Supponiamo che io stia facendo analisi del malware. Come posso riconoscere se durante il processo di analisi un malware ha rilasciato un file nel mio sistema e, in caso affermativo, il percorso del file?
Quali sono le procedure, oltre all'uso di sandbox? Voglio dire come posso farlo manualmente?
Ci sono generalmente tre modi:
Anche se questa è una domanda più vecchia, credo che questo sarà rilevante e un valore aggiunto. Quindi, ecco qui.
Supponendo un file system NTFS, il $ UsnJrnl e $ Logfile registrano le modifiche apportate al file system. La creazione di file può essere rilevata tramite questi artefatti. Ci sono molti articoli online che spiegano questo processo e gli strumenti meglio di me. Tuttavia, dirò che poiché questi file sono utilizzati internamente dal file system NTFS, avrete bisogno di strumenti specializzati per accedervi. Un'opzione gratuita è FTK Imager (installazione completa) o FTK Imager Lite (eseguibile portatile).
Ecco alcuni articoli che spiegano questi artefatti, il loro valore e come analizzarli:
Utilizza un monitor API. Suggerisco: link che è uno splendido software e sarà utile per monitorare ciò che chiedi. Cerca semplicemente CreateFile() chiamata WINAPI. Questo ovviamente presuppone che il malware utilizzi la funzione CreateFile() per creare il file. In caso contrario, potrebbe essere necessario esaminare alcune altre funzioni. Quello che succede dopo è che, ogni volta che il malware chiama la funzione, i parametri che vengono passati a quella funzione sono mostrati sulla cornice destra. Con questo è possibile determinare il file che è stato eliminato, poiché la chiamata a CreateFile() contiene il percorso.
P.S: ti consiglierei di usare un debugger per scorrere le chiamate una per una e monitorarle sul monitor API. C'è una leggera curva di apprendimento quando si usa il monitor API, ma se lo fai molto, vale il tempo speso!
Riferimento: link
Leggi altre domande sui tag malware antimalware