HackTheKnowledge logo
◈ Paquete de ruta

Windows Malware

Desde triaje estático de malware hasta desempaquetado con x64dbg, elusión de anti-debugging, análisis de inyección de procesos y hollowing, extracción de configuración C2 e informes DFIR mapeados con MITRE ATT&CK — todo en laboratorios FLARE-VM aislados con herramientas de grado profesional.

Ahorra 79 EUR
Join Waitlist →Comienza con principiante · 119Ir a intermedio →

Herramientas de laboratorio que usarás

FLARE-VMEnvironmentx64dbgDebuggerScyllaHideLab toolPE-StudioStatic analysisProcmonMonitoringProcess ExplorerMonitoringCAPADetectionYARADetectionFakeNet-NGNetworkWiresharkNetworkFLARE-VMEnvironmentx64dbgDebuggerScyllaHideLab toolPE-StudioStatic analysisProcmonMonitoringProcess ExplorerMonitoringCAPADetectionYARADetectionFakeNet-NGNetworkWiresharkNetwork
AutorunsPersistenceDIEStatic analysisFLOSSStringsScyllaUnpackingPE-sieveDetectionHollowsHunterLab toolCyberChefDecoderSysmonLab toolSigmaDetectionAutorunsPersistenceDIEStatic analysisFLOSSStringsScyllaUnpackingPE-sieveDetectionHollowsHunterLab toolCyberChefDecoderSysmonLab toolSigmaDetection

Cursos incluidos

PRINCIPIANTE

Windows Malware Beginner

Domina los fundamentos del análisis de malware en Windows: triaje estático, ejecución dinámica, detección de C2, rastreo de persistencia y mapeo con MITRE ATT&CK en un entorno de laboratorio FLARE-VM guiado.

1 laboratorio guiado12h

119 EUR

Ver detalles de principiante →
INTERMEDIO

Windows Malware Intermediate

Análisis de malware en Windows a nivel intermedio: elude anti-debug y evasión de sandbox, desempaqueta binarios manualmente con x64dbg y ScyllaHide, detecta inyección de procesos y hollowing, extrae configuraciones C2 y genera informes DFIR.

2 laboratorio guiado14h

159 EUR

Ver detalles de intermedio →

¿Por qué elegir el paquete completo?

Obtén los cursos de principiante + intermedio agrupados juntos y desbloquea extras exclusivos.

Cursos Principiante + Intermedio (26h)
Los 4 laboratorios guiados con VMs aisladas
Todos los exámenes por módulo + certificación
2 certificados HTK (Principiante + Intermedio)
Laboratorio extra de consolidación
Acceso de por vida + soporte prioritario
Acceso a la comunidad HTK
199278
Ahorra 79
Join Waitlist →

Tu hoja de ruta de aprendizaje

Cada fase corresponde a un módulo del curso. Desplázate para construir tu progresión completa, desde los fundamentos de principiante hasta el dominio intermedio.

1

Fase 1

Principiante

Introducción al Malware y Entornos de Análisis

Comienza tu viaje en Windows Malware con el curso de principiante.

  • Taxonomía de malware por capacidad: ransomware, stealers, RATs, loaders, bots
  • Anatomía de una cadena de infección moderna: dropper → loader → payload → persistencia → C2
  • Flujo de trabajo de análisis profesional: triaje estático → ejecución dinámica → correlación → documentación
2

Fase 2

Principiante

Análisis Estático Inicial

  • Análisis de muestras sin ejecución: estructura PE, secciones, entropía, importaciones, recursos y cadenas
  • Detección temprana de empaquetado y ofuscación con DIE, PEStudio y PEview
  • Extracción de IOCs estables: hashes, dominios, rutas de archivo, mutexes, artefactos de configuración
3

Fase 3

Principiante

Análisis Dinámico Básico

  • Flujo de ejecución controlada: snapshot → monitores → ejecutar → filtrar → exportar → revertir
  • Observación de procesos e hilos con Procmon y Process Explorer
  • Monitoreo de sistema de archivos, registro y red (DNS, HTTP, beaconing, patrones C2)
4

Fase 4

Principiante

Comunicación C2 y Persistencia Básica

  • Fundamentos de Command and Control: protocolos, patrones de beaconing, periodicidad y telemetría
  • Lectura del tráfico HTTP/HTTPS y DNS en contexto de malware con Wireshark y FakeNet-NG
  • Mecanismos de persistencia en Windows: Run keys, carpeta de Inicio, ASEPs, tareas programadas, servicios
5

Fase 5

Principiante

Caso Práctico Completo + Mapeo MITRE ATT&CK

  • MITRE ATT&CK para analistas: lenguaje de comportamiento, no memorización de IDs
  • Caso práctico guiado de extremo a extremo: triaje estático → análisis dinámico → extracción de IOCs → mapeo ATT&CK
  • Mapeo de 2–4 técnicas reales con evidencia concreta
6

Fase 6

Intermedio

Empaquetado, Ofuscación y Técnicas Anti-Análisis

Avanza a escenarios complejos con el curso intermedio.

  • Fundamentos de empaquetado: arquitectura stub + payload, análisis de entropía con DIE y PEStudio, identificación de UPX y packers personalizados
  • Desactivar ASLR para análisis controlado: flag dynamic-base PE, técnicas BCD edit y CFF Explorer
  • Ofuscación de cadenas: cadenas XOR, RC4 y base64 — decodificación con FLOSS y recetas CyberChef
7

Fase 7

Intermedio

Desempaquetado Manual con x64dbg y Scylla

  • Identificación de binarios empaquetados: análisis de entropía DIE + PEStudio, recuento de funciones importadas como señal de empaquetado
  • EP vs OEP: entendiendo el flujo de ejecución del stub del packer y patrones tail-jump (jmp rax, push+ret, secuencias call-return)
  • Flujo de trabajo de desempaquetado con x64dbg: cargar muestra → establecer breakpoints en VirtualAlloc/VirtualProtect → rastrear ejecución del stub → llegar al OEP
8

Fase 8

Intermedio

Análisis de Inyección de Procesos y Process Hollowing

  • Inyección clásica de shellcode: OpenProcess → VirtualAllocEx → WriteProcessMemory → CreateRemoteThread — rastreo paso a paso en x64dbg
  • Memoria ejecutable privada como artefacto forense clave: sin nombre de módulo, permisos RX/RWX — identificación en Process Explorer y Process Hacker
  • Inyección de DLL vía LoadLibrary: detectando eventos Load Image en Procmon, confirmando la lista de módulos en Process Explorer
9

Fase 9

Intermedio

Análisis de Tráfico C2 y Extracción de Configuración

  • Patrones de beaconing: análisis de periodicidad y jitter (Cobalt Strike default 60s, Meterpreter 5s) — visualización de anomalías de temporización con Wireshark IO Graph
  • Indicadores C2 HTTP: rutas URI consistentes (patrones gate.php), suplantación de user-agent, cuerpo POST codificado en base64, consistencia de content-length
  • Análisis C2 HTTPS: extracción de SNI, detección de certificados auto-firmados, fingerprinting JA3/JA3S, flags de corta validez y sin SAN
10

Fase 10

Intermedio

Caso Práctico Completo — De la Muestra al Informe DFIR

  • Pipeline completo del analista: SHA256 → VirusTotal → triaje estático (DIE, PEStudio, FLOSS, CAPA) → desempaquetado (x64dbg + ScyllaHide + Scylla) → análisis dinámico → detección de inyección (PE-sieve) → análisis C2 Wireshark → decodificación config CyberChef → mapeo MITRE → informe IOC
  • Caso práctico guiado: loader empaquetado con UPX → elusión anti-debug con ScyllaHide → identificación OEP → volcado Scylla + corrección IAT → inyección de proceso en Notepad.exe (T1055) → persistencia en registro vía Run key HKCU (T1547.001) → beacon C2 con gate.php, POST, cuerpo base64, 30s + jitter → extracción de config JSON
  • Estructura del informe DFIR: resumen ejecutivo, tabla de TTPs de MITRE ATT&CK con evidencia forense, lista de IOCs (hashes, dominios, IPs, rutas de archivo, claves de registro, nombres de mutex, patrones de red) y recomendaciones defensivas
Ruta de aprendizaje Windows Malware: de principiante a intermedio | HackTheKnowledge