El malware en Windows a menudo crea y elimina archivos. ¿Cómo puedo capturar los archivos que crea si los elimina demasiado rápido para copiarlos?
La Suite Sysinternals contiene una variedad de herramientas, muchas de las cuales se pueden usar para el análisis dinámico de malware.
Process Explorer muestra información útil sobre los procesos en ejecución en un sistema
ProcMon supervisa la actividad del proceso y muestra información como:
y más.
Para capturar el archivo antes de que se elimine: me gustaría conectar "NtDeleteFile" o la API específica a la que llama el proceso.
Filtrar las llamadas a esa función evitaría que el proceso elimine ciertos archivos.
Esto podría implementarse en una biblioteca de enlace dinámico e inyectarse en el proceso de destino.
Lea otras preguntas en las etiquetas malware forensics windows file-system file-access