Come posso riconoscere e trovare i file rilasciati dal malware?

4

Supponiamo che io stia facendo analisi del malware. Come posso riconoscere se durante il processo di analisi un malware ha rilasciato un file nel mio sistema e, in caso affermativo, il percorso del file?

Quali sono le procedure, oltre all'uso di sandbox? Voglio dire come posso farlo manualmente?

    
posta n1kita 21.09.2012 - 12:23
fonte

3 risposte

6

Ci sono generalmente tre modi:

  1. Sandboxing (che hai detto che non vuoi fare)
  2. Strumenti come Process Monitor possono visualizzare tutte le attività di file e registro sul sistema, ma questo l'approccio è limitato - i rootkit nascondono le modifiche o il malware potrebbe notare procmon e modificare il suo comportamento.
  3. Confronto istantanee. Fai un'istantanea del filesystem, quindi esegui il malware, quindi scatta un'altra istantanea e confrontali. Sarai in grado di vedere quali file sono stati creati e modificati.
risposta data 21.09.2012 - 13:28
fonte
2

Anche se questa è una domanda più vecchia, credo che questo sarà rilevante e un valore aggiunto. Quindi, ecco qui.

Supponendo un file system NTFS, il $ UsnJrnl e $ Logfile registrano le modifiche apportate al file system. La creazione di file può essere rilevata tramite questi artefatti. Ci sono molti articoli online che spiegano questo processo e gli strumenti meglio di me. Tuttavia, dirò che poiché questi file sono utilizzati internamente dal file system NTFS, avrete bisogno di strumenti specializzati per accedervi. Un'opzione gratuita è FTK Imager (installazione completa) o FTK Imager Lite (eseguibile portatile).

link

Ecco alcuni articoli che spiegano questi artefatti, il loro valore e come analizzarli:

link

link

link

link

link

link

    
risposta data 24.05.2015 - 18:07
fonte
0

Utilizza un monitor API. Suggerisco: link che è uno splendido software e sarà utile per monitorare ciò che chiedi. Cerca semplicemente CreateFile() chiamata WINAPI. Questo ovviamente presuppone che il malware utilizzi la funzione CreateFile() per creare il file. In caso contrario, potrebbe essere necessario esaminare alcune altre funzioni. Quello che succede dopo è che, ogni volta che il malware chiama la funzione, i parametri che vengono passati a quella funzione sono mostrati sulla cornice destra. Con questo è possibile determinare il file che è stato eliminato, poiché la chiamata a CreateFile() contiene il percorso.

P.S: ti consiglierei di usare un debugger per scorrere le chiamate una per una e monitorarle sul monitor API. C'è una leggera curva di apprendimento quando si usa il monitor API, ma se lo fai molto, vale il tempo speso!

Riferimento: link

    
risposta data 21.09.2012 - 16:43
fonte

Leggi altre domande sui tag