Qual è il ruolo del procmon nel rispondere al malware? [chiuso]

-1

Sono costretto a rispondere al malware con procmon . Non capisco come usare procmon (createFile, RegQueryKeyValue, ...) per aiutare. È possibile spiegarmi questa operazione? Grazie.

    
posta bz Os 09.04.2018 - 01:18
fonte

1 risposta

1

Process Monitor is an advanced monitoring tool for Windows that shows real-time file system, Registry and process/thread activity.

Quindi la tua domanda è: In che modo le informazioni sull'attività in tempo reale possono essere utili per rispondere al malware?

È possibile utilizzare Process Monitor per vedere cosa fa il file eseguibile sospetto in un sistema, senza conoscerne le funzionalità interne. Non dimenticare di gestire il programma sospetto in una sandbox ! Procmon ha un filtro avanzato, in modo da poter monitorare facilmente solo l'attività per un singolo processo. Monitorare l'intero sistema è in genere un flusso di eventi completamente indipendenti.

Se c'è ancora molto rumore, puoi prima concentrarti sulle modifiche che il malware sta apportando al sistema filtrando in base al tipo di operazione, tra cui: CreateFile , RegCreateKey , RegDeleteKey , RegDeleteValue , RegSetKeySecurity , RegSetValue , WriteFile . Inoltre, l'operazione Process Create potrebbe indicare i processi figli che dovresti analizzare anche.

Con questa conoscenza su ciò che il malware sta tentando di modificare, potresti

  • valuta se il malware è stato attivato sui sistemi trovati da
  • eventualmente ripristinare le modifiche
  • stimare le altre misurazioni necessarie per rispondere effettivamente al malware.
risposta data 09.04.2018 - 06:53
fonte

Leggi altre domande sui tag