Abbiamo trattato l'analisi dinamica di base del malware utilizzando il monitoraggio dei processi per scoprire connessioni di rete, processi generati dal malware e altri artefatti importanti. Questo faceva parte di ProvaHackMe Analisi dinamica di base
Ottieni appunti di informatica forense
I controlli di ProcMon sono autoesplicativi. Le etichette nello screenshot mostrano alcuni dei controlli critici dei dati visibili sotto questi controlli.
- Mostra le opzioni Apri e Salva. Queste opzioni servono per aprire un file che contiene eventi ProcMon o per salvare gli eventi in un file supportato.
- Mostra l'opzione Cancella. Questa opzione cancella tutti gli eventi attualmente visualizzati da ProcMon. È opportuno cancellare gli eventi una volta eseguito un campione di malware di interesse per ridurre il rumore.
- Mostra l'opzione Filtro, che ci dà ulteriore controllo sugli eventi mostrati nella finestra ProcMon.
- Si tratta di interruttori per disattivare o attivare gli eventi del Registro di sistema, del file system, della rete, del processo/thread e della profilazione.
Sotto questi controlli, possiamo vedere da sinistra a destra Ora, Processo, ID processo (PID), Nome dell'Evento, Percorso, Risultato e Dettagli dell'attività. Possiamo osservare che gli eventi sono mostrati in ordine cronologico. In generale, ProcMon mostrerà un numero enorme di eventi che si verificano nel sistema. Per facilità di analisi, è saggio filtrare gli eventi in base a quelli di nostro interesse.
ProcMon consente un facile filtraggio degli eventi dalla finestra degli eventi stessa. Se facciamo clic con il pulsante destro del mouse sulla colonna del processo sul processo di nostra scelta, si apre un menu a comparsa. Possiamo vedere diverse opzioni nel menu a comparsa. Alcune di queste opzioni sono correlate al filtraggio. Ad esempio, se scegliamo l'opzione Includi "Explorer.EXE", ProcMon mostrerà solo gli eventi con nome processo Explorer.EXE. Se scegliamo l'opzione Escludi "Explorer.EXE", escluderà Explorer.EXE dai risultati. Allo stesso modo, possiamo fare clic con il tasto destro su altre colonne della finestra degli eventi per filtrare altre opzioni.
Risposte in camera
~Desktop\Esempi\1.exe utilizzando ProcMon. Questo esempio effettua alcune connessioni di rete. Qual è il primo URL su cui viene effettuata una connessione di rete?Quale operazione di rete viene eseguita sull'URL sopra menzionato?
Qual è il nome con il percorso completo completo del primo processo creato da questo esempio?
~Desktop\campioni\1.exe crea un file in C:\ directory. Qual è il nome con il percorso completo di questo file?Che cosa API viene utilizzato per creare questo file?
Nella domanda 1 dell'attività precedente, abbiamo identificato un URL a cui è stata effettuata una connessione di rete. Che cosa API è stata utilizzata la chiamata per stabilire questa connessione?
Nell'attività precedente abbiamo notato che dopo un po' di tempo l'attività del campione è rallentata in modo tale che non è stato riportato molto sul campione. Puoi guardare il API chiamate e vedere quale chiamata API potrebbe esserne responsabile?
Qual è il nome del primo Mutex creato dall'esempio ~Desktop\samples\1.exe? Se nel nome del Mutex sono presenti numeri, sostituirli con X.
Il file è firmato da un'organizzazione conosciuta? Rispondi con Y per Sì e N per No.
Il processo nella memoria è lo stesso del processo su disco? Rispondi con Y per Sì e N per No.
~Desktop\Samples\3.exe utilizzando Regshot. È stato aggiunto un valore del registro che contiene il percorso dell'esempio nel formato HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXX-XXX\. Qual è il percorso di quel valore dopo il formato menzionato qui?Videoprocedura dettagliata
