ATMMalScan – DFIR搜索ATM上的恶意软件痕迹。

  • A+
所属分类:安全工具


        

ATMMalScan - DFIR搜索ATM上的恶意软件痕迹。


        ATMMalScan是Windows 7和更高版本的Windows操作系统的命令行工具,有助于在DFIR流程中在ATM上搜索恶意软件跟踪。该工具根据指定的文件路径检查系统以及硬盘的运行过程。要扫描系统,具有标准权限的用户就足够了。但是,ATMMalScan具有管理员权限,可以提供最佳结果。


已知的问题:

        当前,ATMMalScan不支持需要Unicode的代码页,这意味着Windows操作系统设置为例如西里尔字母或中文字符,无法保证代表性的结果。


要求:

        确保至少要扫描的ATM上已经安装了Visual Studio 2015的Visual C ++ Redistributable。


用法(示例)

        步骤1 =>扫描进程内存和磁盘。===>检查设备上是否具有管理员权限以获得最佳结


ATMMalScan - DFIR搜索ATM上的恶意软件痕迹。

Step2 => ATMMalScan在进程中检测到一个名为XFS_DIRECT恶意软件,提供有关线程及其规则匹配的详细信息。此外,完整的进程内存转储已保存到磁盘,以捕获恶意进程,其模块以及其堆栈和堆页面。


ATMMalScan - DFIR搜索ATM上的恶意软件痕迹。


Step3 =>转储可以在这里找到=>. Dump


ATMMalScan - DFIR搜索ATM上的恶意软件痕迹。


Step4 =>使用Windbg打开转储文件,并使用“ .writemem”将ATM恶意软件提取到磁盘


ATMMalScan - DFIR搜索ATM上的恶意软件痕迹。


步骤5 =>使用您最喜欢的PE修复程序之一修复转储的PE,然后开始详细分析恶意软件。


ATMMalScan - DFIR搜索ATM上的恶意软件痕迹。


项目地址:

https://github.com/fboldewin/ATMMalScan

本文始发于微信公众号(Khan安全团队):ATMMalScan - DFIR搜索ATM上的恶意软件痕迹。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: