Principiantecheatsheetsrecursosmalware-analysisherramientasreferencia

Top 20 Cheatsheets de Análisis de Malware

Recopilación curada de los 20 mejores cheatsheets gratuitos para análisis de malware. Desde reversing con Ghidra y x64dbg hasta análisis de memoria con Volatility, tráfico de red con Wireshark y detección con YARA y Sigma.

MalwareIntel Research··10 min lectura
Serie: Handbooks y Guías Gratuitas — Parte 1

Por que necesitas cheatsheets en analisis de malware

El analisis de malware requiere dominar decenas de herramientas, cada una con su propia sintaxis, atajos y opciones. Nadie memoriza todos los comandos de Volatility, todos los filtros de Wireshark o toda la sintaxis de YARA. Los cheatsheets existen para eso: tenerlos a mano mientras trabajas.

La diferencia entre un analista junior y uno senior no es que el senior lo memorice todo. Es que el senior sabe exactamente donde buscar cada comando y lo encuentra en segundos. Un buen repertorio de cheatsheets es parte fundamental del toolkit de cualquier analista.

Este articulo recopila los 20 mejores cheatsheets gratuitos, organizados por categoria. Cada uno incluye una descripcion de que cubre, para quien es util y donde descargarlo.

Categoria 1: Analisis estatico y reversing

1. Ghidra Cheat Sheet (SANS)

El cheatsheet oficial de SANS para Ghidra cubre la interfaz completa del desensamblador de la NSA. Incluye atajos de teclado para navegacion, renombrado de funciones, anotaciones, busqueda de strings y cross-references. Tambien documenta los scripts de Python y Java mas utiles para automatizar tareas repetitivas.

Ideal para analistas que migran de IDA Pro a Ghidra o que empiezan directamente con Ghidra como herramienta principal de reversing.

Formato: PDF, 2 paginas. Autor: SANS Institute.

2. x64dbg Cheat Sheet

Referencia rapida del debugger x64dbg que cubre breakpoints (hardware, software, condicionales), stepping (step into, step over, step out), inspeccion de memoria y registros, y los plugins mas utiles como ScyllaHide para anti-anti-debug.

Especialmente util para analisis dinamico de malware en Windows. Incluye una seccion de patrones comunes: como encontrar el entry point real tras unpacking, como identificar llamadas a la API de Windows y como poner breakpoints en funciones criptograficas.

Formato: PDF, 3 paginas. Autor: Comunidad x64dbg.

3. IDA Pro Quick Reference

Aunque IDA Pro es de pago, este cheatsheet gratuito cubre los atajos fundamentales que todo reverser necesita: navegacion por funciones (G), renombrado (N), cross-references (X), grafos de flujo, busqueda de patrones binarios y uso basico de IDAPython.

Es el cheatsheet mas veterano de la lista. Lleva circulando por la comunidad desde hace mas de una decada y se actualiza periodicamente con cada version major de IDA.

Formato: PDF, 2 paginas. Autor: Hex-Rays (comunidad).

4. Radare2/Rizin Command Reference

Radare2 (y su fork Rizin) tiene una curva de aprendizaje famosa por su dificultad. Este cheatsheet es casi obligatorio: cubre los modos de operacion (visual, panel, hex), los comandos de analisis (aaa, afl, pdf), busqueda de strings y patrones, emulacion con ESIL y scripting con r2pipe.

Sin este cheatsheet, usar radare2 es un ejercicio de frustracion. Con el, se convierte en una herramienta extremadamente potente para analisis rapido de binarios.

Formato: PDF, 4 paginas. Autor: Comunidad radare2.

Categoria 2: Analisis dinamico y sandboxing

5. REMnux Cheat Sheet

REMnux es la distribucion Linux de referencia para analisis de malware. Este cheatsheet documenta las herramientas preinstaladas organizadas por tarea: analisis de documentos (oletools, pdfid), analisis de red (fakenet-ng, inetsim), reversing (Ghidra, radare2), analisis de memoria (Volatility) y analisis de scripts (de4dot, jstool).

Es el punto de partida perfecto para montar un laboratorio de analisis. En lugar de instalar 50 herramientas una por una, REMnux las trae todas preconfiguradas.

Formato: PDF, 2 paginas. Autor: Lenny Zeltser (SANS).

6. FlareVM Cheat Sheet

FlareVM es el equivalente Windows de REMnux: un script que convierte una VM de Windows en un laboratorio de analisis de malware con todas las herramientas preinstaladas. El cheatsheet lista las herramientas por categoria y los comandos de actualizacion y mantenimiento.

Imprescindible para analisis dinamico de malware Windows, que sigue siendo la plataforma dominante en malware.

Formato: Markdown en GitHub. Autor: Mandiant (Google).

7. ProcMon/Process Monitor Filters Cheatsheet

Process Monitor de Sysinternals es la herramienta mas usada para analisis dinamico en Windows. Este cheatsheet lista los filtros mas utiles para analisis de malware: operaciones de registro (persistence), creacion de procesos (ejecucion), escritura de ficheros (dropper activity), conexiones de red y operaciones con pipes.

Incluye combinaciones de filtros preconfiguradas para detectar patrones comunes: instalacion de servicios, inyeccion en procesos, comunicacion con C2 y exfiltracion de datos.

Formato: PDF, 2 paginas. Autor: SANS.

Categoria 3: Analisis de memoria

8. Volatility 2 Cheat Sheet

Aunque Volatility 3 es la version actual, muchos analistas siguen usando Volatility 2 para perfiles de Windows antiguos. Este cheatsheet cubre los plugins esenciales: pslist, pstree, netscan, malfind, dlllist, handles, cmdline y los plugins de extraccion como procdump y memdump.

Incluye una tabla de equivalencias Volatility 2 a Volatility 3 para facilitar la migracion.

Formato: PDF, 2 paginas. Autor: SANS.

9. Volatility 3 Command Reference

El cheatsheet actualizado para Volatility 3 con la nueva sintaxis de plugins (windows.pslist, windows.netscan, windows.malfind). Cubre la deteccion de codigo inyectado, procesos ocultos, conexiones de red sospechosas y extraccion de artefactos de memoria.

Articulo dedicado en esta serie: Volatility 3 Cheatsheet: Todos los Comandos Esenciales.

Formato: PDF, 3 paginas. Autor: Volatility Foundation.

10. Memory Forensics Cheat Sheet (SANS FOR508)

Derivado del curso SANS FOR508 Advanced Incident Response, este cheatsheet cubre el flujo completo de analisis de memoria forense: adquisicion (winpmem, LiME), analisis (Volatility), y correlacion con timeline del disco. Incluye indicadores de inyeccion de codigo, rootkits y tecnicas de evasion de memoria.

Formato: PDF, 2 paginas. Autor: SANS.

Categoria 4: Analisis de red y trafico

11. Wireshark Display Filters Cheat Sheet

Referencia completa de filtros de display de Wireshark para analisis de trafico malicioso. Cubre filtros para HTTP/HTTPS, DNS (tunneling, DGA), SMTP (exfiltracion), SMB (lateral movement), y protocolos C2 comunes.

Articulo dedicado en esta serie: Wireshark: Filtros Esenciales para Analisis de Trafico Malicioso.

Formato: PDF, 2 paginas. Autor: SANS.

12. tcpdump Quick Reference

Para cuando necesitas captura de trafico en linea de comandos, especialmente en servidores Linux o durante incident response. Cubre la sintaxis de filtros BPF, opciones de captura, rotacion de ficheros y los one-liners mas utiles para detectar trafico C2, escaneos de puertos y exfiltracion DNS.

Formato: PDF, 1 pagina. Autor: Comunidad.

13. Zeek (Bro) Log Reference

Zeek genera logs estructurados del trafico de red que son oro para threat hunting. Este cheatsheet documenta los campos de cada tipo de log (conn.log, dns.log, http.log, ssl.log, files.log) y las queries mas utiles para detectar actividad maliciosa.

Formato: PDF, 3 paginas. Autor: Corelight.

Categoria 5: Deteccion y hunting

14. YARA Rules Syntax Reference

Referencia de la sintaxis completa de YARA: strings (text, hex, regex), condiciones (and, or, of, for, at), modulos (pe, elf, math, hash) y modificaciones (nocase, ascii, wide, fullword). Incluye ejemplos de reglas para detectar packers, cryptominers y familias de malware comunes.

Articulo dedicado en esta serie: YARA y Sigma Cheatsheet: Sintaxis y Ejemplos Rapidos.

Formato: PDF, 2 paginas. Autor: VirusTotal.

15. Sigma Rules Quick Reference

Referencia de la sintaxis Sigma para reglas de deteccion agnósticas de SIEM. Cubre la estructura YAML, operadores de busqueda (contains, startswith, endswith, re), modificadores, condiciones y la conversion a formatos nativos (Splunk SPL, Elastic KQL, Microsoft Sentinel).

Formato: PDF, 2 paginas. Autor: SigmaHQ.

16. MITRE ATT&CK Quick Reference

Resumen de las 14 tacticas, las tecnicas mas frecuentes por tactica y los data sources necesarios para detectar cada una. Incluye un mapa de cobertura minima recomendada para un SOC con recursos limitados.

Articulo dedicado en esta serie: MITRE ATT&CK Cheatsheet: Referencia Rapida para el SOC.

Formato: PDF, 2 paginas. Autor: MITRE Corporation.

Categoria 6: Analisis de documentos y scripts

17. oletools Cheat Sheet

Referencia de las herramientas oletools para analisis de documentos Office maliciosos: olevba (extraccion de macros), oleid (identificacion), oledump (streams OLE), rtfobj (objetos RTF). Incluye los one-liners mas utiles para triaje rapido de adjuntos sospechosos.

Formato: Markdown en GitHub. Autor: Philippe Lagadec.

18. PowerShell Deobfuscation Reference

Guia de tecnicas de deofuscacion de scripts PowerShell maliciosos. Cubre las tecnicas mas comunes: string concatenation, base64 encoding, compression (GZip/Deflate), invoke-expression chains y variable substitution. Incluye comandos para deofuscar cada tecnica.

Formato: PDF, 2 paginas. Autor: Comunidad DFIR.

Categoria 7: Formatos y estructuras

19. PE File Format Cheat Sheet

Referencia visual del formato Portable Executable (PE) de Windows. Cubre los headers (DOS, PE, Optional), secciones (.text, .data, .rsrc, .reloc), Import/Export tables, y los campos mas relevantes para identificar anomalias: section entropy, suspicious imports, TLS callbacks y overlay data.

Formato: PDF, 2 paginas con diagramas. Autor: Comunidad.

20. ELF Format Quick Reference

Equivalente al anterior para binarios Linux. Cubre el header ELF, program headers, section headers, tabla de simbolos y los campos relevantes para analisis de malware Linux: secciones anomalas, entry point modificado, tecnicas de anti-reversing y empaquetado UPX.

Formato: PDF, 2 paginas. Autor: Comunidad.

Como organizar tus cheatsheets

Tener 20 cheatsheets descargados en una carpeta no sirve de nada si no los encuentras cuando los necesitas. Aqui van algunas recomendaciones practicas.

Organizacion por flujo de trabajo

En lugar de organizar por herramienta, organiza por fase del analisis:

  1. Triaje: REMnux, oletools, PE Format
  2. Analisis estatico: Ghidra, IDA, Radare2, ELF Format
  3. Analisis dinamico: x64dbg, ProcMon, FlareVM
  4. Analisis de memoria: Volatility 2/3, Memory Forensics
  5. Analisis de red: Wireshark, tcpdump, Zeek
  6. Deteccion: YARA, Sigma, MITRE ATT&CK
  7. Scripts: PowerShell Deobfuscation

Acceso rapido

La mayoria de analistas que conozco imprimen los 3 o 4 cheatsheets que mas usan y los pegan en la pared junto al monitor. Otros los tienen como bookmarks en el navegador o como pestanas fijadas en un visor de PDF.

Lo importante es que el cheatsheet este a un movimiento de ojos de distancia, no a tres clicks. Si tardas mas de 5 segundos en encontrar un comando, el cheatsheet no esta bien ubicado.

Personalizacion

Los cheatsheets genericos son un punto de partida. Los mejores analistas mantienen sus propios cheatsheets personalizados con los comandos que usan con mas frecuencia, notas sobre edge cases que han encontrado y trucos especificos de su entorno.

Un documento Markdown en un repositorio Git privado funciona bien. Puedes buscar con grep, versionar los cambios y sincronizarlo entre maquinas.

Recursos adicionales

Mas alla de los 20 cheatsheets listados, hay repositorios de GitHub que agregan colecciones enteras:

  • awesome-malware-analysis: la lista curada mas completa de recursos de analisis de malware, incluyendo cheatsheets, herramientas, libros y cursos.
  • MalwareAnalysis-Collection: repositorio con PDFs de cheatsheets organizados por herramienta.
  • SANS Posters: coleccion completa de posters de referencia rapida de SANS, muchos relevantes para malware analysis.

El siguiente articulo de esta serie cubre en detalle los SANS Posters y guias de referencia gratuitas.

Conclusion

Un buen cheatsheet no reemplaza el conocimiento profundo de una herramienta. Pero si amplifica enormemente tu velocidad de trabajo. La inversion de tiempo en descargar, organizar y familiarizarte con estos 20 cheatsheets se amortiza en las primeras horas de analisis.

Empieza por los que correspondan a tu flujo de trabajo actual. Si haces principalmente analisis dinamico en Windows, prioriza x64dbg, ProcMon y FlareVM. Si tu foco es threat hunting, empieza por YARA, Sigma y Wireshark. Y si estas empezando desde cero, REMnux y el SANS Malware Analysis Cheat Sheet son tu primer paso.

Preguntas frecuentes

Libros recomendados

Practical Malware Analysis (Sikorski & Honig)

Amazon (enlace afiliado)

Malware Analysis Techniques (Dylan Barker)

Amazon (enlace afiliado)

Artículos relacionados

Handbooks y Guías GratuitasPrincipiante

SANS Posters y Guías de Referencia Gratuitas

Handbooks y Guías GratuitasIntermedio

Volatility 3 Cheatsheet: Todos los Comandos Esenciales

Handbooks y Guías GratuitasIntermedio

YARA y Sigma Cheatsheet: Sintaxis y Ejemplos Rápidos

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.