Analizza un file temporaneo di Windows

1

Versione breve: c'è un modo per analizzare un file temporaneo dalla cartella C:\Windows\Temp , se c'è qualche codice, processo o a ciò che è associato.

Versione lunga: in un computer Windows 7, l'antivirus continua a inviare messaggi relativi a un rilevamento di un trojan 'TR/Patched.Ren.Gen [trojan]' nei file Temp quando nulla è in esecuzione sul desktop, ma non fornisce altre informazioni su di esso, e la scansione del sistema non la rileva. Sono riuscito a salvare il file prima che venisse cancellato automaticamente. C'è qualcosa di utile che posso fare per raccogliere informazioni a riguardo? Non posso modificare o aggiornare il sistema, perché il computer non è mio.

Ho Kali su un altro pc, quindi sarebbe utile se c'è uno strumento lì per fare cose del genere.

La risposta sarebbe utile sia per aiutare il proprietario del pc, sia per conoscere la sicurezza delle informazioni per future analisi forensi o reverse engineering (correggimi se ho torto)

    
posta gramsch 29.05.2017 - 17:42
fonte

1 risposta

1

In questi casi se hai un file che desideri analizzare salvato. Il tipo di informazioni che penso tu stia cercando deriva dal reverse engineering.

Per prima cosa, puoi scaricare sysinternalssuite da un bravo ragazzo di Microsoft che ha rilasciato una serie di strumenti per compiti sysadmin veloci e sporchi.

link

il più rilevante per il tuo caso (che credo sia l'analisi del malware) sono i seguenti strumenti specifici:

  • procmon - mostra le modifiche in tempo reale al sistema e cosa le ha avviate
  • tcpview - mostra tutte le connessioni TCP, dove vengono, dove stanno andando e lo stato
  • Sysmon: avvia la registrazione all'avvio.
  • procexp - questo mostrerà una versione dettagliata del task manager, con valori di stress e processi figlio tutto in uno. uno dei miei preferiti per il malware.

quindi l'idea qui è che creerai una VM con lo stesso SO (se possibile) del tuo computer client. e lascia che questa cosa si allenti al suo interno.

prima di iniziare, installa vm, nessun software antivirus e ottieni gli strumenti sysinternals.

anche tu vuoi qualche forma di debugger di reverse engineering.

  • IDA - il re di quest'area, molto ricco di funzionalità, ha una versione gratuita, ma è più vecchio
  • ollydb - un debugger gratuito con meno funzioni, ma fa ancora bene il lavoro
  • immunità db - simile a ollydb

questi programmi ti mostreranno il codice macchina di qualunque file li colleghi. puoi persino eseguire l'esecuzione della riga di codice del malware alla volta.

La metodologia di base è la seguente:

  • consente al malware di funzionare da solo e utilizza sysinternals per raccogliere alcune informazioni sul malware e sul suo funzionamento nel sistema, dove tenta di connettersi e sul tipo di processi che crea.
  • collega un debugger al malware ed esegue: ci sarà un sacco di informazioni, questo è il motivo per cui la fase di ricognizione è così importante, che restringe l'ambito di ciò che stai cercando. utilizzate queste informazioni per cercare di individuare le aree specifiche del malware che sono di particolare interesse. cioè copiando sé stesso, cambiando registri di sistema o file, creando servizi sul pc, aprendo porte ecc ...

questa è una panoramica di base su come viene eseguita l'analisi di una scatola nera (scatola nera = entità sconosciuta). qualsiasi informazione aggiuntiva aiuta anche questo processo, conoscendo il tipo esatto di malware ti aiuta anche a sapere dove cercare questi strumenti per specifiche. dal momento che tali euristiche sono già note dovrebbero essere in grado di fornirti materiale di ricerca per trovare maggiori informazioni su dove cercare.

    
risposta data 06.06.2017 - 20:37
fonte

Leggi altre domande sui tag