Abbiamo trattato l'analisi dinamica del malware utilizzando il monitoraggio e la registrazione delle chiamate API utilizzando strumenti come API Logger e API Monitor. Questo faceva parte di ProvaHackMe Analisi dinamica di base

Ottieni appunti di informatica forense

Le finestre sistema operativo astrae l'hardware e fornisce un'API (Application Programmable Interface) per eseguire tutte le attività. Ad esempio, esiste un'API per creare file, un'API per creare processi, un'API per creare ed eliminare registri e così via. Pertanto, un modo per identificare il comportamento del malware è monitorare quali API richiama il malware. I nomi delle API sono generalmente autoesplicativi. Tuttavia, Documentazione Microsoft può essere consultato per trovare informazioni sulle API. Per aprire un nuovo processo, possiamo fare clic sul menu a tre punti evidenziato. Quando viene cliccato, un browser di file ci consente di selezionare l'eseguibile di cui vogliamo monitorare il file API chiamate. Una volta selezionato l'eseguibile, possiamo fare clic su "Inietta e registra" per avviare il processo di registrazione dell'API.

API Registratore

IL API Logger è un semplice strumento che fornisce informazioni di base sulle API chiamate da un processo.

Possiamo vedere il PID del processo che monitoriamo e dell'API richiamata con informazioni di base sull'API nel campo "msg". Possiamo fare clic sul menu "PID" per il file API logger per registrare le chiamate API di un processo in esecuzione. Questa finestra mostra i processi con PID, l'utente che ha eseguito quel processo e il percorso dell'immagine del processo. Il resto del processo è lo stesso del caso con l'avvio del nostro processo.

API Tenere sotto controllo

IL API Monitor fornisce informazioni più avanzate sulle chiamate API di un processo. API Monitor dispone di versioni a 32 e 64 bit rispettivamente per processi a 32 e 64 bit.

Come possiamo vedere, API Il monitor ha più schede

  1. Questa scheda è un filtro per API gruppo che vogliamo monitorare. Ad esempio, abbiamo un gruppo per le API relative a "Grafica e giochi", un altro per le API relative a "Internet" e così via. API Monitor ci mostrerà solo le API del gruppo che selezioniamo da questo menu.
  2. Questa scheda mostra i processi monitorati API chiamate. Possiamo fare clic sull'opzione "Monitora nuovo processo" per iniziare a monitorare un nuovo processo.
  3. Questa scheda mostra il API chiamata, il modulo, il thread, l'ora, il valore restituito ed eventuali errori. Possiamo monitorare questa scheda per le API chiamate da un processo.
  4. Questa scheda mostra i processi in esecuzione che API Il monitor può monitorare.
  5. Questa scheda mostra i parametri del API chiamata, inclusi i valori di tali parametri prima e dopo le chiamate API.
  6. Questa scheda mostra il buffer esadecimale del valore selezionato.
  7. Questa scheda mostra lo stack di chiamate del processo.
  8. Infine, questa scheda mostra l'Output.

Lo vediamo API Monitor ci fornisce molte più informazioni sulle chiamate API tramite un processo rispetto a API Logger. Tuttavia, dobbiamo rallentare il processo di analisi per digerire tutte queste informazioni. Quando analizziamo il malware possiamo decidere se utilizzare API Logger o API Monitor in base alle nostre esigenze. Per favore, vai al Introduzione alla sala API di Windows per saperne di più API chiamate.

Risposte in camera

Se un analista desidera analizzare il malware Linux, quale sistema operativo dovrebbe avere la macchina virtuale del suo sandbox?
Monitorare il campione ~Desktop\Esempi\1.exe utilizzando ProcMon. Questo esempio effettua alcune connessioni di rete. Qual è il primo URL su cui viene effettuata una connessione di rete?

Quale operazione di rete viene eseguita sull'URL sopra menzionato?

Qual è il nome con il percorso completo completo del primo processo creato da questo esempio?

Il campione ~Desktop\campioni\1.exe crea un file in C:\ directory. Qual è il nome con il percorso completo di questo file?

Che cosa API viene utilizzato per creare questo file?

Nella domanda 1 dell'attività precedente, abbiamo identificato un URL a cui è stata effettuata una connessione di rete. Che cosa API è stata utilizzata la chiamata per stabilire questa connessione?

Nell'attività precedente abbiamo notato che dopo un po' di tempo l'attività del campione è rallentata in modo tale che non è stato riportato molto sul campione. Puoi guardare il API chiamate e vedere quale chiamata API potrebbe esserne responsabile?

Qual è il nome del primo Mutex creato dall'esempio ~Desktop\samples\1.exe? Se nel nome del Mutex sono presenti numeri, sostituirli con X.

Il file è firmato da un'organizzazione conosciuta? Rispondi con Y per Sì e N per No.

Il processo nella memoria è lo stesso del processo su disco? Rispondi con Y per Sì e N per No.

Analizzare il campione ~Desktop\Samples\3.exe utilizzando Regshot. È stato aggiunto un valore del registro che contiene il percorso dell'esempio nel formato HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXX-XXX\. Qual è il percorso di quel valore dopo il formato menzionato qui?

Videoprocedura dettagliata

, , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli