para provocar acciones favorables al atacante. Abrir un C2.

Clase 1 – Introducción: ¿Cuál describe mejor a un stealer?. Malware para robar información del sistema de la víctima. Script que oculta procesos legítimos. Herramienta de administración remota corporativa. Bomba lógica de activación temporal.

Clase 1 – Introducción: Un backdoor (puerta trasera) permite…. Cifrar el sistema y exigir rescate. Redirigir el navegador a sitios maliciosos. Acceso remoto no autorizado al atacante. Propagación autónoma por la red.

Clase 1 – Introducción: Un rootkit se caracteriza por…. Mostrar banners intrusivos. Permanecer oculto con privilegios y evadir antimalware. Autorreproducirse vía correo electrónico. Llamar a números de tarificación especial.

Clase 1: Un adversario aprovecha una vulnerabilidad de un navegador web para que la víctima descargue de forma inadvertida un malware. ¿Qué tipo de vector de ataque están empleando? (parcial). Malvertising. Drive-by download. Downloader.

Clase 1 – Introducción: El ransomware típicamente…. Redirige a la víctima a un portal bancario. Modifica el MBR sin cifrar datos. Impide el acceso a sistema/archivos y exige rescate. Solo es un “scareware” sin impacto real.

Clase 1 – Introducción: Los “redireccionadores” de navegación…. Deshabilitan el antivirus residente. Redirigen al usuario a sitios de interés del atacante. Cambian la tabla ARP del router. Borran claves del registro.

Clase 1 – Introducción: Un downloader…. Incluye su propia carga maliciosa. Descarga desde Internet el payload malicioso e instala. Es una técnica de ingeniería social. Solo exfiltra credenciales.

Clase 1 – Introducción: ¿Qué es una RAT (Remote Administration Tool) maliciosa?. Un script de limpieza post-explotación. Un componente de publicidad contextual. Software malicioso que permite administración remota del dispositivo víctima. Un escáner de puertos.

Clase 1 – Introducción: ¿Qué es una botnet?. Un proxy inverso. Red de equipos infectados controlados remotamente. Un exploit de navegador. Un módulo del antivirus.

Clase 1 – Introducción: “Command & Control (C2)” se refiere a…. Un driver firmado de Microsoft. Un servidor que envía órdenes al malware/recibe dato. Un protocolo de cifrado simétrico. Un cortafuegos de perímetro.

Clase 1 – Introducción: ¿Qué diferencia al spear-phishing del phishing?. El spear-phishing es siempre por SMS. El spear-phishing se dirige a individuos/organizaciones específica. El phishing no usa adjuntos. No hay diferencia.

Clase 1 – Introducción: Malvertising consiste en…. Insertar anuncios legítimos en sitios del atacante. Usar publicidad online para redirigir a sitios controlados y descargar malware. Minería de criptomonedas en banners. Bloquear anuncios del antivirus.

Clase 1 – Introducción: ¿Qué es un watering-hole attack?. Comprometer un sitio de confianza visitado por la organización objetivo para infectar visitantes. Enviar macros por correo. Forzar descargas automáticas sin parches. Usar anuncios maliciosos.

Clase 1 – Introducción: ¿Qué tipo de malware se caracteriza por mostrar anuncios en el dispositivo de la víctima? (parcial). Rogueware. Spyware. Dialer. Adware.

Clase 1 – Introducción: ¿Qué tipo de malware actuaría como un falso antivirus? (parcial). Keylogger. Rogueware. Adware. Rootkit.

Clase 1 – Introducción: Programa malicioso que se disfraza de software legítimo (parcial). Gusano. Virus. Troyano. Stealer.

Clase 1 – Introducción: ¿Qué tipo de malware está diseñado para infectar una máquina con privilegios de administrador y permanecer oculto? (parcial). Bomba lógica. Rootkit. Downloader. Dropper.

Clase 1 – Introducción: ¿Qué tipo de malware infecta silenciosamente y permanece inactivo hasta que se cumple una condición específica? (parcial). Bomba lógica. Stealer. RAT. Adware.

Clase 1 – Introducción: ¿Qué tipo de malware utiliza el módem o la conexión de telefonía móvil para realizar conexiones telefónicas no autorizadas? (parcial). Dialer. Redireccionador. Ransomware. Keylogger.

Clase 1 – Introducción: ¿Qué tipo de malware contiene la carga maliciosa real para instalar en los equipos? (parcial). Downloader. Dropper. RAT. Spyware.

Clase 1 – Introducción: ¿Qué tipo de malware contiene su propia carga maliciosa y no necesita descargarla de Internet? (parcial). Dropper. Adware. Rogueware. Downloader.

Clase 1 – Introducción: ¿Qué tipo de ‘malware/infraestructura’ es un servidor usado por atacantes para enviar órdenes a malware ya instalado? (parcial). Botnet. C2 / Command and Control. Worm server. DGA.

Clase 1 – Introducción: Según la nomenclatura Microsoft: Backdoor:Win32/Caphaw.D!lnk, identifique tipo, plataforma, familia, variante y sufijo. (parcial). Tipo=Win32; Plataforma=Backdoor; Familia=Caphaw; Variante=D; Sufijo=lnk. Tipo=Backdoor; Plataforma=Win32; Familia=Caphaw; Variante=D; Sufijo=lnk. Tipo=Caphaw; Plataforma=D; Familia=Backdoor; Variante=Win32; Sufijo=lnk. Tipo=Backdoor; Plataforma=Caphaw; Familia=Win32; Variante=lnk; Sufijo=D.

Clase 1 – Introducción: Aprovecha una vulnerabilidad de un navegador web para que la victima se descargue de forma inadvertida un malware (parcial). DRIVE-BY Download. Malvesting. Advanced Persistent Threat (APT).

Clase 1 – Introducción: Según la nomenclatura Kaspersky: HEUR:Trojan.Win32.DllHijacker.gen, identifique prefijo, comportamiento, plataforma, nombre y variante. (parcial). Prefijo=HEUR; Comportamiento=Trojan; Plataforma=Win32; Nombre=DllHijacker; Variante=gen. Prefijo=Trojan; Comportamiento=HEUR; Plataforma=DllHijacker; Nombre=Win32; Variante=.gen. Prefijo=Win32; Comportamiento=HEUR; Plataforma=Trojan; Nombre=DllHijacker; Variante=—. No incluye prefijo ni variante.

Clase 1 – Introducción: ¿Cuál de los siguientes se considera el primer precursor del malware actual? (Parcial). Reaper. Animal/Pervade. Creeper. Morris Worm.

Clase 1 – Introducción: ¿Cuál de los siguientes softwares es considerado el primer antimalware? (parcial). ClamAV. Stuxnet. Reaper. CryptoLocker.

Clase 1 – Introducción: ¿Cuál se considera el primer troyano de la historia? (parcial). AIDS Trojan. Animal/Pervade. Elk Cloner. Back Orifice.

Clase 1 – Introducción: ¿Cuál fue el primer gusano en replicarse en Internet? (parcial). Code Red. Morris Worm. ILoveYou. Elk Cloner.

Clase 1 – Introducción: ¿Cuál fue el troyano considerado como el primer ransomware de la historia? (parcial). CryptoLocker. Reveton. AIDS Trojan. NetSky.

Clase 1 – Introducción: ¿Cuál es el primer malware de macro, que se propagaba a través de documentos de Word 95 y Word 6.0? (parcial). Melissa. Concept. Nimda. Kak.

Clase 1 – Introducción: ¿Cuál de los siguientes conjuntos forma parte de los primeros troyanos bancarios? (parcial). Sasser, Code Red, Nimda, Blaster. Zbot/Zeus, Gozi, Carberp, SpyEye. Reveton, DarkSide, LockBit, Dharma. ILoveYou, Melissa, Elk Cloner, Stuxnet.

Clase 1 – Introducción: ¿Cuál es el malware diseñado para atacar sistemas de control industrial SCADA? (parcial). Sunburst. Stuxnet. WannaCry. Zeus.

Clase 1 – Introducción: ¿Cuál es el primer caso de ransomware-as-a-service (RaaS)? (parcial). Reveton. DarkSide. LockBit. CryptoLocker.

Clase 1 – Introducción: ¿Qué malware utilizaba el exploit EternalBlue? (parcial). WannaCry. Stuxnet. Sasser. Conficker.

Clase 1 – Introducción: ¿Cuál es un ejemplo paradigmático de ataque a la cadena de suministro? (parcial). DarkSide. Sunburst. Emotet. Blaster.

Clase 1 – Introducción: Se denomina a un ataque que va dirigido a un individuo u organización específicos (correo, SMS). (parcial). Phishing. Vishing. Spear-phishing. Smishing.

Clase 1 – Introducción: Un atacante compromete un sitio web de confianza, que suele ser visitado por los empleados de una organización (parcial). Drive-by-download. Watering hole attack. Malvertising. Pharming.

Clase 1 – Introducción: Se caracteriza por ser un ataque sofisticado y elaborado, con un objetivo definido, que mantiene una presencia no detectada durante un periodo prolongado de tiempo: (parcial). Campaña de phishing masivo. Ransomware oportunista. Advanced Persistent Threat (APT). DDoS de capa 7.

Clase 3 – Conceptos Teóricos: ¿En qué nivel de privilegio se ejecutan las aplicaciones de usuario? (parcial). Ring 0. Ring 1. Ring 2. Ring 3.

Clase 2 – Conceptos Teóricos: ¿Dónde se ejecuta el kernel del sistema operativo? (parcial). Ring 3. Ring 2. Ring 1. Ring 0.

Clase 2 – Conceptos Teóricos: ¿Qué tamaño tiene el operando de tipo WORD en x86-32?. 1 byte. 2 bytes. 4 bytes. 8 bytes.

Clase 2 – Conceptos Teóricos: ¿Qué tamaño tiene el operando de tipo DWORD en x86-32?. 1 byte. 2 bytes. 4 bytes. 8 bytes.

Clase 2 – Conceptos Teóricos: ¿Qué registro de datos se usa por defecto para almacenar el resultado de las operaciones aritméticas en 8086? (parcial). CX. BX. DX. AX.

Clase 2 – Conceptos Teóricos: ¿Qué registro actúa por defecto como contador en desplazamientos/rotaciones y bucles?. AX. BX. CX. DX.

Clase 2 – Conceptos Teóricos: ¿Qué registro se usa por defecto para almacenar datos en operaciones aritméticas y de E/S?. AX. BX. CX. DX.

Clase 2 – Conceptos Teóricos: ¿Qué registro de datos se utiliza como puntero a datos para los accesos a memoria en el procesador 8086?. CX. BX. DX. AX.

Clase 2 – Conceptos Teóricos: ¿Cuál de los siguientes registros contiene el valor del segmento donde se encuentra el código?. DS. ES. SS. CS.

Clase 2 – Conceptos Teóricos: ¿Cuál de los siguientes registros se utiliza como segmento extra de datos, por ejemplo en operaciones con cadenas?. CS. DS. SS. ES.

Clase 2 – Conceptos Teóricos: ¿Cuál de los siguientes registros contiene el valor del segmento de datos? (parcial). CS. ES. SS. DS.

Clase 2 – Conceptos Teóricos: ¿Cuál de los siguientes registros contiene el valor del segmento de pila?. CS. DS. ES. SS.

Clase 2 – Conceptos Teóricos: ¿Qué registro de puntero almacena el desplazamiento del último elemento en la pila del procesador 8086?. SP. BP. IP. CX.

Clase 2 – Conceptos Teóricos: ¿Qué registro de puntero almacena el desplazamiento dentro del segmento de código en el procesador 8086?. SP. BP. IP. CX.

Clase 2 – Conceptos Teóricos: ¿Qué registro de puntero se utiliza para apuntar a la dirección base de la pila en el procesador 8086?. SP. BP. IP. CX.

Clase 2 – Conceptos Teóricos: ¿Cuál de los siguientes registros de la arquitectura x86 de 64 bits no existe en la de 32 bits? (parcial). EAX. AX. AH. RAX.

Clase 2 – Conceptos Teóricos: En la instrucción, ¿qué tipo de direccionamiento es el segundo operando [1000]? (parcial). Indirecto a registro. Indexado. Directo a memoria. A pila.

Clase 2 – Conceptos Teóricos: En la instrucción MOV EAX, EBX ¿qué tipo es el segundo operando? (parcial). Inmediato. Directo a memoria. Directo a registro. Relativo.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo es esta instrucción: MOV <dst>, <src> (parcial). Lógica. Comparación. Control de flujo. Transferencia de datos.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo de instrucción es: ADD <dst>, <src> (parcial). Lógica. Entrada/Salida. Comparación. Aritmética.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo de instrucción es: IN <dst>, <src> (parcial). Control de flujo. Aritmética. Lógica. Entrada/Salida.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo de instrucción es: SHL <dst>, <src> (parcial). Transferencia de datos. Llamada a procedimiento. Desplazamiento/rotación. Entrada/Salida.

Clase 2 – Conceptos Teoricos: ¿Cuál de las siguientes es una bandera del registro FLAGS?. UF (Underflow Flag). SF (Sign Flag). MF (Mask Flag). RF (Range Flag).

Clase 2 – Conceptos Teoricos: El acceso a mitades altas/bajas (AH/AL) es posible en: Registros de 8 bits. Registros de 16 bits. Registros de 32 bits únicamente. Solo en registros de 64 bits.

Clase 2 – Conceptos Teoricos: ¿Qué extensión sufren los registros al pasar de 16 a 32 bits, y luego a 64 bits?. Prefijo H → E → R. Prefijo E → R. Sufijo X → XX → XXX. No se modifican los nombres.

Clase 2 – Conceptos Teoricos: ¿Qué clase de instrucción es CMP <dst>, <src>?. Transferencia. Lógica. Comparación. E/S.

Clase 2 – Conceptos Teoricos: ¿Qué clase de instrucción es TEST <dst>, <src>?. Transferencia. Lógica. Comparación. E/S.

Clase 2 – Conceptos Teoricos: En la instrucción MOV EAX, 1, ¿qué tipo es el segundo operando?. Registro. Memoria directa. Inmediato. Indirecto por registro.

Clase 2 – Conceptos Teoricos: En MOV EAX, [1000], ¿qué tipo de direccionamiento es el segundo operando?. Indirecto por registro. Directo a memoria. Relativo. A pila.

Clase 2 – Conceptos Teoricos: En MOV EAX, [1000+ESI], ¿qué modo de direccionamiento usa el segundo operando?. Indexado. A pila. Directo a memoria. Indirecto por registro.

Clase 2 – Conceptos Teoricos: En MOV EAX, [EBX+2], ¿qué modo de direccionamiento es el segundo operando?. Relativo. Directo a registro. A pila. Inmediato.

Clase 2 – Conceptos Teoricos: En MOV EAX, [EBX+ESI+2], ¿qué modo corresponde al segundo operando?. Directo a memoria. Indexado respecto a una base. Indirecto por registro. A pila.

Clase 2 – Conceptos Teoricos: En PUSH EAX, ¿qué modo de direccionamiento se emplea para el operando?. A pila. Inmediato. Relativo. Directo a memoria.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo es esta instrucción: XCHG <dst>, <src>. Lógica. Aritmética. E/S. Transferencia de datos.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo es esta instrucción: LEA <dst>, <src>. Aritmética. Transferencia de datos. Comparación. Control de flujo.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo es esta instrucción: PUSH <src>. Aritmética. Transferencia de datos. Comparación. Control de flujo.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo es esta instrucción: POP <dst>. Aritmética. Transferencia de datos. Comparación. Control de flujo.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo es esta instrucción: SUB <dst>, <src>. Transferencia. Lógica. Aritmética. E/S.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo es esta instrucción: INC <dst>. Transferencia. Lógica. Aritmética. E/S.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo de instrucción es: OR <dst>, <src>. Entrada/Salida. Lógica. Aritmética. Comparación.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo de instrucción es: XOR <dst>, <src>. Entrada/Salida. Lógica. Aritmética. Comparación.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo de instrucción es: NOT <dst>. Entrada/Salida. Lógica. Aritmética. Comparación.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo de instrucción es: SHR <dst>, <src>. Transferencia de datos. Comparación. desplazamiento y rotación. Entrada/Salida.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo de instrucción es: ROL <dst>, <src>. Transferencia de datos. Comparación. desplazamiento y rotación. Entrada/Salida.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo de instrucción es: OUT <dst>, <src>. Aritmética. Lógica. Control de flujo. Entrada/Salida.

Clase 2 – Conceptos Teoricos: Indícame de qué tipo de instrucción es: ROR <dst>, <src>. Transferencia de datos. Comparación. desplazamiento y rotación. Entrada/Salida.

Clase 4: ¿Qué componente permite compartir datos entre apps en una aplicación Android? (parcial). Intents. Proveedores de contenido. Transmisiones. Servicios.

Clase 4: ¿Qué permiso permite a la app acceder a la ubicación del dispositivo en segundo plano si ya tiene permiso para acceder a la ubicación en primer plano? (parcial). ACCESS_BACKGROUND_LOCATION. READ_SMS. RECORD_AUDIO.

Clase 4: ¿Qué herramienta nos permite desempaquetar y empaquetar una aplicación? (parcial). Apktool. Dex2jar. JD-GUI.

Clase 4: ¿Cuál de las siguientes afirmaciones se corresponde de forma más precisa con el término "Rogueware"? (parcial). Se hace pasar por un antivirus y muestra falsas advertencias de seguridad. Muestra anuncios publicitarios en el dispositivo de la víctima. Infecta la máquina con privilegios de administrador y permanece oculta para dificultar su detección.

Clase 4: ¿Cuál de las siguientes afirmaciones corresponde de forma más precisa al término Bomba lógica? (parcial). Código malicioso que se activa al cumplirse una condición específica (fecha, acción, etc.). Programa que se propaga a través de redes locales. Herramienta que elimina virus informáticos.

Clase 4: ¿Cuál de las siguientes afirmaciones corresponde de forma más precisa al término Command and Control (C2)? (parcial). Infraestructura o servidor que permite a un atacante controlar de forma remota los sistemas infectados. Sistema de detección de malware. Proceso de análisis forense.

Clase 4: ¿Qué significa que la bandera OF (Overflow Flag) sea igual a 1? (parcial). Desbordamiento. Interrupción. Error de lectura.

Clase 4: ¿Cuál de estas herramientas es la más adecuada para averiguar el tipo de archivo? (parcial). SFExplore. Floss. TrID.

Clase 4: ¿Cuál de estas herramientas es para monitorización del sistema de archivos? (parcial). Regshot. Process Explorer. PEiD.

Clase 4: De estos ASEPs, ¿en qué consiste una carpeta de inicio? (parcial). Carpeta de instalación de software. Carpeta temporal del sistema. Carpeta especial que ejecuta programas automáticamente cuando el usuario inicia sesión.

Clase 4: ⁠En el registro de Windows, de esta ruta: Equipo\HKEY_LOCAL_MACHINE\SYSTEM\DriverDatabase ¿A qué corresponde system ? (parcial). Clave predefinida. Subclave. Clave.

Clase 4: Indique cuál de los siguientes NO es una técnica de análisis estático de malware en Windows (parcial). Capturar el tráfico de red. Hash en difuso. Análisis de marca de tiempo. Determinar el tipo de archivo.

Clase 4: Indica qué tipo de instrucción es destino y origen: (parcial). Entrada y salida IN <dst>, <src>. Desplazamiento y rotación. Control de flujo. Lógica.

Clase 4: ¿Cuál de las siguientes afirmaciones corresponde más precisamente con la técnica Dropper? (parcial). Programa diseñado para instalar o “soltar” otro malware en el sistema objetivo. Software que se propaga automáticamente por correo electrónico. Aplicación que encripta los datos del usuario.

Clase 4: ¿Qué capa se encarga de traducir el código DEX a código máquina nativo del procesador del dispositivo? (parcial). Tiempo de ejecución de Android. Capas de abstracción de hardware. Kernel de Linux.

Clase 4: Aprovecha una vulnerabilidad de un navegador web para que la victima se descargue de forma inadvertida un malware (parcial). DRIVE-BY Download. Phishing. Ingeniería Social vía correo electrónico.

Clase 2: ¿Qué componente del formato PE se incluye por retrocompatibilidad con MS-DOS?. Optional Header. DOS Header. NT Header. Section Table.

Clase 2: ¿Qué campo del DOS Header indica el inicio del NT Header en un archivo PE?. e_cp. e_lfanew. e_magic. Signature.

Clase 2: ¿Cuál es el valor típico del campo e_magic en el encabezado DOS?. PE\0\0. 014C. MZ. 5A4D.

Clase 2: ¿Qué contiene el campo Signature del NT Header?. PE\0\0. Dirección de carga del programa. MZ. Offset de sección de texto.

Clase 2: ¿Qué encabezado dentro del PE contiene información sobre la arquitectura del sistema y número de secciones?. Optional Header. DOS Header. File Header. Section Table.

Clase 2: ¿Cuál es el orden correcto de los encabezados dentro de un archivo PE?. Optional Header → File Header → DOS Header. PE Header → DOS Header → Sections. DOS Header → NT Header → File Header → Optional Header. Section Table → DOS Header → NT Header.

Clase 2: ¿Qué sección del cuerpo contiene el código ejecutable de un archivo PE?. .data. .text. .rsrc. .idata.

Clase 2: ¿Cuál es la utilidad principal de los encabezados del archivo PE?. Ejecutar código en modo DOS. Guardar recursos gráficos. Indicar el nombre del ejecutable. Proporcionar información al loader de Windows.

Clase 4: ¿Qué es un Activity en Android?. Un archivo XML de interfaz. Una pantalla de la aplicación con la que el usuario interactúa. Un servicio en segundo plano.

Clase 4: ¿Cuál es el propósito del archivo AndroidManifest.xml?. Almacenar los datos del usuario. Guardar las preferencias del sistema. Declarar componentes y permisos de la app.

Clase 4: ¿Qué componente permite iniciar una nueva actividad o servicio?. Handler. View. Intent.

Clase 4: ¿Qué método se llama primero en el ciclo de vida de una Activity?. onStart(). onCreate(). onResume().

Clase 4: ¿Cuál es la función de onPause() en el ciclo de vida de una Activity?. Cargar recursos gráficos. Guardar datos antes de que la Activity pase a segundo plano. Destruir la Activity.

Clase 4: ¿Qué herramienta se utiliza para crear interfaces gráficas en Android?. XML. Layout Editor de Android Studio. Firebase.

Clase 4: ¿Qué archivo contiene las dependencias de una aplicación Android?. MainActivity.java. build.gradle. strings.xml.

Clase 4: ¿Qué es un Service en Android?. Un botón interactivo. Un componente que se ejecuta en segundo plano sin interfaz. Un archivo de recursos.

Clase 4: ¿Cuál es la diferencia entre Activity y Service?. Activity gestiona la interfaz gráfica, Service ejecuta tareas en segundo plano. Service solo existe en aplicaciones de sistema.

Clase 4: ¿Cuál de los siguientes lenguajes es más común para programar apps Android?. Java y Kotlin. Python y Swift.

Clase 4: Service solo existe en aplicaciones de sistema. Solicita muchos permisos innecesarios. Se actualiza frecuentemente.

Clase 3 - Análisis estático: En un ejecutable PE típico, los dos primeros bytes que evidencian la firma “MZ” son: 50 45. 4D 5A. 7F 45. 5A 4D.

Clase 3 - Análisis estático: ¿Cómo se determina el tipo de archivo “manualmente”?. HxD (editor hexadecimal) + lista de firmas de archivo. HashMyFiles + VirusTotal. Resource Hacker + strings. PE-bear + Regshot.

Clase 3 - Análisis estático: Si NO lo haces manualmente, ¿qué “herramientas específicas” se mencionan para identificar el tipo de archivo por su firma?. HxD (editor hexadecimal) + lista de firmas de archivo. TrID / TrIDNet y CFF Explorer. BinText y FLOSS. HashMyFiles y ssdeep.

Clase 3 - Análisis estático:¿Qué algoritmos menciona el material como comunes para catalogar malware por hash criptográfico? - Examen. AES, RSA, ECC. MD5, SHA-1, SHA-256. CRC16, Adler32, LZMA. ROT13, Base64, XOR.

Clase 3 - Análisis estático: ¿para qué te sirve operativamente calcular SHA-256 de un binario?. Para saber si dos muestras son similares aunque cambien bytes. Para identificar la muestra de forma única y buscarla en VT/Hybrid Analysis. Para extraer automáticamente las cadenas del binario. Para obtener el código fuente.

Clase 3 - Análisis estático: En Windows PowerShell, ¿qué comando es el estándar citado para calcular el hash? - Examen. Get-Process. Get-FileHash. certutil -decode. netstat -ano.

Clase 3 - Análisis estático: En macOS, ¿qué comandos se citan para calcular hashes desde terminal?. sha256sum. md5 y shasum. Get-FileHash. sigcheck.

Clase 3 - Análisis estático: En GNU/Linux, ¿qué comandos aparecen como habituales y de qué paquete suelen venir?. md5/shasum; openssl. md5sum/sha1sum/sha256sum; coreutils. sha3sum; busybox. sigcheck.

Clase 3 - Análisis estático: En un binario sospechoso, ¿qué evidencia se revisa primero para identificar el formato real, incluso si la extensión fue cambiada?. La extensión (.exe/.dll/.scr). El tamaño en bytes. La firma de archivo (magic bytes / magic numbers). El nombre del autor en propiedades del fichero.

Clase 3 - Análisis estático: ¿Qué limitación del hashing criptográfico motiva el uso de hashing difuso?. No puede calcularse en Linux. Cambios mínimos en el archivo alteran completamente el hash, dificultando detectar similitud. Siempre produce falsos positivos del 100%. Solo funciona con archivos de texto plano.

Clase 3 - Análisis estático: ¿Cuál de los siguientes es un conjunto correcto de algoritmos de hashing difuso usados en malware?. RSA, DH, ECDH, DSA, Ed25519, X25519. AES, DES, Blowfish, RC4, Salsa20, ChaCha20. Authentihash, Impfuzzy, Imphash, ssdeep, sdhash, TLSH.

Clase 3 - Análisis estático: ¿Qué técnica usarías para identificar muestras similares aunque no sean idénticas byte a byte?. Firmas Authenticode. Hashing difuso (fuzzy hashing). Cambiar la extensión del archivo.

Clase 3 - Análisis estático: ¿Cuál de estos sí es un algoritmo/técnica de hashing difuso usado en análisis de malware?. ssdeep. AES. RSA. Diffie-Hellman.

Clase 3 - Análisis estático: ¿Cuál opción NO pertenece a la lista de algoritmos de hashing difuso citados?. TLSH. sdhash. Impfuzzy. SHA-256.

Clase 3 - Análisis estático: ¿Qué conclusión práctica es coherente si dos PE tienen el mismo Authentihash?. Que tienen el mismo TimeDateStamp. Que comparten exactamente las mismas importaciones y orden. Que son idénticos byte a byte. Que las secciones relevantes verificadas coinciden/no aparecen alteradas del mismo modo.

Clase 3 - Análisis estático: Te dan MD5 y un segundo hash para “detectar familia”. ¿Cuál de estos hashes tiene más sentido para agrupar variantes relacionadas aunque el archivo haya cambiado ligeramente? - Examen. MD5. SHA-256. Imphash. CRC32.

Clase 3 - Análisis estático: ¿Qué calcula ssdeep?. Context Triggered Piecewise Hashes (CTPH). Un hash criptográfico SHA-256. Un hash del certificado digital. La fecha de compilación del PE.

Clase 3 - Análisis estático:¿Qué verifica un algoritmo CTPH (como ssdeep) al comparar dos archivos?. Si tienen secuencias de bytes idénticas en el mismo orden. Si tienen el mismo nombre de archivo. Si comparten el mismo timestamp. Si están firmados por Microsoft.

Clase 3 - Análisis estático:¿Qué te devuelve ssdeep como resultado útil para clasificar variantes?. Un porcentaje de similitud entre muestras. Un listado de servicios del sistema creados. El offset de e_lfanew. El número exacto de secciones del PE.

Clase 3 - Análisis estático: ¿Qué dato concreto influye en el valor de Imphash?. Un hashing difuso basado en bibliotecas API importadas y su orden dentro del PE. Un hash criptográfico del archivo completo. Un hash calculado solo sobre recursos (.rsrc). Un hash del timestamp de compilación.

Clase 3 - Análisis estático: ¿Qué herramienta/método se menciona para calcular Imphash de un fichero en local?. Python con el módulo pefile. strings -a. Resource Hacker. TrIDNet.

Clase 3 - Análisis estático: ¿Qué se entiende por “extracción de cadenas de texto” en un fichero sospechoso?. Ejecutar el binario en sandbox para capturar tráfico de red. Identificar secuencias de caracteres imprimibles ASCII o Unicode dentro del archivo. Calcular el hash criptográfico del fichero para buscarlo en un metabuscador. Enumerar todas las secciones del PE y sus permisos.

Clase 3 - Análisis estático: ¿Cuál es la afirmación correcta sobre lo que aportan las cadenas de texto en una muestra?. Determinan con certeza el tipo exacto de malware sin análisis adicional. Sustituyen el análisis de importaciones y exportaciones. Dan una imagen clara del propósito y capacidad del malware por sí solas. No dan una imagen clara por sí solas, pero aportan indicios sobre la funcionalidad.

Clase 3 - Análisis estático: ¿Cuál de los siguientes conjuntos incluye únicamente elementos que las cadenas de texto pueden revelar típicamente en un análisis estático?. Llamadas API, nombres de archivos, IPs/dominios/URLs de C&C, claves de registro, comandos ejecutados. Magic bytes, arquitectura CPU, tabla de secciones completa, versión del compilador, certificados. Only exports, relocation table, overlay data, entropy por sección, PDB path.

Clase 3 - Análisis estático: La representación en bytes 4D 00 41 00 4C 00 57 00 41 00 52 00 45 00 00 00 corresponde a “MALWARE” terminado en NULL en: ASCII/ANSI. Unicode (con bytes 00 intercalados). Base64. Hex “little-endian” de un entero de 64 bits.

Clase 3 - Análisis estático: En la herramienta strings (CLI), ¿qué opción limita la extracción a cadenas ASCII?. -u. -n. -a. -h.

Clase 3 - Análisis estático: ¿Para qué sirve la opción -n en strings?. Forzar que el resultado se ordene por dirección virtual (VA). Extraer solo cadenas con una longitud mínima indicada. Convertir automáticamente Unicode a ASCII. Detectar y eliminar cadenas ofuscadas.

Clase 3 - Análisis estático: Si al extraer strings aparecen nombres de funciones de Windows (p. ej., “CreateFile”, “RegSetValue”), ¿qué tipo de indicio se ha encontrado?. Secciones del PE. Llamadas a la API de Windows. Hashes difusos. Marca de tiempo de compilación.

Clase 3 - Análisis estático: Si en la salida de cadenas aparecen funciones como RegCreateKeyW, RegSetValueExW y RegCloseKey, ¿qué tipo de indicio encaja mejor?. El binario está comprimido con un packer. Hay interacción con el Registro de Windows (creación/modificación de claves/valores). Se confirma que el binario es de 64 bits. Es una prueba de que el malware ya se ejecutó en el sistema.

Clase 3 - Análisis estático: ¿Qué herramienta GUI se usa para extracción de strings y permite aplicar filtros/criterios de búsqueda?. BinText. HashMyFiles. Resource Hacker. HxD.

Clase 3 - Análisis estático: Si las cadenas están ofuscadas, ¿qué ocurre normalmente si solo usas strings o BinText?. No aparecerán (o aparecerán inservibles) porque están ofuscadas. Se verán igual porque la ofuscación solo afecta al código, no a las cadenas. Aparecerán siempre en Unicode aunque fueran ASCII. Se reconstruirán automáticamente por el loader del PE.

Clase 3 - Análisis estático: ¿Qué herramienta se usa para recuperar/decodificar cadenas ofuscadas en la práctica?. FLOSS. TrID. PE-bear. VirusTotal.

Clase 3 - Análisis estático: Dos muestras tienen MD5 distinto, pero comparten Imphash. ¿Qué conclusión es la más razonable en un análisis estático inicial? - Examen. Son idénticas byte a byte. No tienen relación. Probablemente son variantes relacionadas (misma estructura de importaciones). La detección en VirusTotal es siempre falsa.

Clase 3 - Análisis estático: En un fichero PE, ¿qué campo se analiza para obtener la marca de tiempo de compilación que se usa en análisis estático? - Examen. EntryPoint. SectionAlignment. TimeDateStamp. ImportAddressTable.

Clase 3 - Análisis estático: TimeDateStamp se almacena como: BYTE. WORD. DWORD. QWORD.

Clase 3 - Análisis estático ¿Qué herramienta se usa en clase para ver TimeDateStamp directamente en un PE?. Resource Hacker. BinText. CFF Explorer. TrIDNet.

Clase 3 - Análisis estático: En CFF Explorer, el TimeDateStamp se observa típicamente dentro de: ASCII. Base64. Hexadecimal (Value) y se interpreta como time_t. Texto plano (GMT) directamente.

Clase 3 - Análisis estático: Además de CFF Explorer, ¿qué otra herramienta mostrada se usa para revisar el timestamp del PE?. HashMyFiles. FLOSS. PE-bear. HxD.

Clase 3 - Análisis estático: ¿Qué implica el recordatorio “little-endian” en la identificación de bytes “MZ”? - Examen. Que 4D 5A se interpreta como 5A 4D en la visualización de ciertos campos/lecturas. Que el archivo cambia de arquitectura a 64 bits. Que el hash SHA-256 se invierte. Que las strings Unicode pasan a ASCII.

Clase 3 - Análisis estático: ¿Cuál es una combinación correcta para identificar firma manualmente vs herramientas específicas? - Examen. Manual: HxD + lista de firmas; Herramientas: TrID/TrIDNet y CFF Explorer. Manual: PowerPoint; Herramientas: Excel. Manual: cmd.exe; Herramientas: Paint. Manual: Wireshark + tcpdump; Herramientas: Nessus.

Clase 3 - Análisis estático: ¿Qué herramienta GUI se menciona para calcular hashes criptográficos en Windows? - Examen. Resource Hacker. HashMyFiles. TrIDNet. PE-bear.

Clase 3 - Análisis estático: ¿Qué afirmación describe correctamente modo kernel vs modo usuario en Windows?. Modo usuario puede acceder sin restricciones; modo kernel es restringido. Modo kernel puede acceder sin restricciones; modo usuario es restringido. Ambos modos tienen el mismo nivel de acceso. El malware se ejecuta siempre en modo kernel.

Clase 3 - Análisis estático: ¿Por qué CreateFile() o RegSetValue() no son concluyentes por sí solos? - Examen. Porque no existen en Windows modernos. Porque su carácter malicioso depende del contexto y hay que estudiarlo. Porque solo se usan en modo kernel. Porque indican siempre una DLL maliciosa.

Clase 3 - Análisis estático: ¿Dónde se revisa “Module Name” para ver bibliotecas importadas en CFF Explorer ?. Resource Directory. Import Directory > Module Name. Export Directory > Ordinal. DOS Header > e_magic.

Clase 3 - Análisis estático: En un análisis estático, ¿qué función se asocia más directamente con crear un servicio para persistencia? - Examen. OpenMutex(). CreateService(). RegOpenKey(). CheckRemoteDebuggerPresent().

Clase 3 - Análisis estático: En un análisis estático, ¿qué función se asocia más directamente con garantizar que solo se ejecute una única instancia del malware? - Examen. OpenMutex(). CreateService(). RegOpenKey(). Connetc().

Clase 3 - Análisis estático: En un análisis estático, ¿qué función se asocia más directamente con abrir una clave del registro para leer y editar, pudiendo usarse para persistencia? - Examen. CheckRemoteDebuggerPresent(). GetKeyState(). RegOpenKey(). WriteProcessMemory().

Clase 3 - Análisis estático: En un análisis estático, ¿qué función se asocia más directamente con keylogging (obtener el estado de una tecla)? - Examen. OpenMutex(). GetKeyState(). RegOpenKey(). CreateService().

Clase 3 - Análisis estático: En un análisis estático, ¿qué función se asocia más directamente con una técnica anti-depuración (detectar si se está depurando un proceso)? - Examen. CheckRemoteDebuggerPresent(). RegOpenKey(). WriteProcessMemory(). GetKeyState().

Clase 3 - Análisis estático: En un análisis estático, ¿qué función se asocia más directamente con inyección de procesos al escribir en memoria de un proceso remoto? - Examen. connect(). WriteProcessMemory(). OpenMutex(). CreateService().

Clase 3 - Análisis estático: En un análisis estático, ¿qué función se asocia más directamente con conectarse a un servidor de comando y control (C2) mediante un socket remoto? - Examen. RegOpenKey(). connect(). GetKeyState(). CheckRemoteDebuggerPresent().

Clase 3 - Análisis estático: ¿Qué afirmación sobre exportaciones es correcta?. Solo los .exe exportan funciones. Generalmente exportan funciones los .dll y pueden ser importadas por .dll o .exe. Exportar funciones es exclusivo de drivers .sys. Las exportaciones siempre están en .rsrc.

Clase 3 - Análisis estático: ¿Qué aporta analizar funciones exportadas en una DLL sospechosa?. Permite deducir capacidades del componente. Permite obtener el hash SHA-256 sin el archivo. Sustituye el análisis de strings. Determina la arquitectura sin cabeceras.

Clase 3 - Análisis estático: ¿Qué significa OpenMutex() en el contexto de malware? - Examen. Crea un servicio del sistema para persistencia. Garantiza una única instancia mediante un mutex. Inyecta código en otro proceso. Enumera recursos del PE.

Clase 3 - Análisis estático: ¿Qué parte del PE se divide en secciones y qué representan?. El DOS Header se divide en secciones y representan certificados. El cuerpo se divide en secciones que representan código y datos. Las exportaciones se dividen en secciones que representan iconos. El import directory se divide en secciones que representan hashes.

Clase 3 - Análisis estático: ¿Qué indica la presencia de nombres de sección no comunes en un PE?. Es normal y debe ignorarse. Puede indicar comportamiento malicioso y debe revisarse. Significa que el PE es necesariamente legítimo. Significa que el PE es de 64 bits.

Clase 3 - Análisis estático: ¿Qué permisos son coherentes para una sección de código y para una sección de datos?. Código: solo escritura; Datos: solo ejecución. Código: lectura+ejecución; Datos: lectura+escritura. Código: lectura+escritura; Datos: lectura+ejecución. Código: ejecución+escritura; Datos: ejecución+escritura.

Clase 3 - Análisis estático: ¿Qué sección contiene típicamente código ejecutable?. .data. .text. rsrc. .edata.

Clase 3 - Análisis estático: ¿Qué sección contiene típicamente datos globales y variables globales?. .data. .text. rsrc. .edata.

Clase 3 - Análisis estático: Si .idata no está presente, ¿dónde puede almacenarse la información de importación?. .data. .rdata. .text. .rsrc.

Clase 3 - Análisis estático: ¿En qué sección se encuentran generalmente los recursos utilizados (iconos, diálogos, menús, cadenas)? - Examen. .text. .rdata. .text. .rsrc.

Clase 3 - Análisis estático: ¿Qué revisión de permisos es más relevante para detectar anomalías en secciones?. Que .rsrc contenga iconos. Que .data sea de lectura/escritura. Que .rdata sea solo lectura. Que el código (.text) sea escribible además de ejecutable.

Clase 3 - Análisis estático: Un PE tiene únicamente dos secciones (.text y .rsrc). ¿Qué interpretación es más razonable? - Examen. Nunca puede ser malware. Puede ser una estructura mínima intencionada para evasión/ocultación. Es necesariamente un documento Office. Es obligatoriamente un driver .sys.

Clase 3 - Análisis estático: Si en la tabla de importaciones aparece Kernel32.dll, ¿qué funcionalidad sugiere principalmente? - Examen. Funciones de red de alto nivel (HTTP/FTP). Funcionalidad básica (core): acceso/manipulación de memoria, ficheros y hardware. Componentes de interfaz de usuario (botones, scroll, etc.). Funciones para mostrar y manipular gráficos.

Clase 3 - Análisis estático: Si en la tabla de importaciones aparece Advapi32.dll, ¿qué funcionalidad sugiere principalmente? - Examen. Interfaz directa con el kernel de Windows. Acceso a componentes avanzados como Service Manager y el Registro. Funciones de red que facilitan conectividad (sockets). Funciones para manipular gráficos.

Clase 3 - Análisis estático: Si en la tabla de importaciones aparece User32.dll, ¿qué funcionalidad sugiere principalmente? - Examen. Conectividad de red de bajo nivel (sockets). Interfaz con el kernel de Microsoft Windows. Componentes de la interfaz de usuario (botones, barras de desplazamiento, etc.). Funciones de red de alto nivel (WinINet).

Clase 3 - Análisis estático: Si en la tabla de importaciones aparece Gdi32.dll, ¿qué funcionalidad sugiere principalmente? - Examen. Manipulación de gráficos / visualización. Gestión de servicios del sistema (Service Manager). Conexión a red mediante sockets. Acceso y manipulación de memoria y ficheros (core).

Clase 3 - Análisis estático: Si en la tabla de importaciones aparece WSock.dll, ¿qué funcionalidad sugiere principalmente? - Examen. Conectividad de red y tareas relacionadas con la conexión a red. Servicios del sistema y Registro. Manipulación gráfica avanzada. Interfaz directa con el kernel (NT).

Clase 3 - Análisis estático: Si en la tabla de importaciones aparece Ws2_32.dll, ¿qué interpretación es más coherente? - Examen. Funciones de red (Winsock) que facilitan conectividad. Componentes de UI (botones, ventanas). Gestión de servicios (Service Manager). Funciones de gráficos (GDI).

Clase 3 - Análisis estático: Si en la tabla de importaciones aparece Wininet.dll, ¿qué funcionalidad sugiere principalmente? - Examen. Funciones de red de alto nive. Interfaz con el kernel (NT). Funciones de gráficos (GDI). Acceso a hardware/memoria/ficheros (core).

Clase 4 – Registro de Windows:¿Qué clave de registro almacena los archivos registrados, sus extensiones y programas asociados? - Examen. HKEY_CURRENT_USER (HKCU). HKEY_LOCAL_MACHINE (HKLM). HKEY_CLASSES_ROOT (HKCR). HKEY_USERS (HKU).

Clase 4 – Registro de Windows:¿Cuál de las siguientes definiciones describe mejor el Registro de Windows? - Examen. Un sistema de archivos alternativo para almacenar documentos del usuario. Una base de datos jerárquica y centralizada de configuración del sistema y aplicaciones. Un servicio de red para distribuir políticas de seguridad en dominios. Un repositorio temporal que se borra por completo al reiniciar.

Clase 4 – Registro de Windows: ¿Qué clave predefinida almacena la configuración de la cuenta del usuario que ha iniciado sesión? - Examen. HKEY_LOCAL_MACHINE (HKLM). HKEY_CURRENT_USER (HKCU). HKEY_CURRENT_CONFIG (HKCC). HKEY_CLASSES_ROOT (HKCR).

Clase 4 – Nomenclatura: En la ruta: Equipo\HKEY_LOCAL_MACHINE\SYSTEM\DriverDatabase ¿qué parte corresponde a la clave predefinida?. Equipo. HKEY_LOCAL_MACHINE. SYSTEM. DriverDatabase.

Clase 4 – Nomenclatura: En la ruta: Equipo\HKEY_LOCAL_MACHINE\SYSTEM\DriverDatabase ¿a qué corresponde DriverDatabase?. Valor. Subclave. Tipo. Dato.

Clase 4 – Claves predefinidas: ¿Qué clave predefinida se asocia a extensiones y programas asociados?. HKCU. HKLM. HKCR. HKCC.

Clase 4 – Claves predefinidas: ¿Qué clave predefinida almacena la configuración de todos los usuarios?. HKCU. HKU. HKCR. HKCC.

Clase 4 – Claves predefinidas: ¿Qué clave predefinida almacena información sobre la configuración actual del equipo?. HKCU. HKU. HKCR. HKCC.

Clase 4 – Clasificación por técnica: Process Hollowing se asocia principalmente con…. Persistencia. Inyección. Hooking. Cifrado.

Clase 4 – Clasificación por técnica: SetWindowsHookEx se relaciona con…. Persistencia. Inyección. Hooking. Cifrado.

Clase 2 – JXX (Carry Flag): ¿Cuándo se ejecuta el salto condicional JC <lbl>? - Examen. Cuando ZF=1. Cuando SF=1. Cuando CF=1. Cuando OF=0.

Clase 2 – JXX (Carry Flag): ¿Cuándo se ejecuta el salto condicional JNC <lbl>? - Examen. Cuando CF=0. Cuando CF=1. Cuando OF=1. Cuando SF=1.

Clase 2 – JXX (Carry Flag): ¿Cuándo se ejecuta el salto condicional JO <lbl>? - Examen. Cuando CF=0. Cuando CF=1. Cuando OF=1. Cuando SF=1.

Clase 2 – JXX (Carry Flag): ¿Cuándo se ejecuta el salto condicional JS <lbl>?- Examen. Cuando CF=0. Cuando CF=1. Cuando OF=1. Cuando SF=1.

Clase 3 – Análisis dinámico: ¿Qué conjunto describe correctamente las técnicas básicas que se aplican en análisis dinámico? - Examen. Extracción de strings, hashing, inspección de secciones PE, recursos. Monitorización de procesos, sistema de ficheros, registro de Windows y captura de red. Decompilación, desensamblado y análisis de imports. YARA, firmas AV y reputación online.

Clase 3 – Análisis dinámico: ¿Cuál es el propósito principal de ProcDOT dentro del flujo de análisis dinámico?. Capturar paquetes de red y decodificar protocolos. Crear una representación gráfica a partir de los eventos registrados por Procmon. Depurar el binario paso a paso con breakpoints. Comparar cambios de registro antes/después de ejecutar el malware.

Clase 3 – Análisis dinámico: ¿Qué herramienta se usa para la monitorización/simulación de red durante el análisis dinámico?. Regshot. dnSpy. FakeNet. CFF Explorer.

Clase 3 – Análisis dinámico: ¿Qué mide principalmente Regshot en un análisis dinámico básico?. Cambios en memoria del proceso a nivel de ensamblador. Funciones importadas/exportadas por un PE. Diferencias antes/después en el sistema de archivos y el registro de Windows. Tráfico DNS/HTTP en tiempo real.

Clase 3 – Análisis dinámico: ¿Cuál opción describe correctamente los dos grandes tipos de depuradores?. De red vs de disco. Nivel fuente (código de alto nivel) vs bajo nivel (código máquina/desensamblado).

Clase 3 – Análisis dinámico: ¿En qué consiste el análisis dinámico avanzado de malware en Windows?. En analizar el binario sin ejecutarlo mediante strings e imports. En ejecutar el binario sospechoso usando depuradores para analizarlo mientras se ejecuta.

Clase 3 – Análisis dinámico: Para depurar un ejecutable compilado con .NET Framework/.NET Core/Unity, ¿qué herramienta encaja mejor?. Procmon. dnSpy. Regshot.

Clase 3 – Análisis dinámico: ¿Qué herramienta se asocia directamente al análisis/decompilación de Java bytecode?. Ghidra (C). IDA Pro/Free. Bytecode Viewer (Java).

Clase 3 – Análisis dinámico: ¿Qué herramienta se asocia directamente a análisis estático avanzado de binarios .NET? - Examen. Ghidra (C). IDA Pro/Free. Bytecode Viewer (Java). dnSpy.

Clase 3 – Análisis dinámico: ¿Qué herramienta se incluye específicamente para Delphi?. Ghidra (C). IDA Pro/Free. Bytecode Viewer (Java). Interactive Delphi Reconstructor.