使用ProcDot进行恶意软件分析

现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

恶意软件（有时称为恶意软件）是通过恶意软件分析过程进行检查和理解的。当黑客利用恶意软件未经授权访问计算机、窃取有价值的信息或损害计算机系统时，这种技术对于识别和减轻网络风险至关重要。

主要有两种类型的分析技术：

动态分析：通过执行来调查恶意软件。该技术使我们能够确定哪些进程、线程和 HTTP 请求是由感染产生的。

流程的执行和任何伴随的活动（例如文件和网络流量）可以由分析师使用ProcDOT直观地绘制出来。该应用程序使用可视化方法显示这些数据，使分析人员更容易发现可疑活动并了解恶意软件的功能。

工具要求

ProcDOT：https://www.procdot.com/downloadprocdotbinaries.htmWinDump：https://www.winpcap.org/windump/install/default.htmGraphviz：https://graphviz.org/download/Process Monitor：https://learn.microsoft.com/en-us/sysinternals/downloads/procmon

恶意软件样本下载：

https://www.malware-traffic-analysis.net/2022/08/10/index.html

对于图形视图，请按照下列步骤操作：

点击“刷新”等待几秒钟以显示图表。

通过分析这份详细报告，您可以更好地了解恶意进程的运行方式及其造成的损害程度。

在上图中，我们可以看到恶意进程创建了新的子进程，然后连接到某个随机IP地址

因此，微软IP意味着它是安全的，但我们可以看到在图表或pcap文件中发现的所有IP地址。

让我们看看该恶意软件创建或删除的所有文件

此外，通过分析恶意软件行为获得的见解可用于加强我们的整体安全态势，识别潜在的漏洞和需要改进的领域。

这项技术为我们提供了对抗网络威胁的强大工具，使我们能够领先攻击者一步并保护我们的关键资产。

 还在等什么？赶紧点击下方名片开始学习吧！

推 荐 阅 读

原文始发于微信公众号（潇湘信安）：使用ProcDot进行恶意软件分析