carlosadrianosj
carlosadrianosj
Análise Dinâmica de Malware: Quarteto Fantástico
26
1

Análise Dinâmica de Malware: Quarteto Fantástico

Em meio ao dia corrido de um Malware Reverse Engineer, nem sempre a Engenharia Reversa irá ser o método mais eficaz para tratar a fundo o conhecimento de ameaças presentes no ambiente do cliente.

Carlos Adriano de Souza Jorge
3 min
26
1
undefined

Figura 01 - Quarteto Fantástico

Em meio ao dia corrido de um Malware Reverse Engineer, nem sempre a Engenharia Reversa irá ser o método mais eficaz para tratar a fundo o conhecimento de ameaças presentes no ambiente do cliente.

Quando a carga de análises de arquivo maliciosos é grande o profissional especializado precisa possuir em seus acervo técnicas que tragam para ele respostas de forma rápida e eficiente. Com isso em mente uma das artimanhas que podem ser utilizadas no dia a dia são as Análises Dinâmicas!

Testes de Análise Dinâmica ( Também chamado de análise de comportamento) consistem em  saber o que o malware está fazendo, ou seja, o comportamento de um arquivo ou as alterações feitas por ele no sistema. Nestes tipos de testes se olha tudo: Alterações no sistema de arquivos, conexões de rede, alterações no registro, mudanças de processo e muito mais.

Hoje trarei então o Quarteto Fantástico! 

O Quarteto Fantástico é nada mais nada menos do que as 4 ferramentas que eu sempre utilizo no meu dia a dia para estar coletando as informações como as citadas acima. Mais para frente trarei muitas outras que me ajudam a fazer este trabalho de forma rápida, eficiente e especializada, fique atento!!

PROCESS HACKER

undefined

Figura 02 - Process Hacker em uso.

Essa ferramenta se baseia no modelo do Gerenciador de Tarefas do Windows, porém trás as informações de uma forma mais organizada e apresentável ao seu utilizador.

Ela trás diversas opções de ação em relação aos processos. Você pode determinar que eles sejam deletados, parados, continuados ou terminados. A sua utilização é bastante intuitiva e simples. Também é disponibilizado gráficos para o acompanhamento de seus processos, uso de recursos do computador e conexões.

Microsoft Network Monitor

undefined

Figura 03 - Microsoft Network Monitor em uso.

O Microsoft Network Monitor é um analisador de pacotes estilo Wireshark, onde permite capturar, visualizar e analisar dados de rede e decifrar protocolos de rede. Umas das vantagens de sua utilização é poder visualizar a interação dos processos com chamadas de rede.

RegShot

undefined

Figura 04 - RegShot em uso.

O Regshot é um ótimo utilitário que você pode usar para comparar a quantidade de entradas do Registro que foram alteradas durante uma instalação ou uma alteração nas configurações do sistema . Com a comparação dessas alterações é possível visualizar Registros que foram adicionados, deletados e modificados!

Microsoft Process Monitor 

undefined

FIgura 05 - Microsoft Process Monitor em uso.

Process Monitor funciona como uma ferramenta avançada de monitoramento do Windows. Ela mostra, em tempo real, as atividades que o computador está desempenhando, o que inclui o sistema de arquivos, o registro do Windows e o processamento de dados, é uma das minhas favoritas!

Chegamos ao fim de mais um Artigo! se gostou continue me acompanhando e me siga por aqui e em !! até a próxima!!

Learn
Support
More Options