[artigo] analise basica malware - 5º parte

Postagem de conteúdo sobre malwares (trojan, keylogger, virus, backdoor)
Post Reply
User avatar
Kodo no Kami
Admin
Admin
Posts: 677
Joined: Fri Jan 02, 2015 1:56 pm
Contact:

[artigo] analise basica malware - 5º parte

Post by Kodo no Kami » Thu Apr 09, 2015 4:47 pm

bom galera continuando os artigos anteriores nesse vamos mexer um pouco com processos ou seja analise dinamica, para analisar um malware ou artefato suspeito em execução sempre temos que fazer isso em um ambiente controlado ou seja maquina virtual para evitar infectar a nossa propria maquina, eu tenho uma maquina virtual que uso para testes porem vou fazer os testes na maquina real mesmo devido eu ja conhecer o artefato que vou analisar e nele nao tem nenhum risco real (porem se fosse uma analise real eu usaria a maquina virtual), o artefato que vamos analisar vai ser esse github, esse suposto malware apenas oculta a propria janela que seria o basico para um malware ser bem sucedido ou seja funciona em background sem o usuario ver, primeira coisa que devemos fazer antes de executar ele é ver os processos atuais (entre outras coisas que vamos citar mais pra frente), salvamos o nome dos processos que ja estao em execução na maquina para fazer isso voce pode abrir o gerenciador de tarefa apertando control + alt+ delete (ou abrir o prompt e digitar o comando "taskmgr"), depois basta ir em processos e anotar o nome deles para saber se depois que executarmos o malware vai ficar algum processo novo

Image

escrever processo por processo é trabalhoso para facilitar voce pode usar o comando "qprocess" no prompt, esse comando é ate mais completo e melhor que gerenciador de tarefa devido mostrar o pid (Process ID), podemos usar o simbolo de "maior que" junto ao comando seguido do nome de um novo arquivo de texto para salvar em um arquivo ao inves de mostrar no prompt

Code: Select all

C:\Users\fts315\Desktop>qprocess > processo.txt
Image

existem outros programas milhares de vezes melhor que gerenciador de tarefa os que eu recomendo é o "process hacker", "process explorer" e "What's Running", vamos usar eles mais para frente para outros fins

Image

com o nome dos processos e os pids anotado vamos para parte dois que seria executar o malware (volto a repetir, nunca execute um malware na sua maquina sempre use maquina virtual no caso eu to criando as sources entao conheço os efeitos delas por isso nao to usando maquina virtual), depois de executar o malware ele nao fez nada ou seja nao abriu janela e nem mostro msg de erro (sera que falho?), entao abri o gerenciador de processo e comparei com o arquivo para ver ser apareceu algum processo novo e olha so um processo chamado virus.exe que nao tem na minha lista salva (claro que se for um virus real nao vai ta com o nome virus ne so coloquei para facilitar ^^ )

Image

se a gente apertar o botao direito do mouse em cima do nome do processo e ir em propridade podemos saber onde o executavel ta (as vezes um malware se alto-copia para outro diretorio para evitar ser deletado ou as vezes o que voce ta executando é apenas um joiner sendo que o verdadeiro artefato vai para outro diretorio para ser executado pelo joiner)

Image

nem sempre um malware vai ta com nomes facil de reconhecer as vezes vai ta com nomes de processo do proprio sistema, entao para achar eles voce deve olhar o pid ao inves do nome do processo ou a localização do executavel do processo como mostrado antes

Image

bom galera esse artigo vai ter mais algumas partes ^^

by kõdo no kami
Image

Conheça o sistema e manipule ele, se limite ao sistema e seja manipulado por ele ~kodo no kami

meu perfil yahoo

Post Reply

Return to “Malwares”