А АFriday, 20 July 2018

Набор инструментов для начального расследования.

Всем привет.

Рассказывая недавно про набор инструментов для начального реагирования на вирусную атаку вспомнил одного гуру по разбору кейсов с IOC (Indicator of Compromise). Да, я его уже упоминал на страницах моего блога. Но сегодня просто хотел бы перечислить те инструменты которые Владислав использует для разбора. Думаю вам будет полезно. Чтобы понять как он их использует достаточно перечитать любой из его кейсов, которые он публикует регулярно на своем блоге.

Не ошибусь если назову главным инструментом Владислава анализатор пакетов Wireshark. Почему он? Для того чтобы проводить исследования сетевых приложений и протоколов, а также, чтобы находить проблемы в работе сети, и, что важно, выяснять причины этих проблем. Wireshark - это достаточно известный инструмент для захвата и анализа сетевого трафика, фактически стандарт как для образования, так и для траблшутинга. Wireshark работает с подавляющим большинством известных протоколов, имеет понятный и логичный графический интерфейс на основе GTK+ и мощнейшую систему фильтров. Кроссплатформенный, работает в таких ОС как Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, и, естественно, Windows.


Далее следуют Autoruns и Process Explorer про которые я упоминал прошлый раз.

И замыкает обойму исследователя TCPView - это маленькая бесплатная программа для мониторинга TCP/IP подключений в Windows, написанная Марком Руссиновичем, известным специалистом по безопасности, работающем сейчас в Microsoft. Она показывает в реальном времени процессы на вашем компьютере использующие TCP протокол. Программа очень удобна для отлавливания вирусов, выявления сетевой активности разных программ, да и просто для того чтобы выяснить кто куда и зачем к вам подключился. Прямо из её интерфейса можно убивать нехорошие процессы, а можно просто закрывать их подключения.


Разумеется все исследования надо проводить на замкнутом полигоне, например в VirtualBox.

Успехов.

1 comment:

Anonymous said...

Process Monitor + FileMon + RegMon.

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное