Malware e Windows 7

0

Sto cercando di entrare in una nuova specialità professionale militare per la cyber community e sto riscontrando alcune difficoltà con alcune domande su un questionario. Le due domande che ho riscontrato sono le seguenti. Sono disposto a leggere altri siti Web per trovare le risposte.

  1. In che modo è possibile utilizzare un elenco di processi di Windows, visualizzato tramite Elenco attività o Pslist, per identificare i processi dannosi? Identifica almeno 3 modi.

  2. Un pezzo di malware è in esecuzione su un computer Windows 7 tramite l'iniezione di processo, quindi non viene visualizzato in un elenco di processi. Quale tecnica forense remota potrebbe essere utilizzata per scoprire che il malware è in esecuzione sotto il contenuto di un processo specifico?

posta Alex Behnke 11.06.2017 - 16:59
fonte

1 risposta

1
  1. È possibile individuare processi che:

    • hanno un nome simile con un processo ufficialmente chiamato - esempio: svch0st invece di svchost, expiorer explorer

    • hanno nomi generati casualmente - esempi: fh74w7ha, xf8f4a34, m599j42k.

    • contiene una descrizione generale insufficiente / inesatta - esempio: file

  2. È possibile rilevare P.I. malware studiando:

    • Relazione processo padre-figlio (esempio: processi denominati di conseguenza ma non avviati da winlogon.exe o wininit.exe ma da un altro processo)

    • Utilizzo della protezione della memoria sospetta (PAGE_EXECUTE_READWRITE - a volte a un indirizzo rotondo come 0x1000000).

    • Confronto tra PEB e la struttura VAD (memoria di processo rispetto alla memoria del kernel)

risposta data 12.06.2017 - 12:08
fonte

Leggi altre domande sui tag