![[artigo] analise basica malware - 5º parte Tumblryy](https://2img.net/r/ihimg/scaled/large/854/tumblryy.png)
Início
![[artigo] analise basica malware - 5º parte QdhdIA2](https://i.imgur.com/qdhdIA2.png)
bom galera continuando os artigos anteriores nesse vamos mexer um pouco com processos ou seja analise dinamica, para analisar um malware ou artefato suspeito em execução sempre temos que fazer isso em um ambiente controlado ou seja maquina virtual para evitar infectar a nossa propria maquina, eu tenho uma maquina virtual que uso para testes porem vou fazer os testes na maquina real mesmo devido eu ja conhecer o artefato que vou analisar e nele nao tem nenhum risco real (porem se fosse uma analise real eu usaria a maquina virtual), o artefato que vamos analisar vai ser esse [Tens de ter uma conta e sessão iniciada para poderes visualizar este link], esse suposto malware apenas oculta a propria janela que seria o basico para um malware ser bem sucedido ou seja funciona em background sem o usuario ver, primeira coisa que devemos fazer antes de executar ele é ver os processos atuais (entre outras coisas que vamos citar mais pra frente), salvamos o nome dos processos que ja estao em execução na maquina para fazer isso voce pode abrir o gerenciador de tarefa apertando control + alt+ delete (ou abrir o prompt e digitar o comando "taskmgr"), depois basta ir em processos e anotar o nome deles para saber se depois que executarmos o malware vai ficar algum processo novo
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
escrever processo por processo é trabalhoso para facilitar voce pode usar o comando "qprocess" no prompt, esse comando é ate mais completo e melhor que gerenciador de tarefa devido mostrar o pid (Process ID), podemos usar o simbolo de "maior que" junto ao comando seguido do nome de um novo arquivo de texto para salvar em um arquivo ao inves de mostrar no prompt
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
existem outros programas milhares de vezes melhor que gerenciador de tarefa os que eu recomendo é o "process hacker", "process explorer" e "What's Running", vamos usar eles mais para frente para outros fins
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
com o nome dos processos e os pids anotado vamos para parte dois que seria executar o malware (volto a repetir, nunca execute um malware na sua maquina sempre use maquina virtual no caso eu to criando as sources entao conheço os efeitos delas por isso nao to usando maquina virtual), depois de executar o malware ele nao fez nada ou seja nao abriu janela e nem mostro msg de erro (sera que falho?), entao abri o gerenciador de processo e comparei com o arquivo para ver ser apareceu algum processo novo e olha so um processo chamado virus.exe que nao tem na minha lista salva (claro que se for um virus real nao vai ta com o nome virus ne so coloquei para facilitar ^^ )
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
se a gente apertar o botao direito do mouse em cima do nome do processo e ir em propridade podemos saber onde o executavel ta (as vezes um malware se alto-copia para outro diretorio para evitar ser deletado ou as vezes o que voce ta executando é apenas um joiner sendo que o verdadeiro artefato vai para outro diretorio para ser executado pelo joiner)
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
nem sempre um malware vai ta com nomes facil de reconhecer as vezes vai ta com nomes de processo do proprio sistema, entao para achar eles voce deve olhar o pid ao inves do nome do processo ou a localização do executavel do processo como mostrado antes
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
bom galera esse artigo vai ter mais algumas partes ^^
by kõdo no kami
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
escrever processo por processo é trabalhoso para facilitar voce pode usar o comando "qprocess" no prompt, esse comando é ate mais completo e melhor que gerenciador de tarefa devido mostrar o pid (Process ID), podemos usar o simbolo de "maior que" junto ao comando seguido do nome de um novo arquivo de texto para salvar em um arquivo ao inves de mostrar no prompt
- Código:
C:\Users\fts315\Desktop>qprocess > processo.txt
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
existem outros programas milhares de vezes melhor que gerenciador de tarefa os que eu recomendo é o "process hacker", "process explorer" e "What's Running", vamos usar eles mais para frente para outros fins
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
com o nome dos processos e os pids anotado vamos para parte dois que seria executar o malware (volto a repetir, nunca execute um malware na sua maquina sempre use maquina virtual no caso eu to criando as sources entao conheço os efeitos delas por isso nao to usando maquina virtual), depois de executar o malware ele nao fez nada ou seja nao abriu janela e nem mostro msg de erro (sera que falho?), entao abri o gerenciador de processo e comparei com o arquivo para ver ser apareceu algum processo novo e olha so um processo chamado virus.exe que nao tem na minha lista salva (claro que se for um virus real nao vai ta com o nome virus ne so coloquei para facilitar ^^ )
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
se a gente apertar o botao direito do mouse em cima do nome do processo e ir em propridade podemos saber onde o executavel ta (as vezes um malware se alto-copia para outro diretorio para evitar ser deletado ou as vezes o que voce ta executando é apenas um joiner sendo que o verdadeiro artefato vai para outro diretorio para ser executado pelo joiner)
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
nem sempre um malware vai ta com nomes facil de reconhecer as vezes vai ta com nomes de processo do proprio sistema, entao para achar eles voce deve olhar o pid ao inves do nome do processo ou a localização do executavel do processo como mostrado antes
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
bom galera esse artigo vai ter mais algumas partes ^^
by kõdo no kami
