安全矩阵

 找回密码
 立即注册
搜索
查看: 955|回复: 0

使用ProcDot进行恶意软件分析

[复制链接]

179

主题

179

帖子

630

积分

高级会员

Rank: 4

积分
630
发表于 2023-10-22 15:42:01 | 显示全部楼层 |阅读模式
使用ProcDot进行恶意软件分析
恶意软件(有时称为恶意软件)是通过恶意软件分析过程进行检查和理解的。当黑客利用恶意软件未经授权访问计算机、窃取有价值的信息或损害计算机系统时,这种技术对于识别和减轻网络风险至关重要。


主要有两种类型的分析技术:
静态分析:检查尚未触发的恶意软件。这种方法允许我们识别库和硬编码字符串。某个恶意文件正在使用。

动态分析:通过执行来调查恶意软件。该技术使我们能够确定哪些进程、线程和 HTTP 请求是由感染产生的。


流程的执行和任何伴随的活动(例如文件和网络流量)可以由分析师使用ProcDOT直观地绘制出来。该应用程序使用可视化方法显示这些数据,使分析人员更容易发现可疑活动并了解恶意软件的功能。


工具要求
始终使用虚拟机来测试恶意软件

  1. ProcDOT:https://www.procdot.com/downloadprocdotbinaries.htm
  2. WinDump:https://www.winpcap.org/windump/install/default.htm
  3. Graphviz:https://graphviz.org/download/
  4. Process Monitor:https://learn.microsoft.com/en-us/sysinternals/downloads/procmon

复制代码


ProcDot的配置



使用真实恶意软件测试

恶意软件样本下载:

  1. https://www.malware-traffic-analysis.net/2022/08/10/index.html
复制代码





设置ProcMon



选择线程ID并取消选择序列号(如果选择)



选择已解析的网络地址



现在运行任何数据包捕获软件,我是用Wireshark来做的。



启动恶意软件,同时密切关注后台程序procmon和wireshark。


以CSV格式保存procmon的日志文件。



一段时间后,将Wireshark现在捕获的数据包保存为ProcDot允许的.txt格式。



选择ProcDot中的procmon日志文件,然后选择您要查看的恶意进程。选择受感染进程后,再选择之前在Wireshark保存的TXT pcap文件。



对于图形视图,请按照下列步骤操作:

点击“刷新”
等待几秒钟以显示图表。

该图将提供恶意进程执行的所有进程、子进程、注册表编辑和其他更改的全面视图。

通过分析这份详细报告,您可以更好地了解恶意进程的运行方式及其造成的损害程度。
此外,这些信息还可用于开发和实施更有效的安全措施,以防止将来发生类似的攻击。




在上图中,我们可以看到恶意进程创建了新的子进程,然后连接到某个随机IP地址



收集详细信息后,我们可以查看 pcap 以查看数据包中共享的详细信息



让我们在Virustotal上查看IP详细信息以了解信誉



IP是干净的,让我们看看社区对此IP的评价:



因此,微软IP意味着它是安全的,但我们可以看到在图表或pcap文件中发现的所有IP地址。


让我们看看该恶意软件创建或删除的所有文件



借助这项技术,我们能够实时动态检查系统或网络架构中恶意软件的行为。通过这样做,我们可以更有效地检测和响应威胁,最终提高组织的安全性。

此外,通过分析恶意软件行为获得的见解可用于加强我们的整体安全态势,识别潜在的漏洞和需要改进的领域。

这项技术为我们提供了对抗网络威胁的强大工具,使我们能够领先攻击者一步并保护我们的关键资产。


关注我们


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 05:52 , Processed in 0.012986 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表