Sono costretto a rispondere al malware con procmon . Non capisco come usare procmon (createFile, RegQueryKeyValue, ...) per aiutare. È possibile spiegarmi questa operazione? Grazie.
Process Monitor is an advanced monitoring tool for Windows that shows real-time file system, Registry and process/thread activity.
Quindi la tua domanda è: In che modo le informazioni sull'attività in tempo reale possono essere utili per rispondere al malware?
È possibile utilizzare Process Monitor per vedere cosa fa il file eseguibile sospetto in un sistema, senza conoscerne le funzionalità interne. Non dimenticare di gestire il programma sospetto in una sandbox ! Procmon ha un filtro avanzato, in modo da poter monitorare facilmente solo l'attività per un singolo processo. Monitorare l'intero sistema è in genere un flusso di eventi completamente indipendenti.
Se c'è ancora molto rumore, puoi prima concentrarti sulle modifiche che il malware sta apportando al sistema filtrando in base al tipo di operazione, tra cui: CreateFile
, RegCreateKey
, RegDeleteKey
, RegDeleteValue
, RegSetKeySecurity
, RegSetValue
, WriteFile
. Inoltre, l'operazione Process Create
potrebbe indicare i processi figli che dovresti analizzare anche.
Con questa conoscenza su ciò che il malware sta tentando di modificare, potresti