Supongamos que estoy haciendo un análisis de malware. ¿Cómo puedo reconocer si, durante el proceso de análisis, una pieza de malware soltó un archivo en mi sistema y, de ser así, la ruta del archivo?
¿Cuáles son los procedimientos, además de usar cajas de arena? Quiero decir, ¿cómo puedo hacer esto manualmente?
En general, hay tres formas:
Aunque esta es una pregunta antigua, creo que será relevante y de valor agregado. Por lo tanto, aquí va.
Suponiendo un sistema de archivos NTFS, los cambios de registro de $ UsnJrnl y $ Logfile realizados en el sistema de archivos. La creación de archivos se puede detectar a través de estos artefactos. Hay muchos artículos en línea que explican este proceso y las herramientas mejor que yo. Sin embargo, diré que debido a que estos archivos son utilizados internamente por el sistema de archivos NTFS, necesitará herramientas especializadas para acceder a ellos. Una opción gratuita es FTK Imager (instalación completa) o FTK Imager Lite (ejecutable portátil).
Aquí hay algunos artículos que explican estos artefactos, su valor y cómo analizarlos:
Utilice un monitor API. Sugiero: enlace que es un software espléndido y será útil para monitorear lo que pida. Simplemente busque CreateFile() llamada WINAPI. Por supuesto, esto supone que el malware utiliza la función CreateFile() para crear el archivo. Si no lo hace, entonces es posible que tenga que mirar algunas otras funciones. Lo que sucede a continuación es que, cada vez que el malware llama a la función, los parámetros que se pasan a esa función se muestran en el marco derecho. Con esto, puede determinar el archivo que se eliminó, ya que la llamada a CreateFile() contiene la ruta.
P.S: Le aconsejaría que utilice un depurador para pasar las llamadas una por una y lo supervise en el monitor de API. Hay una ligera curva de aprendizaje al usar el monitor API, pero si lo hace mucho, ¡vale la pena el tiempo invertido!
Referencia: enlace
Lea otras preguntas en las etiquetas malware antimalware