使用ProcDot进行恶意软件分析

adopi

使用ProcDot进行恶意软件分析
恶意软件（有时称为恶意软件）是通过恶意软件分析过程进行检查和理解的。当黑客利用恶意软件未经授权访问计算机、窃取有价值的信息或损害计算机系统时，这种技术对于识别和减轻网络风险至关重要。


主要有两种类型的分析技术：
静态分析：检查尚未触发的恶意软件。这种方法允许我们识别库和硬编码字符串。某个恶意文件正在使用。

动态分析：通过执行来调查恶意软件。该技术使我们能够确定哪些进程、线程和 HTTP 请求是由感染产生的。


流程的执行和任何伴随的活动（例如文件和网络流量）可以由分析师使用ProcDOT直观地绘制出来。该应用程序使用可视化方法显示这些数据，使分析人员更容易发现可疑活动并了解恶意软件的功能。


工具要求
始终使用虚拟机来测试恶意软件

1. ProcDOT：https://www.procdot.com/downloadprocdotbinaries.htm
   
2. WinDump：https://www.winpcap.org/windump/install/default.htm
   
3. Graphviz：https://graphviz.org/download/
   
4. Process Monitor：https://learn.microsoft.com/en-us/sysinternals/downloads/procmon
   
5. 
   

复制代码

ProcDot的配置



使用真实恶意软件测试

恶意软件样本下载：

1. https://www.malware-traffic-analysis.net/2022/08/10/index.html

复制代码

设置ProcMon



选择线程ID并取消选择序列号（如果选择）



选择已解析的网络地址



现在运行任何数据包捕获软件，我是用Wireshark来做的。



启动恶意软件，同时密切关注后台程序procmon和wireshark。


以CSV格式保存procmon的日志文件。



一段时间后，将Wireshark现在捕获的数据包保存为ProcDot允许的.txt格式。



选择ProcDot中的procmon日志文件，然后选择您要查看的恶意进程。选择受感染进程后，再选择之前在Wireshark保存的TXT pcap文件。



对于图形视图，请按照下列步骤操作：

点击“刷新”
等待几秒钟以显示图表。

该图将提供恶意进程执行的所有进程、子进程、注册表编辑和其他更改的全面视图。

通过分析这份详细报告，您可以更好地了解恶意进程的运行方式及其造成的损害程度。
此外，这些信息还可用于开发和实施更有效的安全措施，以防止将来发生类似的攻击。




在上图中，我们可以看到恶意进程创建了新的子进程，然后连接到某个随机IP地址



收集详细信息后，我们可以查看 pcap 以查看数据包中共享的详细信息



让我们在Virustotal上查看IP详细信息以了解信誉



IP是干净的，让我们看看社区对此IP的评价：



因此，微软IP意味着它是安全的，但我们可以看到在图表或pcap文件中发现的所有IP地址。


让我们看看该恶意软件创建或删除的所有文件



借助这项技术，我们能够实时动态检查系统或网络架构中恶意软件的行为。通过这样做，我们可以更有效地检测和响应威胁，最终提高组织的安全性。

此外，通过分析恶意软件行为获得的见解可用于加强我们的整体安全态势，识别潜在的漏洞和需要改进的领域。

这项技术为我们提供了对抗网络威胁的强大工具，使我们能够领先攻击者一步并保护我们的关键资产。


关注我们