Hexwalk en Kali Linux

https://www.onlinetis.com

Hexwalk en Kali Linux

Parece que estás interesado en Hexwalk, una herramienta de análisis forense y visualización de datos que se utiliza frecuentemente en entornos como Kali Linux.

Hexwalk es un analizador de archivos binarios (un "Hex Viewer" o visor hexadecimal) de nueva generación. Su objetivo principal no es solo mostrar los ceros y unos, sino ayudar a los analistas a encontrar patrones, estructuras de archivos ocultas o anomalías dentro de datos crudos.

Aquí tienes un resumen de lo que puedes hacer con él en Kali:

Características Principales

  • Análisis de Entropía: Permite ver gráficamente qué partes de un archivo están comprimidas o cifradas. Una entropía alta suele indicar datos ocultos o cifrado.

  • Detección de Estructuras: Identifica automáticamente cabeceras de archivos y estructuras conocidas dentro de un binario.

  • Interfaz Moderna: A diferencia de los clásicos hexdump o xxd de terminal, Hexwalk ofrece una interfaz gráfica (GUI) mucho más intuitiva para navegar por archivos grandes.

  • Búsqueda de Patrones: Facilita la localización de secuencias específicas o "magic bytes" que definen el tipo de archivo.

Cómo instalarlo en Kali Linux

Aunque Hexwalk no siempre viene preinstalado por defecto en todas las versiones de Kali, puedes instalarlo fácilmente. Generalmente se distribuye a través de paquetes de Debian o compilando su código desde GitHub.

Para una instalación rápida si está en los repositorios:

Bash
sudo apt update
sudo apt install hexwalk

¿Cuándo usarlo?

  1. Análisis de Malware: Para buscar cadenas de texto (strings) ocultas o secciones de código sospechosas.

  2. CTFs (Capture The Flag): Es excelente para retos de esteganografía o forense donde necesitas encontrar un archivo dentro de otro.

  3. Recuperación de Datos: Para entender por qué un archivo está corrupto revisando su cabecera manualmente.

Nota: Si lo que buscas es una alternativa clásica de terminal, siempre puedes contar con hexeditor o imhex, siendo este último muy similar en potencia a Hexwalk.

Para analizar archivos específicos en Kali Linux con Hexwalk (o herramientas similares de línea de comandos), el enfoque cambia según lo que busques: metadatos, contenido oculto o estructura binaria.

Aquí tienes una guía de los comandos y técnicas más efectivos:

1. Análisis de Archivos de Imagen (Forense/Esteganografía)

Si sospechas que una imagen contiene datos ocultos o quieres ver su estructura interna:

  • Identificación rápida:

    file nombre_archivo.jpg (Te dice el tipo real de archivo, independientemente de su extensión).

  • Extraer datos embebidos:

    Si Hexwalk te muestra una anomalía de entropía al final del archivo, usa:

    binwalk -e nombre_archivo.jpg (Extrae archivos ocultos dentro de la imagen).

  • Ver metadatos (EXIF):

    exiftool nombre_archivo.jpg

2. Análisis de Ejecutables (Malware/Ingeniería Inversa)

Para archivos .exe, .elf o scripts sospechosos:

  • Buscar cadenas de texto legibles:

    strings -n 10 nombre_archivo.exe (Filtra solo palabras de más de 10 caracteres; útil para encontrar IPs, URLs o mensajes de error).

  • Verificar dependencias (Librerías):

    ldd nombre_archivo (Para binarios de Linux).

  • Análisis de secciones con Hexwalk:

    Abre el archivo en la interfaz de Hexwalk y busca la pestaña de "Sections". Los ejecutables suelen tener secciones como .text (código) y .data (variables). Si ves una sección con nombre extraño o entropía muy alta, podría estar empaquetado (packed) o cifrado.

3. Análisis de Documentos (PDF/Office)

Los documentos suelen usarse para ocultar scripts maliciosos.

  • Analizar estructura de PDF:

    pdfid documento.pdf (Busca indicadores sospechosos como /JavaScript o /OpenAction).

  • Extraer objetos de un PDF:

    pdf-parser -a documento.pdf

  • Documentos de Office (Docx/Xlsx):

    Como son archivos ZIP disfrazados, puedes usar:

    unzip -l documento.docx (Lista el contenido sin descomprimir).

Tabla de Comandos Rápidos

ObjetivoComando RecomendadoQué hace
Entropíahexwalk (GUI)Visualiza si el archivo está cifrado.
FirmasbinwalkBusca archivos dentro de archivos.
CadenasstringsExtrae texto del binario.
Tipo realfileConfirma el formato real del archivo.
Offsetshexdump -CMuestra el hexadecimal en consola.

Ejemplo práctico en Hexwalk

Si abres un archivo y la gráfica de entropía se mantiene plana y alta (cerca de 8), significa que los datos son aleatorios. Esto ocurre en dos casos:

  1. El archivo es un contenedor cifrado (como una unidad VeraCrypt).

  2. El archivo está comprimido (como un .zip o .7z).

Si ves una caída repentina de la entropía a 0, has encontrado un "padding" o espacio vacío de bytes nulos (00), lo cual suele ser un buen lugar para esconder información.

¡Excelente! Vamos a realizar un análisis práctico. Como no puedo "ver" tu archivo directamente, vamos a simular que tienes un archivo sospechoso llamado secreto.bin o un ejecutable.

Para analizar un archivo a fondo en Kali, estos son los pasos lógicos que debes seguir usando la terminal y Hexwalk:

Paso 1: Identificación de la "Firma" (Magic Bytes)

Antes de abrir Hexwalk, debemos saber a qué nos enfrentamos. Muchos archivos maliciosos cambian su extensión (por ejemplo, un .exe que se hace pasar por .jpg).

Bash
file secreto.bin

  • En qué fijarse: Si el comando dice PE32 executable, es un archivo de Windows. Si dice ELF 64-bit, es de Linux. Si dice data, es un archivo genérico o está cifrado/ofuscado.

Paso 2: Análisis de Entropía en Hexwalk

Abre el archivo con Hexwalk (interfaz gráfica). La entropía mide el desorden de los datos en una escala de 0 a 8.

  • Entropía cercana a 8 (Bloques rojos/altos): Indica datos comprimidos, cifrados o secciones de código empaquetado (como malware con UPX).

  • Entropía baja (0 a 3): Indica texto plano, cabeceras estándar o grandes bloques de ceros (00).

Paso 3: Búsqueda de "Strings" (Cadenas de texto)

Si el archivo no está totalmente cifrado, podemos extraer información valiosa como IPs de servidores C2 (Command & Control) o rutas de archivos.

Bash
strings -n 8 secreto.bin | head -n 20

  • Tip: Busca palabras clave como http, powershell, cmd.exe, o nombres de funciones de la API de Windows como CreateRemoteThread.

Paso 4: Análisis de Estructura Interna (Carving)

A veces, un archivo es solo un "contenedor" que esconde otro dentro. Hexwalk te permite ver los desplazamientos (offsets), pero binwalk automatiza la búsqueda de firmas ocultas.

Bash
binwalk -B secreto.bin

  • Resultado esperado: Te dirá algo como: Decimal: 1024 | Hex: 0x400 | Description: Zlib compressed data. Esto significa que a partir del byte 1024 hay datos comprimidos que podrías extraer.

Resumen de inspección visual en Hexwalk

Cuando estés dentro de la interfaz de Hexwalk, fíjate en estos tres puntos clave:

  1. El Header (Cabecera): Los primeros bytes. Por ejemplo, 4D 5A (MZ) indica un ejecutable de Windows; 7F 45 4C 46 es un ejecutable ELF de Linux.

  2. El "Null Padding": Si ves muchas filas de 00 00 00, es espacio reservado. Los atacantes suelen inyectar código (Shellcode) aquí porque no altera el tamaño total del archivo.

  3. Secciones de Datos: Si ves una sección llamada .rsrc o .reloc con mucha densidad de datos, suele contener iconos, diálogos o incluso el "payload" real del virus.

Location: España

Entradas populares de este blog

Hacking y ciberseguridad en kali linux con Fping

Imagen
  www.onlinetis.com   Hacking y ciberseguridad en kali linux con Fping Fping es un programa similar a ping que utiliza la solicitud de eco del Protocolo de Mensajes de Control de Internet (ICMP) para determinar si un host objetivo responde. fping se diferencia de ping en que permite especificar cualquier número de objetivos en la línea de comandos o un archivo con las listas de objetivos a los que se hará ping. En lugar de enviar a un objetivo hasta que se agote el tiempo de espera o responda, fping envía un paquete de ping y pasa al siguiente objetivo mediante un sistema de turnos rotatorios. Como instalar:  sudo apt install fping fping Enviar paquetes ICMP ECHO_REQUEST a los hosts de la red   fping6 Compatibilidad con versiones anteriores de fping anteriores a la versión 4.0 El comando fping en Kali Linux es una utilidad de red que se utiliza para enviar paquetes de ICMP (Protocolo de mensajes de control de Internet) a varios hosts de forma simultánea. A diferen...
LEER MAS »

Hacking y ciberseguridad en kali linux con atk6-thcping6

Imagen
www.onlinetis.com Hacking y ciberseguridad en kali linux con atk6-thcping6 Parece que estás interesado en usar atk6-thcping6 en Kali Linux. Esta herramienta es parte del conjunto de utilidades thc-ipv6 , diseñado para probar las debilidades del protocolo IPv6. Para usar atk6-thcping6 , primero necesitas tener instalado el paquete thc-ipv6 . En la mayoría de las distribuciones de Kali, ya viene preinstalado, pero si no, puedes instalarlo con el siguiente comando: Bash sudo apt install thc-ipv6 Una vez que lo tienes instalado, la sintaxis básica para atk6-thcping6 es: Bash atk6-thcping6 <interface> <target> [opciones] Aquí está el desglose de los argumentos y opciones más comunes: <interface> : La interfaz de red que usarás para enviar el paquete. Por ejemplo, eth0 , wlan0 , etc. <target> : La dirección IPv6 del objetivo al que quieres hacer ping. [opciones] : Puedes usar varias opciones para modificar el comportamiento del ping. La mejor manera de ver todas la...
LEER MAS »

Como utilizar Fierce en kali linux

Imagen
  www.onlinetis.com   Como utilizar Fierce en kali linux Fierce es un escáner semiligero que ayuda a localizar direcciones IP no contiguas y nombres de host en dominios específicos. Está pensado como precursor de nmap, unicornscan, nessus, nikto, etc., ya que todos ellos requieren que se conozca previamente el espacio IP buscado. No realiza exploits ni escanea internet indiscriminadamente. Está diseñado específicamente para localizar objetivos probables tanto dentro como fuera de una red corporativa. Dado que utiliza principalmente DNS, es frecuente encontrar redes mal configuradas que filtran el espacio de direcciones interno. Esto es especialmente útil en malware dirigido. Originalmente escrito por RSnake y otros en http://ha.ckers.org/. Se trata simplemente de una conversión a Python 3 para simplificar y modernizar el código base. Como instalar: sudo apt install fierce Escáner DNS que ayuda a localizar espacios de IP no contiguos y nombres de host contra dominios específico...
LEER MAS »