ATMMalScan是Windows 7和更高版本的Windows操作系统的命令行工具,有助于在DFIR流程中在ATM上搜索恶意软件跟踪。该工具根据指定的文件路径检查系统以及硬盘的运行过程。要扫描系统,具有标准权限的用户就足够了。但是,ATMMalScan具有管理员权限,可以提供最佳结果。
已知的问题:
当前,ATMMalScan不支持需要Unicode的代码页,这意味着Windows操作系统设置为例如西里尔字母或中文字符,无法保证代表性的结果。
要求:
确保至少要扫描的ATM上已经安装了Visual Studio 2015的Visual C ++ Redistributable。
用法(示例)
步骤1 =>扫描进程内存和磁盘。===>检查设备上是否具有管理员权限以获得最佳结
Step2 => ATMMalScan在进程中检测到一个名为XFS_DIRECT的恶意软件,提供有关线程及其规则匹配的详细信息。此外,完整的进程内存转储已保存到磁盘,以捕获恶意进程,其模块以及其堆栈和堆页面。
Step3 =>转储可以在这里找到=>. Dump
Step4 =>使用Windbg打开转储文件,并使用“ .writemem”将ATM恶意软件提取到磁盘
步骤5 =>使用您最喜欢的PE修复程序之一修复转储的PE,然后开始详细分析恶意软件。
项目地址:
https://github.com/fboldewin/ATMMalScan
本文始发于微信公众号(Khan安全团队):ATMMalScan - DFIR搜索ATM上的恶意软件痕迹。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论