¿Cuál es la función de procmon en la respuesta al malware? [cerrado]

-1

Estoy obligado a responder al malware con procmon . No entiendo cómo usar procmon (createFile, RegQueryKeyValue, ...) para ayudar. ¿Es posible explicarme estas operaciones? Gracias.

    
pregunta bz Os 09.04.2018 - 01:18
fuente

1 respuesta

1
  

Process Monitor es una herramienta de supervisión avanzada para Windows que muestra   Sistema de archivos en tiempo real, registro y proceso / actividad de subprocesos.

Entonces, tu pregunta es: ¿Cómo podría ser útil la información de actividad en tiempo real para responder al malware?

Puede usar Process Monitor para ver qué hace el ejecutable sospechoso en un sistema, sin conocer su funcionalidad interna. ¡No se olvide de manejar el programa sospechoso en un recinto de seguridad ! Procmon tiene un filtrado avanzado, por lo que puede supervisar fácilmente solo la actividad de un solo proceso. La supervisión de todo el sistema suele ser una inundación de eventos completamente no relacionados.

Si todavía hay mucho ruido, primero podría concentrarse en los cambios que el malware está realizando en el sistema filtrando por tipo de operación, incluyendo: CreateFile , RegCreateKey , RegDeleteKey , RegDeleteValue , RegSetKeySecurity , RegSetValue , WriteFile . Además, la operación Process Create puede indicar procesos secundarios que necesitarías analizar también.

Con este conocimiento sobre lo que el malware está intentando modificar, podrías

  • evalúe si el malware se ha activado en los sistemas desde los que se encontró
  • posiblemente revertir los cambios
  • estime las otras medidas necesarias para responder realmente al malware.
respondido por el Esa Jokinen 09.04.2018 - 06:53
fuente

Lea otras preguntas en las etiquetas