Wir haben die dynamische Malware-Analyse mithilfe der Überwachung und Protokollierung von API-Aufrufen mithilfe von Tools wie API Logger und API Monitor behandelt. Dies war Teil von TryHackMe Grundlegende dynamische Analyse

Notizen zur Computerforensik abrufen

Die Fenster Betriebssystem abstrahiert die Hardware und stellt eine Anwendungsprogrammierbare Schnittstelle (API) zur Ausführung aller Aufgaben bereit. Es gibt beispielsweise eine API zum Erstellen von Dateien, eine API zum Erstellen von Prozessen, eine API zum Erstellen und Löschen von Registern und so weiter. Eine Möglichkeit, Malware-Verhalten zu identifizieren, besteht daher darin, zu überwachen, welche APIs eine Malware aufruft. Die Namen der APIs sind im Allgemeinen selbsterklärend. Microsoft-Dokumentation Informationen zu den APIs finden Sie unter. Um einen neuen Prozess zu öffnen, können Sie auf das hervorgehobene Drei-Punkte-Menü klicken. Wenn Sie darauf klicken, können Sie in einem Dateibrowser die ausführbare Datei auswählen, für die Sie die APIs überwachen möchten. API Anrufe. Sobald wir die ausführbare Datei ausgewählt haben, können wir auf „Einfügen und protokollieren“ klicken, um den API-Protokollierungsprozess zu starten.

API Datenlogger

Der API Logger ist ein einfaches Tool, das grundlegende Informationen zu von einem Prozess aufgerufenen APIs bereitstellt.

Wir sehen die PID des Prozesses, den wir überwachen, und der aufgerufenen API mit grundlegenden Informationen zur API im Feld „msg“. Wir können auf das Menü „PID“ klicken, um die API Logger zum Protokollieren von API-Aufrufen eines laufenden Prozesses. Dieses Fenster zeigt Prozesse mit PIDs, den Benutzer, der diesen Prozess ausgeführt hat, und den Bildpfad des Prozesses. Der Rest des Prozesses ist derselbe wie beim Starten unseres Prozesses.

API Monitor

Der API Monitor bietet erweiterte Informationen zu den API-Aufrufen eines Prozesses. API Monitor verfügt über 32-Bit- und 64-Bit-Versionen für 32-Bit- bzw. 64-Bit-Prozesse.

Wie wir sehen können, API Monitor hat mehrere Registerkarten

  1. Diese Registerkarte ist ein Filter für die API Gruppe, die wir überwachen möchten. Beispielsweise haben wir eine Gruppe für APIs im Zusammenhang mit „Grafik und Gaming“, eine andere für APIs im Zusammenhang mit „Internet“ und so weiter. API Monitor zeigt uns nur APIs aus der Gruppe an, die wir in diesem Menü auswählen.
  2. Auf dieser Registerkarte werden die Prozesse angezeigt, die überwacht werden API Anrufe. Wir können auf die Option „Neuen Prozess überwachen“ klicken, um mit der Überwachung eines neuen Prozesses zu beginnen.
  3. Auf dieser Registerkarte werden die API Aufruf, das Modul, der Thread, die Zeit, der Rückgabewert und alle Fehler. Wir können diese Registerkarte auf APIs überwachen, die von einem Prozess aufgerufen werden.
  4. Auf dieser Registerkarte werden laufende Prozesse angezeigt, die API Monitor kann überwachen.
  5. Diese Registerkarte zeigt die Parameter des API Aufruf, einschließlich der Werte dieser Parameter vor und nach den API-Aufrufen.
  6. Diese Registerkarte zeigt den Hex-Puffer des ausgewählten Werts.
  7. Diese Registerkarte zeigt den Aufrufstapel des Prozesses.
  8. Schließlich wird auf dieser Registerkarte die Ausgabe angezeigt.

Wir sehen das API Monitor liefert uns viel mehr Informationen über API-Aufrufe durch einen Prozess als API Logger. Allerdings müssen wir den Analyseprozess verlangsamen, um all diese Informationen zu verarbeiten. Bei der Analyse von Malware können wir je nach Bedarf entscheiden, ob wir API Logger oder API Monitor verwenden. Bitte gehen Sie zu Einführung in den Windows-API-Raum mehr darüber lernen API Anrufe.

Raumantworten

Wenn ein Analyst Linux-Malware analysieren möchte, welches Betriebssystem sollte die virtuelle Maschine seiner Sandbox haben?
Überwachen der Probe ~Desktop\Samples\1.exe mit ProcMon. Dieses Beispiel stellt einige Netzwerkverbindungen her. Was ist die erste URL, über die eine Netzwerkverbindung hergestellt wird?

Welcher Netzwerkvorgang wird für die oben genannte URL ausgeführt?

Wie lautet der Name und der vollständige Pfad des ersten von diesem Beispiel erstellten Prozesses?

Die Probe ~Desktop\samples\1.exe erstellt eine Datei im C:\ Verzeichnis. Wie lautet der Name und der vollständige Pfad dieser Datei?

Was API wird zum Erstellen dieser Datei verwendet?

In Frage 1 der vorherigen Aufgabe haben wir eine URL identifiziert, zu der eine Netzwerkverbindung hergestellt wurde. Was API Anruf wurde verwendet, um diese Verbindung herzustellen?

Wir haben in der vorherigen Aufgabe festgestellt, dass die Aktivität der Probe nach einiger Zeit nachließ, so dass nicht mehr viel über die Probe berichtet wurde. Können Sie sich die API ruft auf und sieht nach, welcher API-Aufruf dafür verantwortlich sein könnte?

Wie lautet der Name des ersten Mutex, der vom Beispiel ~Desktop\samples\1.exe erstellt wird? Wenn der Name des Mutex Zahlen enthält, ersetzen Sie diese durch X.

Ist die Datei von einer bekannten Organisation signiert? Antworten Sie mit J für Ja und N für Nein.

Ist der Prozess im Speicher derselbe wie der Prozess auf der Festplatte? Antworten Sie mit J für Ja und mit N für Nein.

Analysieren Sie die Probe ~Desktop\Samples\3.exe mit Regshot. Es wurde ein Registrierungswert hinzugefügt, der den Pfad des Beispiels im Format HKU\SXX-XX-XXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXX\ enthält. Wie lautet der Pfad dieses Werts nach dem hier genannten Format?

Video-Komplettlösung

, , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen