マルウェアによってドロップされたファイルをどのように認識して見つけることができますか?
マルウェア分析を行っているとします。分析プロセス中に、マルウェアがシステム内のファイルをドロップしたかどうか、およびドロップした場合はファイルのパスをどのように認識できますか?
サンドボックスを使用する以外の手順は何ですか?どうすれば手動でこれを行うことができますか?
通常、3つの方法があります。
- サンドボックス化(あなたがしたくないと言った)
- Process Monitor のようなツールは、システム上のすべてのファイルとレジストリアクティビティを表示できますが、このアプローチは制限されています。
- スナップショットの比較。ファイルシステムのスナップショットを取り、マルウェアを実行してから、別のスナップショットを取り、それらを比較します。作成および変更されたファイルを確認できます。
これは古い質問ですが、関連性があり付加価値があると思います。だから、ここに行きます。
NTFSファイルシステムを想定して、$ UsnJrnlおよび$ Logfileはファイルシステムに加えられた変更を記録します。これらのアーティファクトを通じてファイルの作成を検出できます。このプロセスとツールについて私よりもよく説明している記事がオンラインでたくさんあります。ただし、これらのファイルはNTFSファイルシステムによって内部的に使用されるため、これらのファイルにアクセスするには特別なツールが必要になると言います。無料のオプションの1つは、FTK Imager(フルインストール)またはFTK Imager Lite(ポータブル実行可能ファイル)です。
http://accessdata.com/product-download
これらのアーティファクト、その値、およびそれらを解析する方法を説明するいくつかの記事を次に示します。
http://journeyintoir.blogspot.com/2013/01/re-introducing-usnjrnl.html
http://az4n6.blogspot.com/2015/03/usn-journal-where-have-you-been-all-my.html
http://www.hecfblog.com/2013/01/ntfs-triforce-deeper-look-inside.html
http://www.hecfblog.com/2013/08/daily-blog-51-understanding-artifacts.html
APIモニターを使用します。私はお勧めします: http://www.rohitab.com/apimonitor これは素晴らしいソフトウェアであり、あなたが尋ねたことを監視するのに役立ちます。単にCreateFile() WINAPI呼び出しを探します。もちろん、これはマルウェアがCreateFile()関数を使用してファイルを作成することを前提としています。そうでない場合は、他のいくつかの機能を確認する必要があります。次に何が起こるかは、マルウェアが関数を呼び出すたびに、その関数に渡されるパラメーターが右側のフレームに表示されることです。これにより、CreateFile()への呼び出しにパスが含まれているため、ドロップされたファイルを特定できます。
追伸:デバッガーを使用して呼び出しを1つずつ実行し、APIモニターで監視することをお勧めします。 APIモニターを使用する場合は、学習曲線が少しありますが、これを頻繁に行う場合は、時間を費やすだけの価値があります。
参照: http://msdn.Microsoft.com/en-us/library/windows/desktop/aa363858(v = vs.85).aspx