Мне справедливо подсказывают что я вчера ухватил только самые популярные инструменты для разбора IOC (Indicator of Compromise) от Владислава Радетского. Ну что ж, будем исправляться.
Вы абсолютно правы - надо добавить в список Process Monitor. Это бесплатная утилита для 32-битных и 64-разрядных операционных систем Microsoft Windows, разработанная тем же Sysinternals которая объединила в себе сразу 2 утилиты: FileMon (мониторинг файловой системы) и RegMon (мониторинг реестра). Она теперь предоставляет пользователям мощный инструмент для мониторинга файловой системы, системного реестра, а также всех процессов в оперативной памяти в реальном времени.
Следующей в активе гуру была замечена утилита PE Explorer. Это программа для просмотра, изучения, анализа и редактирования внутреннего устройства исполняемых файлов. С помощью PE Explorer вы можете исследовать как свои собственные программы и библиотеки, так и приложения от сторонних разработчиков, к чьим исходным текстам у вас нет доступа. Сюда же относится изучение устройства вирусов, троянов и прочих вредоносных программ.
PE Explorer позволяет открывать, смотреть и редактировать 32-битные PE (Portable Executable) файлы для Windows любого типа: EXE, DLL и ActiveX, SCR, CPL, SYS, DRV, MSSTYLES, MUI, BPL, DPL, и многие другие.
Для тех же целей можно использовать швейцарский нож аналитика - CFF Explorer.
В его состав входят:
- PE- и HEX-редакторы
- редактор ресурсов
- редактор импорта
- сигнатрурный сканер
- конвертр адресов
- дизассемблер
- анализатор зависимостей
- и еще много чего полезного.
К тому же это первый PE-редактор, который понимает внутренние структуры .NET и может обрабатывать манифесты .NET. Программа поддерживает плагины и имеет свой скриптовый язык, который может в разы упростить повседневные задачи.
Рядом находится PeStudio - бесплатная утилита, которая предоставляет пользователю массу подробной информации о любом приложении (*.exe, *.dll, *.cpl, *.ocx, *.sys и др.) без необходимости его запуска.
При помощи этой программы можно узнать:
- битность приложения (32/64);
- используется ли структурная обработка исключений (SEH);
- используется ли функция безопасности Data Execution Prevention (DEP);
- используется ли технология Address space layout randomization (ASLR);
- используемые dll-библиотеки;
- информация об импорте/экспорте функций приложением;
- наличие в приложении потенциально опасных функций для ПК и многое другое.
PeStudio не требует инсталляции. Для получения информации о приложении, необходимо перетащить мышью необходимый файл в окно программы.
Кстати PeStudio и CFF Explorer входят в состав Tools for Analyzing Static Properties of Suspicious Files on Windows от SANS.
И замкнем мы сегодня серию утилитой Depends.exe. Dependency Walker (от англ. "обходчик зависимостей") - это гениальная по своей простоте программа для первичного анализа исполняемых файлов и библиотек. Говоря простым языком - это программа-анализатор, собирающая для вас информацию о другой выбранной вами программе, например, о компьютерной игрушке или пользовательском приложении. Или вирусе.
Что лучше? Держите у себя все, пригодится. Практикуйтесь, сравнивайте результаты между ними, анализируйте.
Удачи.
No comments:
Post a Comment
А что вы думаете по этому поводу?