|
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
恶意软件(有时称为恶意软件)是通过恶意软件分析过程进行检查和理解的。当黑客利用恶意软件未经授权访问计算机、窃取有价值的信息或损害计算机系统时,这种技术对于识别和减轻网络风险至关重要。
主要有两种类型的分析技术:
动态分析:通过执行来调查恶意软件。该技术使我们能够确定哪些进程、线程和 HTTP 请求是由感染产生的。
流程的执行和任何伴随的活动(例如文件和网络流量)可以由分析师使用ProcDOT直观地绘制出来。该应用程序使用可视化方法显示这些数据,使分析人员更容易发现可疑活动并了解恶意软件的功能。
工具要求
ProcDOT:https://www.procdot.com/downloadprocdotbinaries.htm
WinDump:https://www.winpcap.org/windump/install/default.htm
Graphviz:https://graphviz.org/download/
Process Monitor:https://learn.microsoft.com/en-us/sysinternals/downloads/procmon
ProcDot的配置
使用真实恶意软件测试
恶意软件样本下载:
https://www.malware-traffic-analysis.net/2022/08/10/index.html
设置ProcMon
对于图形视图,请按照下列步骤操作:
点击“刷新”
等待几秒钟以显示图表。
通过分析这份详细报告,您可以更好地了解恶意进程的运行方式及其造成的损害程度。
在上图中,我们可以看到恶意进程创建了新的子进程,然后连接到某个随机IP地址
因此,微软IP意味着它是安全的,但我们可以看到在图表或pcap文件中发现的所有IP地址。
让我们看看该恶意软件创建或删除的所有文件
此外,通过分析恶意软件行为获得的见解可用于加强我们的整体安全态势,识别潜在的漏洞和需要改进的领域。
这项技术为我们提供了对抗网络威胁的强大工具,使我们能够领先攻击者一步并保护我们的关键资产。
关注我们
还在等什么?赶紧点击下方名片开始学习吧!
信 安 考 证
CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001... |
推 荐 阅 读
原文始发于微信公众号(潇湘信安):使用ProcDot进行恶意软件分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论