Nous avons couvert l'analyse dynamique de base des logiciels malveillants à l'aide du moniteur de processus pour découvrir les connexions réseau, les processus générés par les logiciels malveillants et d'autres artefacts importants. Analyse dynamique de base TryHackMe
Obtenir des notes d'investigation informatique
Les commandes de ProcMon sont explicites. Les étiquettes de la capture d'écran montrent certains des contrôles critiques des données visibles sous ces contrôles.
- Affiche les options Ouvrir et Enregistrer. Ces options permettent d'ouvrir un fichier contenant des événements ProcMon ou d'enregistrer les événements dans un fichier pris en charge.
- Affiche l'option Effacer. Cette option efface tous les événements actuellement affichés par ProcMon. Il est bon d'effacer les événements une fois que nous exécutons un échantillon de malware intéressant pour réduire le bruit.
- Affiche l'option Filtre, qui nous donne un contrôle supplémentaire sur les événements affichés dans la fenêtre ProcMon.
- Il s'agit de boutons permettant de désactiver ou d'activer les événements de registre, de système de fichiers, de réseau, de processus/thread et de profilage.
En dessous de ces contrôles, on peut voir de gauche à droite l'heure, le processus, l'ID du processus (PID), Nom de l'événement, Chemin, Résultat et Détails de l'activité. Nous pouvons observer que les événements sont présentés par ordre chronologique. Généralement, ProcMon affichera un nombre impressionnant d'événements se produisant sur le système. Pour faciliter l’analyse, il est sage de filtrer les événements selon ceux qui nous intéressent.
ProcMon permet un filtrage facile des événements à partir de la fenêtre des événements elle-même. Si nous faisons un clic droit sur la colonne de processus sur le processus de notre choix, un menu contextuel s'ouvre. Nous pouvons voir différentes options dans le menu contextuel. Certaines de ces options sont liées au filtrage. Par exemple, si nous choisissons l'option Inclure 'Explorer.EXE', ProcMon affichera uniquement les événements avec Process Name Explorer.EXE. Si nous choisissons l'option Exclure « Explorer.EXE », cela exclura Explorer.EXE des résultats. De même, nous pouvons cliquer avec le bouton droit sur d'autres colonnes de la fenêtre des événements pour filtrer d'autres options.
Réponses de la salle
~Bureau\Exemples\1.exe en utilisant ProcMon. Cet exemple établit quelques connexions réseau. Quelle est la première URL sur laquelle une connexion réseau est établie ?Quelle opération réseau est effectuée sur l’URL mentionnée ci-dessus ?
Quel est le nom avec le chemin complet du premier processus créé par cet exemple ?
~Bureau\exemples\1.exe crée un fichier dans le C:\ annuaire. Quel est le nom et le chemin complet de ce fichier ?Quoi API est utilisé pour créer ce fichier ?
Dans la question 1 de la tâche précédente, nous avons identifié une URL vers laquelle une connexion réseau a été établie. Quoi API l'appel a été utilisé pour établir cette connexion ?
Nous avons remarqué dans la tâche précédente qu'après un certain temps, l'activité de l'échantillon ralentissait de telle sorte que peu de choses étaient rapportées sur l'échantillon. Pouvez-vous regarder le API appels et voir quel appel d'API pourrait en être responsable ?
Quel est le nom du premier Mutex créé par l’exemple ~Desktop\samples\1.exe ? S'il y a des chiffres dans le nom du Mutex, remplacez-les par X.
Le dossier est-il signé par un organisme connu ? Répondez par Y pour Oui et N pour Non.
Le processus en mémoire est-il le même que celui sur le disque ? Répondez par Y pour Oui et N pour Non.
~Bureau\Exemples\3.exe en utilisant Regshot. Une valeur de registre a été ajoutée qui contient le chemin de l'exemple au format HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXX-XXX\. Quel est le chemin de cette valeur après le format mentionné ici ?Vidéo pas à pas
