Analizar un archivo temporal de Windows

Navega tus respuestas
1

Versión corta: hay alguna forma de analizar un archivo temporal de la carpeta C:\Windows\Temp , si hay algún código, proceso o lo que esté asociado.

Versión larga: en una computadora con Windows 7, el Antivirus continúa enviando mensajes sobre la detección de un troyano 'TR/Patched.Ren.Gen [trojan]' en los archivos Temp cuando no se ejecuta nada en el escritorio, pero no proporciona ninguna otra información al respecto. y el escaneo del sistema no lo detecta. Logré guardar el archivo antes de que se eliminara automáticamente. ¿Hay algo útil que pueda hacer para recopilar información al respecto? No puedo cambiar o actualizar el sistema, porque la computadora no es mía.

Tengo Kali en otra PC, por lo que sería útil si hubiera una herramienta para hacer esas cosas.

La respuesta sería útil tanto para ayudar al propietario del PC como para aprender sobre seguridad de la información para futuros análisis forenses o ingeniería inversa (corríjame si me equivoco)

    
pregunta gramsch 29.05.2017 - 17:42
fuente

1 respuesta

1

En estos casos, si tiene un archivo que desea analizar guardado. El tipo de información que creo que está buscando proviene de la ingeniería inversa.

lo primero es lo primero, puede descargar sysinternalssuite de un gran tipo en microsoft que lanzó una serie de herramientas para tareas de sysadmin rápidas y sucias.

enlace

Las

más relevantes para su caso (que es el análisis de malware) supongo son las siguientes herramientas específicamente:

  • procmon: muestra los cambios en vivo en el sistema y lo que los inició
  • tcpview: muestra todas las conexiones tcp, desde dónde son, hacia dónde van y el estado
  • Sysmon: inicie el registro de arranque temprano.
  • procexp: esto mostrará una versión detallada del administrador de tareas, con valores de estrés y procesos secundarios, todo en uno. uno de mis favoritos para malware.

así que la idea aquí es que crearás una máquina virtual con el mismo sistema operativo (si es posible) que tu computadora cliente. y deja que esta cosa se suelte dentro.

antes de comenzar, instale vm, no hay software antivirus y obtenga las herramientas de sysinternals.

También desea algún tipo de depurador de ingeniería inversa.

  • IDA: el rey de esta área, muy rica en características, tienen una versión gratuita, pero es más antigua
  • ollydb: un depurador gratuito con menos funciones, pero aún así funciona bien
  • db de inmunidad - similar a ollydb

estos programas le mostrarán el código de máquina del archivo en el que los adjunte. Incluso puede pasar por la ejecución del malware, una línea de código a la vez.

La metodología básica es la siguiente:

  • permite que el malware se ejecute de forma salvaje por sí mismo y utiliza sysinternals para recopilar información sobre el malware y qué está haciendo en el sistema, a dónde intenta conectarse y qué tipo de procesos crea.
  • adjunte un depurador al malware y ejecute: habrá mucha información, esta es la razón por la que la fase de reconocimiento es tan importante que reduce el alcance de lo que está buscando. utiliza esta información para tratar de encontrar las áreas específicas en el malware que son de particular interés. es decir, copiarse a sí mismo, cambiar registros o archivos del sistema, realizar servicios en la PC, abrir puertos, etc. ...

esta es una descripción básica de cómo se realiza el análisis de una caja negra (caja negra = entidad desconocida). cualquier información adicional también ayuda en este proceso; conocer el tipo de malware exacto también lo ayuda a saber dónde buscar estas herramientas para obtener información específica. Dado que esas heurísticas ya se conocen, deberían poder proporcionarle material de búsqueda para encontrar más información sobre dónde buscar.

    
respondido por el Nalaurien 06.06.2017 - 20:37
fuente

Lea otras preguntas en las etiquetas

¿Es posible evitar que VirtualBox (u otra VM) deje rastros en el host? ¿Qué tareas de OpenVAS (análisis) debería estar ejecutando?