Analizza eseguibile di Windows

0

Come posso vedere quali file, porte, URL, ecc. vengono utilizzati da un file eseguibile di Windows sospetto.

    
posta Melina Golez 01.10.2015 - 13:35
fonte

2 risposte

1

Questo dipende da quanto savvy decide il programmatore del binario dannoso.

Se si tratta di un semplice binario, suggerisco di scaricare prima Stringhe per Windows. È una versione dei programmi Linux con lo stesso nome. Attraversa e stampa tutte le stringhe in un binario. Se il file binario non è codificato o confezionato, questo dovrebbe darti quello che vuoi sapere. Una volta installato:

  1. Visualizza un prompt dei comandi: WindowsKey + r , digita cmd e seleziona ENTER
  2. cd <directory/of/binary>
  3. strings <binary_name>.exe

Molto output verrà stampato sullo schermo. Puoi usare strings <binary_name>.exe > output.txt per scriverlo in un file.

Se il file binario è imballato o codificato, il modo più semplice per analizzare un file binario di Windows per questi elementi è uno strumento chiamato PE Insider o < a href="http://www.ntcore.com/exsuite.php"> CFF Explorer . PE Insider consente di esaminare rapidamente le intestazioni di Portable Executable, eseguire una rapida decompilazione e un'analisi semplice. CFF Explorer ti consente di decodificare e decomprimere altre risorse all'interno del file binario.

I link forniti dovrebbero darti abbastanza risorse su come usare questi strumenti. Per ulteriori informazioni sull'analisi del malware è possibile effettuare il checkout Come analizzare un pezzo di malware e Argomenti da sapere quando si analizzano i malware .

    
risposta data 01.10.2015 - 14:11
fonte
0

Puoi iniziare inviando il tuo file a virustotal o a Cucko Sandbox

Ti fornirà alcune informazioni sul tuo file dannoso che possono essere interessanti.

Ad esempio, con una ricerca sull'hash del file, puoi trovare persone che hanno già invertire lo stesso file.

    
risposta data 01.10.2015 - 15:38
fonte

Leggi altre domande sui tag