Il malware su Windows spesso crea ed elimina file. Come posso catturare i file che crea se li cancella troppo velocemente per copiare?
La Suite Sysinternals contiene una varietà di strumenti, molti dei quali possono essere utilizzati per l'analisi dinamica del malware.
Process Explorer mostra informazioni utili sui processi in esecuzione su un sistema
ProcMon monitora l'attività del processo mostrando informazioni quali:
e altro.
Per acquisire il file prima che vengano cancellati: agganciare "NtDeleteFile" o l'API specifica che il processo sta chiamando.
Il filtraggio delle chiamate a tale funzione impedirebbe al processo di eliminare determinati file.
Questo potrebbe essere implementato in una libreria di collegamento dinamico e inserito nel processo di destinazione.
Leggi altre domande sui tag windows malware forensics file-system file-access