Utility per un semplice reverse enginering di un virus
Appunti di security
volendo analizzare cosa combina un EXE maligno, ci vengono incontro alcune utilty in ambito security, ottime per il reverse enginering di un attacco
Parliamo quindi di Process Monitor (suite Sysinternals di Microsoft). Il funzionamento e' intuitivo, basta selezionare il prcesso in esecuzione per filtrare in tempo reale tutti gli accessi al registry e al file sistem.
Quindi c'e' PEbrowser, disassembler off line di un processo, e quindi utiliti per il decoding del compilato cone ILSPY (.net).
Spesso e volentieri salta all'occhio l'utilizzo di librerie sensibilio o percorsi di rete, o percorsi di file, che sono un chiaro indicatore di cosa sta toccando il virus. es. utilizzo di API date dalla dll kl2dll.dll e' il chiaro segnale che ci si e' imbattuti in un keylogger. Oppure: percorsi di rete '\\nome server\' potrebbe esser un ramsonware che passa in rassegna i percorsi di rete. e via dicendo...
volendo, anche Sandboxie in modalità monitoring, ci dara' un resoconto dettagliato degli accessi al filessyste e registry
Oltre a mettere mano al codice, c'e' da monitorare cosa altro fa il nostro processo in rete.
il primo tool che utilizzerei per vedere se genera del traffico sulle porte HTTP, potrebbe esser fiddler. Come al solito, l'utilizzo e' intuitivo, basta selezionare il processo e filtrare il contenuto, per veder il chiaro cosa fa sulla porta HTTP, quali url interroga, etc etc...
annovererei quindi anche le ultility di Sysinternals TCPview, ProcExplorer... e l'immortale NETSTAT, tutto per aver una idea più chiara del comportamento in rete del virus.
altro? IDA, Ollydb, ma si scende a livello di assembler
volendo analizzare cosa combina un EXE maligno, ci vengono incontro alcune utilty in ambito security, ottime per il reverse enginering di un attacco
Parliamo quindi di Process Monitor (suite Sysinternals di Microsoft). Il funzionamento e' intuitivo, basta selezionare il prcesso in esecuzione per filtrare in tempo reale tutti gli accessi al registry e al file sistem.
Quindi c'e' PEbrowser, disassembler off line di un processo, e quindi utiliti per il decoding del compilato cone ILSPY (.net).
Spesso e volentieri salta all'occhio l'utilizzo di librerie sensibilio o percorsi di rete, o percorsi di file, che sono un chiaro indicatore di cosa sta toccando il virus. es. utilizzo di API date dalla dll kl2dll.dll e' il chiaro segnale che ci si e' imbattuti in un keylogger. Oppure: percorsi di rete '\\nome server\' potrebbe esser un ramsonware che passa in rassegna i percorsi di rete. e via dicendo...
volendo, anche Sandboxie in modalità monitoring, ci dara' un resoconto dettagliato degli accessi al filessyste e registry
Oltre a mettere mano al codice, c'e' da monitorare cosa altro fa il nostro processo in rete.
il primo tool che utilizzerei per vedere se genera del traffico sulle porte HTTP, potrebbe esser fiddler. Come al solito, l'utilizzo e' intuitivo, basta selezionare il processo e filtrare il contenuto, per veder il chiaro cosa fa sulla porta HTTP, quali url interroga, etc etc...
annovererei quindi anche le ultility di Sysinternals TCPview, ProcExplorer... e l'immortale NETSTAT, tutto per aver una idea più chiara del comportamento in rete del virus.
altro? IDA, Ollydb, ma si scende a livello di assembler
Commenti
Posta un commento