e ae galera essa é 6º parte do artigo de analise de malware e nela vamos ver um pouco mais sobre processo, no artigo anterior usamos o gerenciador de tarefa salvamos os processos antigos e depois comparamos com execução do malware para ver se fico algum processo novo em execução, nesse artigo vamos usar alguns programas que automatiza isso, o primeiro é o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link], esse programa é por base de comando ou seja para usar ele deve ser pelo terminal, depois de baixar ele basta jogar os executaveis em uma pasta que é variavel de ambiente (exemplo: "C:\windows") depois abra o prompt e digite o nome dele ("malm32" ou "malm64") para executar ele, depois basta executar o nosso malware nesse exemplo vamos usar o mesmo que o anterior [Tens de ter uma conta e sessão iniciada para poderes visualizar este link], ai o malm vai mostrar os novos processos depois da execução dele (para finalizar ele basta apertar control+c ou fechar a janela do terminal)
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
outro programa que pode ser usado para uma coisa parecido é o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] que cria um snapshot dos processos salvos e depois pode comparar com o atual (embora nao mostre os novos programas em execução apenas mostrando a diferença entre o snapshot e os processos atuais), para fazer isso basta abrir o what is running aperta no menu "File" depois em "take snapshot" e por fim "save snapshot", depois de salvar basta executar o malware e aperta no menu "file" e "Compare snapshot save" e carregar o antigo snapshot salvo, com isso ele vai mostrar a diferença entre ambos, como processos novos e finalizado, conexoes novas e finalizadas, serviços novos etc
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
uma forma de saber se determinado processo fico em execução ou se abriu algum novo processo basta executar ele dentro da sandboxie, ela mostra todos os processos dentro da caixa
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
esse artigo foi so um complemento a mais do anterior vou fazer mais partes sobre outros tipos de analises dinamicas e estaticas ^^
by kõdo no kami
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
outro programa que pode ser usado para uma coisa parecido é o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] que cria um snapshot dos processos salvos e depois pode comparar com o atual (embora nao mostre os novos programas em execução apenas mostrando a diferença entre o snapshot e os processos atuais), para fazer isso basta abrir o what is running aperta no menu "File" depois em "take snapshot" e por fim "save snapshot", depois de salvar basta executar o malware e aperta no menu "file" e "Compare snapshot save" e carregar o antigo snapshot salvo, com isso ele vai mostrar a diferença entre ambos, como processos novos e finalizado, conexoes novas e finalizadas, serviços novos etc
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
uma forma de saber se determinado processo fico em execução ou se abriu algum novo processo basta executar ele dentro da sandboxie, ela mostra todos os processos dentro da caixa
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
esse artigo foi so um complemento a mais do anterior vou fazer mais partes sobre outros tipos de analises dinamicas e estaticas ^^
by kõdo no kami