Malware y Windows 7

0

Estoy tratando de ingresar a una nueva especialidad ocupacional militar para la comunidad cibernética y tengo algunas dificultades con algunas de las preguntas en un cuestionario. Las dos preguntas que tengo problemas son las siguientes. Estoy dispuesto a leer otros sitios web para encontrar las respuestas.

  1. ¿Cómo puede usarse una lista de procesos de Windows, vista a través de la Lista de tareas o la Lista de ps, para identificar procesos maliciosos? Identifique al menos 3 formas.

  2. Una pieza de malware se ejecuta en una máquina con Windows 7 a través de la inyección del proceso, por lo que no aparece en una lista de procesos. ¿Qué técnica forense remota podría usarse para descubrir que el malware se está ejecutando en el contenido de un proceso específico?

pregunta Alex Behnke 11.06.2017 - 16:59
fuente

1 respuesta

1
  1. Puedes detectar procesos que:

    • tiene un nombre similar con un proceso con nombre oficial, por ejemplo: svch0st en lugar de svchost, expiorer explorer

    • han generado nombres aleatoriamente - ejemplos: fh74w7ha, xf8f4a34, m599j42k.

    • no tiene una descripción general insuficiente / inexacta: ejemplo: archivo

  2. Puedes detectar P.I. malware mediante el estudio:

    • Relación de proceso padre-hijo (ejemplo: los procesos se nombran en consecuencia pero no se inician con winlogon.exe o wininit.exe, sino con otro proceso)

    • Uso de protección de memoria sospechosa (PAGE_EXECUTE_READWRITE - a veces en una dirección redonda como 0x1000000).

    • Comparación entre PEB y la estructura de VAD (memoria de proceso frente a memoria del núcleo)

respondido por el Overmind 12.06.2017 - 12:08
fuente

Lea otras preguntas en las etiquetas