Process Dump

Pillole di #MalwareAnalysis
Utilizzo di #ProcessDump nell’analisi dinamica
L’analisi dinamica di base di un #malware prevede di lanciarlo all’interno di una sandbox, sia essa fisica che virtuale, per analizzarne il comportamento senza l’ausilio di un #Debugger come #OllyDbg.
Ci sono però comportamenti come il #ProcessHollowing o una #DLLinjection che sono difficili da identificare con tool come #ProcessMonitor o #ProcessExplorer, allora come fare?
Un tool estremamente utile è Process Dump che consente di eseguire il dump di un processo in esecuzione. E’ un tool #OpenSource che può essere facilmente trovato su #GitHub
Come funziona?
Per prima cosa lanciamo il comando pd -db gen questo ci permetterà di crearci un database contenenti il codice #hash di tutti i #processi #Windows caricati in memoria.
Ottenuto il db, lanciamo il nostro malware!
Lanciamo pd -system
Questo comando ci permetterà di eseguire il #dump di tutti quei processi il cui hash non corrisponde con quello generato con il comando precedente.
Se il nostro malware andrà ad eseguire un #hooking all’interno di un pocesso, andrà anche a modificarne l’hash e questo verrà scoperto da process dumper con il conseguente dumping.
Bingo!
Abbiamo il trovato il processo sul quale è stato eseguito l’hooking!

Pin It

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.