Come posso vedere quali file, porte, URL, ecc. vengono utilizzati da un file eseguibile di Windows sospetto.
Come posso vedere quali file, porte, URL, ecc. vengono utilizzati da un file eseguibile di Windows sospetto.
Questo dipende da quanto savvy decide il programmatore del binario dannoso.
Se si tratta di un semplice binario, suggerisco di scaricare prima Stringhe per Windows. È una versione dei programmi Linux con lo stesso nome. Attraversa e stampa tutte le stringhe in un binario. Se il file binario non è codificato o confezionato, questo dovrebbe darti quello che vuoi sapere. Una volta installato:
WindowsKey + r
, digita cmd
e seleziona ENTER
cd <directory/of/binary>
strings <binary_name>.exe
Molto output verrà stampato sullo schermo. Puoi usare strings <binary_name>.exe > output.txt
per scriverlo in un file.
Se il file binario è imballato o codificato, il modo più semplice per analizzare un file binario di Windows per questi elementi è uno strumento chiamato PE Insider o < a href="http://www.ntcore.com/exsuite.php"> CFF Explorer . PE Insider consente di esaminare rapidamente le intestazioni di Portable Executable, eseguire una rapida decompilazione e un'analisi semplice. CFF Explorer ti consente di decodificare e decomprimere altre risorse all'interno del file binario.
I link forniti dovrebbero darti abbastanza risorse su come usare questi strumenti. Per ulteriori informazioni sull'analisi del malware è possibile effettuare il checkout Come analizzare un pezzo di malware e Argomenti da sapere quando si analizzano i malware .
Puoi iniziare inviando il tuo file a virustotal o a Cucko Sandbox
Ti fornirà alcune informazioni sul tuo file dannoso che possono essere interessanti.
Ad esempio, con una ricerca sull'hash del file, puoi trovare persone che hanno già invertire lo stesso file.
Leggi altre domande sui tag windows static-analysis