2013. február 8., péntek

Malware analízis.

Tegnap találtam egy régebbi cikket Mark Russinovich-tól itt :

http://blogs.technet.com/b/markrussinovich/archive/2011/03/30/3416253.aspx

Érdemes elolvasni! Pár ingyenes eszközzel mire képes az ember.

Találtam egy másik módszert is amit a helyszínelők (Forensic investigators) használnak. Ez pedig a memória kidumpolása és annak elemzése mindenféle toolokkal.

A memória dumpolására egy leírás itt található :
http://www.wincert.net/tips/microsoft-windows/windows-7/1863-creating-memory-dumps-how-to-create-dumps-of-applications-or-the-whole-machine

Itt pedig néhány egyéb eszköz amit a memória elmentésére/analizálására lehet használni :
http://www.forensicswiki.org/wiki/Tools:Memory_Imaging

Ez pedig itt az analizálásra használható ingyenes program : https://www.volatilesystems.com/default/volatility

 Az előnye a memória dumpolásos módszernek, hogy elég hozzá a kidumpolt memória és lehet analizálni a helyzetet. Nem kell hozzá se a gép se az, hogy éppen fusson a fertőzött rendszer. És lehet scriptelni, ami azt jelenti, hogy az analizálást a gép végzi a háttérben amíg mi bármi mást tudunk csinálni és a végén csak az eredményeket nézzük át. Nem kell hozzá on-line kódot visszafejteni ami elég időt rabló tevékenység.

Nincsenek megjegyzések:

Megjegyzés küldése

Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.