Come posso catturare i file creati da malware e quindi eliminati? [chiuso]

1

Il malware su Windows spesso crea ed elimina file. Come posso catturare i file che crea se li cancella troppo velocemente per copiare?

    
posta Mars 06.07.2017 - 13:14
fonte

1 risposta

0

La Suite Sysinternals contiene una varietà di strumenti, molti dei quali possono essere utilizzati per l'analisi dinamica del malware.

Process Explorer mostra informazioni utili sui processi in esecuzione su un sistema

ProcMon monitora l'attività del processo mostrando informazioni quali:

  1. Modifica del registro
  2. Accesso al disco
  3. Creazione del processo

e altro.

Per acquisire il file prima che vengano cancellati: agganciare "NtDeleteFile" o l'API specifica che il processo sta chiamando.

Il filtraggio delle chiamate a tale funzione impedirebbe al processo di eliminare determinati file.

Questo potrebbe essere implementato in una libreria di collegamento dinamico e inserito nel processo di destinazione.

    
risposta data 06.07.2017 - 16:48
fonte

Leggi altre domande sui tag