Набор инструментов для начального расследования - часть 2.

Всем привет.

Мне справедливо подсказывают что я вчера ухватил только самые популярные инструменты для разбора IOC (Indicator of Compromise) от Владислава Радетского. Ну что ж, будем исправляться.

Вы абсолютно правы - надо добавить в список Process Monitor. Это бесплатная утилита для 32-битных и 64-разрядных операционных систем Microsoft Windows, разработанная тем же Sysinternals которая объединила в себе сразу 2 утилиты: FileMon (мониторинг файловой системы) и RegMon (мониторинг реестра). Она теперь предоставляет пользователям мощный инструмент для мониторинга файловой системы, системного реестра, а также всех процессов в оперативной памяти в реальном времени.

Следующей в активе гуру была замечена утилита PE Explorer. Это программа для просмотра, изучения, анализа и редактирования внутреннего устройства исполняемых файлов. С помощью PE Explorer вы можете исследовать как свои собственные программы и библиотеки, так и приложения от сторонних разработчиков, к чьим исходным текстам у вас нет доступа. Сюда же относится изучение устройства вирусов, троянов и прочих вредоносных программ.

PE Explorer позволяет открывать, смотреть и редактировать 32-битные PE (Portable Executable) файлы для Windows любого типа: EXE, DLL и ActiveX, SCR, CPL, SYS, DRV, MSSTYLES, MUI, BPL, DPL, и многие другие.

Для тех же целей можно использовать швейцарский нож аналитика - CFF Explorer. 

В его состав входят:

• PE- и HEX-редакторы
• редактор ресурсов
• редактор импорта
• сигнатрурный сканер
• конвертр адресов
• дизассемблер
• анализатор зависимостей
• и еще много чего полезного.

К тому же это первый PE-редактор, который понимает внутренние структуры .NET и может обрабатывать манифесты .NET. Программа поддерживает плагины и имеет свой скриптовый язык, который может в разы упростить повседневные задачи.

Рядом находится PeStudio - бесплатная утилита, которая предоставляет пользователю массу подробной информации о любом приложении (*.exe, *.dll, *.cpl, *.ocx, *.sys и др.) без необходимости его запуска. 

При помощи этой программы можно узнать:

• битность приложения (32/64);
• используется ли структурная обработка исключений (SEH);
• используется ли функция безопасности Data Execution Prevention (DEP);
• используется ли технология Address space layout randomization (ASLR);
• используемые dll-библиотеки;
• информация об импорте/экспорте функций приложением;
• наличие в приложении потенциально опасных функций для ПК и многое другое.

PeStudio не требует инсталляции. Для получения информации о приложении, необходимо перетащить мышью необходимый файл в окно программы.

Кстати PeStudio и CFF Explorer входят в состав Tools for Analyzing Static Properties of Suspicious Files on Windows от SANS.

И замкнем мы сегодня серию утилитой  Depends.exe. Dependency Walker (от англ. "обходчик зависимостей") - это гениальная по своей простоте программа для первичного анализа исполняемых файлов и библиотек. Говоря простым языком - это программа-анализатор, собирающая для вас информацию о другой выбранной вами программе, например, о компьютерной игрушке или пользовательском приложении. Или вирусе.

Что лучше? Держите у себя все, пригодится. Практикуйтесь, сравнивайте результаты между ними, анализируйте.

Удачи.