In questi casi se hai un file che desideri analizzare salvato. Il tipo di informazioni che penso tu stia cercando deriva dal reverse engineering.
Per prima cosa, puoi scaricare sysinternalssuite da un bravo ragazzo di Microsoft che ha rilasciato una serie di strumenti per compiti sysadmin veloci e sporchi.
link
il più rilevante per il tuo caso (che credo sia l'analisi del malware) sono i seguenti strumenti specifici:
- procmon - mostra le modifiche in tempo reale al sistema e cosa le ha avviate
- tcpview - mostra tutte le connessioni TCP, dove vengono, dove stanno andando e lo stato
- Sysmon: avvia la registrazione all'avvio.
- procexp - questo mostrerà una versione dettagliata del task manager, con valori di stress e processi figlio tutto in uno. uno dei miei preferiti per il malware.
quindi l'idea qui è che creerai una VM con lo stesso SO (se possibile) del tuo computer client. e lascia che questa cosa si allenti al suo interno.
prima di iniziare, installa vm, nessun software antivirus e ottieni gli strumenti sysinternals.
anche tu vuoi qualche forma di debugger di reverse engineering.
- IDA - il re di quest'area, molto ricco di funzionalità, ha una versione gratuita, ma è più vecchio
- ollydb - un debugger gratuito con meno funzioni, ma fa ancora bene il lavoro
- immunità db - simile a ollydb
questi programmi ti mostreranno il codice macchina di qualunque file li colleghi. puoi persino eseguire l'esecuzione della riga di codice del malware alla volta.
La metodologia di base è la seguente:
- consente al malware di funzionare da solo e utilizza sysinternals per raccogliere alcune informazioni sul malware e sul suo funzionamento nel sistema, dove tenta di connettersi e sul tipo di processi che crea.
- collega un debugger al malware ed esegue: ci sarà un sacco di informazioni, questo è il motivo per cui la fase di ricognizione è così importante, che restringe l'ambito di ciò che stai cercando. utilizzate queste informazioni per cercare di individuare le aree specifiche del malware che sono di particolare interesse. cioè copiando sé stesso, cambiando registri di sistema o file, creando servizi sul pc, aprendo porte ecc ...
questa è una panoramica di base su come viene eseguita l'analisi di una scatola nera (scatola nera = entità sconosciuta). qualsiasi informazione aggiuntiva aiuta anche questo processo, conoscendo il tipo esatto di malware ti aiuta anche a sapere dove cercare questi strumenti per specifiche. dal momento che tali euristiche sono già note dovrebbero essere in grado di fornirti materiale di ricerca per trovare maggiori informazioni su dove cercare.