Estoy obligado a responder al malware con procmon . No entiendo cómo usar procmon (createFile, RegQueryKeyValue, ...) para ayudar. ¿Es posible explicarme estas operaciones? Gracias.
Process Monitor es una herramienta de supervisión avanzada para Windows que muestra Sistema de archivos en tiempo real, registro y proceso / actividad de subprocesos.
Entonces, tu pregunta es: ¿Cómo podría ser útil la información de actividad en tiempo real para responder al malware?
Puede usar Process Monitor para ver qué hace el ejecutable sospechoso en un sistema, sin conocer su funcionalidad interna. ¡No se olvide de manejar el programa sospechoso en un recinto de seguridad ! Procmon tiene un filtrado avanzado, por lo que puede supervisar fácilmente solo la actividad de un solo proceso. La supervisión de todo el sistema suele ser una inundación de eventos completamente no relacionados.
Si todavía hay mucho ruido, primero podría concentrarse en los cambios que el malware está realizando en el sistema filtrando por tipo de operación, incluyendo: CreateFile
, RegCreateKey
, RegDeleteKey
, RegDeleteValue
, RegSetKeySecurity
, RegSetValue
, WriteFile
. Además, la operación Process Create
puede indicar procesos secundarios que necesitarías analizar también.
Con este conocimiento sobre lo que el malware está intentando modificar, podrías