Огляд інструментів для аналізу шкідливих програм

  1. Вступ
  2. лабораторія
  3. Інструменти
  4. ProcDOT
  5. Process Monitor v3.40
  6. висновки

Найчастіше, коли ви вперше стикаєтеся з шкідливою програмою, вам хочеться зрозуміти, як це все працює, які дії вона виконує, як потрапляє на комп'ютер і так далі. Розглянемо, як створити віртуальне середовище для тестування і налагодження шкідливого файлу, що допоможе нам зрозуміти, як він поширюється, які дії він виконує на зараженому комп'ютері, які мережеві комунікації він реалізує.

  1. Вступ
  2. лабораторія
  3. Інструменти
  4. ProcDOT
  5. Process Monitor v3.40
  6. висновки

Вступ

Для аналізу шкідливих програм існує цілий ряд безкоштовних інструментів з відкритим вихідним кодом. Ми опишемо завантаження і установку деяких з цих інструментів, щоб зрозуміти, як вони працюють.

лабораторія

В цілому, є два шляхи створення лабораторії для тестування шкідливих програм: можна використовувати програмне забезпечення для віртуалізації, наприклад VirtualBox або VMware, або ж використовувати старі, але все ще працюють комп'ютери, які, скажімо, завалялися у вас вдома.

У випадку з віртуальним середовищем, після навмисного зараження її шкідливими програмами завжди можна буде повернути її в початковий стан. Якщо ж ви вибираєте другий варіант, будьте вкрай уважні і переконайтеся, що ваша лабораторія ізольована від робочої мережі, щоб запобігти небажаному поширення шкідливих програм.

Подивимося, які інструменти можуть вам допомогти в цьому питанні.

Інструменти

Можливо, ви будете здивовані, але для аналізу шкідливих програм існує безліч інструментів, багато з яких доступні безкоштовно. Розкладемо типи інструментів, які нам знадобляться, по пунктах:

  1. Програма для моніторингу процесів, схожа на диспетчер задач Windows, проте вона має в своєму розпорядженні набагато більшими можливостями.
  2. Мережевий аналізатор, подібний wirehark, щоб вивчити спосіб підключення шкідливий до його автору.
  3. Аналізатор коду. Як правило, дуже складно деобфусціровать шкідливий код, але якщо це вдасться зробити, у вас буде багато інформації.
  4. Безкоштовний онлайн-аналізатор шкідливих програм, такий, як перераховані тут , Щоб автоматизувати ці дії.

Спробуємо заглибитися у вивчення пари цікавих інструментів.

ProcDOT

ProcDOT унікальний в своєму жанрі. Фактично він об'єднує дві основні функції: моніторинг процесів і аналізатор мережі. Зазвичай ці два інструменти розділені, що значно ускладнює розуміння того, як шкідливий процес ділиться інформацією.

Малюнок 1. Схема роботи ProcDOT

ProcDOT вирішує цю проблему як інструмент «все-в-одному», тому його наявність у вашій лабораторії будемо вважати обов'язковим. Функціями ProcDOT є:

  • Кореляція даних Procmon і PCAP
  • Подання у вигляді інтерактивного графіка
  • Режим анімації для легкого розуміння аспектів таймінгу
  • Розумні алгоритми для фокуса на релевантної інформації
  • Виявлення і візуальне уявлення шкідливих ін'єкцій (thread injection)
  • Кореляція мережевих дій і процесів
  • Тимчасова шкала активності
  • Повнотекстовий пошук вмісту графіка, також відображається в рядку тимчасової шкали активності
  • Фільтри для очищення непотрібної інформації (глобальні і сеансу)
  • Підтримка різних режимів узгодження

Щоб завантажити ProcDOT, скористайтеся наступними посиланнями: для Linux , для Windows .

Process Monitor v3.40

Process Monitor v3.40, як ви можете здогадатися по його назві, орієнтований тільки на моніторинг процесів. Він призначений для роботи виключно з Windows і є розширеним диспетчер задач, здатний виконувати перевірку працездатності в реальному часі, а також фіксує деталі процесу включаючи користувача, ідентифікатор сеансу, командний рядок тощо.

Малюнок 2. Робоче вікно Process Monitor

Process Monitor v3.40 також дозволяє реєструвати час завантаження для всіх операцій, він поєднує в собі функції двох програм sysinternal, які в даний момент не підтримуються, - Filemon і Regmon. Filemon надає корисну інформацію про активність системи, а Regmon детально показує використання реєстру Windows.

Всі ці функції роблять Process Monitor v3.40 корисним інструментом, використовуваним для системного адміністрування, комп'ютерної криміналістики і налагодження додатків. Більш того, він теж повністю безкоштовний.

висновки

Все, про що ми поговорили вище, допоможе вам почати самостійно аналізувати шкідливі програми. Тепер, коли є базові знання, ви можете пробувати приступати до аналізу, поступово нарощуючи їх. Завантажуйте програми, визначайтеся з типом своєї лабораторії і дерзайте!

Мерлин (Merlin)

Сериал Мерлин, 1 сезон, 13 серия
Здраствуйте! Хотел бы поговорить о фильме "Мерлин". Скажу честно - поначалу не хотел его смотреть. Думал, будет скучно, да и еще что-то с историей связано. Но посмотрев пару серий я втянулся

Сериал Мерлин, 2 сезон, 1 серия
Здраствуйте! Хотел бы поговорить о фильме "Мерлин". Скажу честно - поначалу не хотел его смотреть. Думал, будет скучно, да и еще что-то с историей связано. Но посмотрев пару серий я втянулся

Сериал Мерлин (Merlin) — это экранизация захватывающей книги о Короле Артуре, по легенде живший во времена магии и волшебства. Телеканал BBC постарался максимально передать атмосферу тех времён — идеально подобранные актеры, десятки сценаристов, работающих над адаптацией истории к кинематографу, потрясающие декорации и дорогостоящие костюмы и платья — всё это увлекает зрителя и позволяет прочувствовать историю былых времён..

Это лишь начало приключений юного Мерлина и принца Артура, чьи судьбы с этого момента будут крепко связаны. Впоследствии один из них станет самым могущественным и известным чародеем, другой — доблестным рыцарем и великим королем Альбиона…

Это удивительная история юного мага, который в впоследствии становится одним из самых могущественных и известных волшебников из тех, кто когда либо жил на земле…