Escolar Documentos
Profissional Documentos
Cultura Documentos
MT
CE-Conselho
D FE
Digital Princípios Forenses
Machine Translated by Google
Objetivos do Módulo
Compreendendo o malware e as técnicas comuns que os invasores usam para
1 Espalhar malware
Objetivos do Módulo
Atualmente, o software malicioso, comumente chamado de malware, é a ferramenta mais eficiente para comprometer a
segurança de um computador ou qualquer outro dispositivo eletrônico conectado à internet. Isso se tornou uma ameaça devido
ao rápido progresso em tecnologias como criptografia fácil e técnicas de ocultação de dados. O malware é a principal fonte de
vários ataques cibernéticos e ameaças à segurança da Internet; portanto, os analistas forenses de computador precisam ter
experiência para lidar com eles.
Este módulo discute detalhadamente os diferentes tipos de malware, como eles podem entrar no sistema e as diferentes
técnicas usadas pelos invasores para espalhar malware. Ele também descreve os fundamentos forenses de malware e
diferentes tipos de análise de malware que os investigadores podem realizar para examinar o código malicioso e determinar
como o malware interage com os recursos do sistema e a rede durante o tempo de execução. Este módulo inclui a análise de
documentos do Word suspeitos.
ÿ Definir malware e identificar as técnicas comuns que os invasores usam para espalhar malware
Módulo 12 Página 646 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Módulo 12 Página 647 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
02 Dispositivos removíveis
Introdução ao malware
Malware, uma forma abreviada de software malicioso, é um programa capaz de alterar as propriedades de um dispositivo ou
aplicativo de destino para fornecer controle limitado ou total do dispositivo ao seu criador. Um malware é útil quando uma
pessoa não autorizada deseja acessar ilegalmente um dispositivo bloqueado ou seguro.
Os programas de malware incluem vírus, worms, trojans, rootkits, adware, spyware, etc., que podem excluir arquivos, tornar
computadores lentos, roubar informações pessoais, enviar spam e cometer fraudes.
O malware pode executar várias atividades maliciosas, desde simples publicidade por e-mail até roubo complexo de identidade
e roubo de senha. Os programadores de malware desenvolvem e usam-no para:
Os invasores usam malware para quebrar a segurança cibernética. Portanto, é crucial que os analistas forenses tenham um
conhecimento sólido dos diferentes programas de malware: seu funcionamento, propagação, local de impacto, saída, juntamente
com diferentes métodos de detecção e análise.
Módulo 12 Página 648 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
As formas mais comuns de um invasor enviar um malware para um sistema são as seguintes:
Aplicativos de mensagens instantâneas (IM), como ICQ ou Yahoo Messenger, permitem a transferência de mensagens
de texto e arquivos. O malware pode se dispersar em um sistema por meio de arquivos recebidos durante a
transferência usando mensagens instantâneas. Os arquivos recebidos podem conter códigos ou programas altamente
maliciosos, pois os aplicativos de mensagens instantâneas não possuem um mecanismo de verificação adequado
para os arquivos transferidos.
O Internet Relay Chat (IRC), por outro lado, é um serviço de bate-papo que permite que vários usuários se
conectem e troquem dados e arquivos pela Internet. Malware, como trojans, usam o IRC como meio de
propagação. Os invasores renomeiam os arquivos Trojan como algo diferente para enganar a vítima e enviá-
los pelo IRC. Quando o usuário do IRC baixa e clica no arquivo, o Trojan executa e instala um programa
malicioso no sistema.
ÿ Dispositivos Removíveis
O malware pode se propagar por meio de mídia removível corrompida, como pen drives e CD-ROMs.
Quando um usuário conecta dispositivos de mídia corrompidos a um sistema de computador, o malware
também se espalha automaticamente para o sistema. CDs, DVDs e dispositivos de armazenamento USB,
como unidades flash ou discos rígidos externos, vêm com suporte para Autorun, que aciona certas ações
predeterminadas em um sistema ao conectar esses dispositivos. Os invasores exploram esse recurso para
executar malware junto com programas genuínos, colocando um arquivo Autorun.inf com o malware em um
CD/DVD ou USB.
ÿ E-mail e Anexos
Os invasores adotam uma técnica de envio em massa para enviar um grande número de mensagens de e-
mail, com o malware anexado como um arquivo ou embutido no próprio e-mail. Quando o usuário abre o e-
mail, o malware incorporado é instalado automaticamente no sistema e começa a se espalhar. Por outro lado,
um malware enviado como anexo exige que o usuário baixe e abra o arquivo anexado para que ele se torne
ativo e corrompa o sistema.
Alguns clientes de e-mail, como o Outlook Express, executam arquivos anexados automaticamente.
Os invasores também colocam links para sites maliciosos nos e-mails, juntamente com mensagens atraentes
que induzem a vítima a clicar no link. A maioria dos clientes da web detecta essas mensagens e as classifica
em categorias nocivas. Se o usuário clicar nesses links, o navegador navegará para um site prejudicial, que
pode baixar o malware no sistema sem o consentimento do usuário.
Os usuários não atualizam o software e os aplicativos instalados em seu sistema. Esses elementos de um
sistema vêm com várias vulnerabilidades, que os invasores aproveitam para corromper o sistema usando um
malware.
Um navegador desatualizado pode não ser capaz de identificar se um usuário mal-intencionado está visitando
um site malicioso e não pode impedir que o site copie ou instale programas no site do usuário
Módulo 12 Página 649 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
computador. Às vezes, uma visita a um site malicioso pode infectar automaticamente a máquina sem baixar
ou executar qualquer programa.
Os invasores usam redes Bluetooth e Wi-Fi abertas para atrair usuários para se conectar a ela. Essas redes
abertas têm dispositivos de software e hardware instalados no nível do roteador que podem capturar o
tráfego de rede e os pacotes de dados e encontrar outros detalhes da conta, incluindo nomes de usuário e
senhas.
ÿ Downloads de Arquivos
Os invasores mascaram arquivos e aplicativos maliciosos com ícones e nomes de aplicativos caros ou
famosos. Eles colocam esses aplicativos em sites e os tornam disponíveis para download gratuitamente para
atrair vítimas. Além disso, eles criam os sites de forma que o programa gratuito afirma ter recursos como um
catálogo de endereços, acesso para verificar várias contas POP3 e outras funções para atrair muitos usuários.
Se um usuário baixar esses programas, rotulá-los como confiáveis e executá-los, um software de proteção
pode não verificar o novo software em busca de conteúdo malicioso. Esse malware pode solicitar e-mail,
senhas de contas POP3, senhas em cache e pressionamentos de tecla para os invasores por e-mail
secretamente.
Às vezes, funcionários insatisfeitos de uma empresa criam um pacote de software aparentemente legítimo
com malware e o colocam na rede interna da empresa.
Quando outros funcionários acessam esses arquivos e tentam baixá-los e executá-los, o malware compromete
o sistema e também pode causar perdas intelectuais e financeiras.
Além do software falso, o intruso também pode construir outros arquivos falsos, como tocadores de música,
arquivos, filmes, jogos, cartões comemorativos, protetores de tela, etc.
Se os usuários compartilharem uma rede comum com portas abertas, o malware poderá se propagar de um
sistema corrompido para outros sistemas por meio de arquivos e pastas compartilhados.
Módulo 12 Página 650 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Componentes de malware
Os componentes de um software malicioso dependem dos requisitos do autor do malware, que o projeta para um
alvo específico para executar as tarefas pretendidas
criptografar Um tipo de software que disfarça o malware como um produto legítimo por meio de criptografia ou ofuscação, protegendo-o assim da detecção por programas de segurança
Um tipo de Trojan que baixa outro malware da Internet para o PC. Normalmente, os invasores instalam o software downloader quando obtêm acesso a um sistema pela primeira vez
Downloader
conta-gotas Um tipo de cavalo de Tróia que instala outros arquivos de malware no sistema a partir do pacote de malware ou da Internet
Explorar Um código malicioso que viola a segurança do sistema por meio de vulnerabilidades de software para acessar informações ou instalar malware
injetor Um programa que injeta seu código em outros processos em execução vulneráveis e altera a forma de execução para ocultar ou impedir sua remoção
Obfuscator Um programa que oculta seu código e a finalidade pretendida por meio de várias técnicas, tornando difícil para os mecanismos de segurança detectá-lo ou removê-lo
embalador Um programa que permite agrupar todos os arquivos em um único arquivo executável por meio de compactação para contornar a detecção de software de segurança
Carga útil Um pedaço de software que permite controlar um sistema de computador depois de ter sido explorado
Código malicioso Um comando que define as funcionalidades básicas do malware, como roubar dados e criar um backdoor
Um grupo de malware que não grava nenhum arquivo no disco e usa apenas ferramentas aprovadas do Windows para instalação e execução, contornando programas de segurança e
Malware sem arquivo
processos de lista branca de aplicativos
Componentes de malware
Os autores e invasores de malware criam malware usando os componentes que podem ajudá-los a atingir seus objetivos.
Eles podem usar malware para roubar informações, excluir dados, alterar configurações do sistema, fornecer acesso ou
simplesmente multiplicar e ocupar espaço. O malware é capaz de se propagar e funcionar secretamente. Alguns
componentes básicos da maioria dos programas de malware são os seguintes:
ÿ Criptografar
Refere-se a um programa de software que pode ocultar a existência de um malware. Os invasores usam esse
software para iludir a detecção de antivírus. O criptografador criptografa o arquivo malicioso em um malware ou
o próprio malware inteiro para evitar a detecção.
ÿ Descarregador
É um tipo de Trojan que baixa outro malware (ou) código malicioso e arquivos da Internet para o PC.
Normalmente, os invasores instalam um downloader quando obtêm acesso a um sistema pela primeira vez.
ÿ Conta-gotas
Os invasores precisam instalar o programa de malware ou código no sistema para executá-lo, e esse programa
pode executar a tarefa de instalação de forma oculta. O conta-gotas pode conter código de malware não
identificável que os scanners antivírus não podem detectar e pode baixar arquivos adicionais
necessários para executar o malware em um sistema de destino.
ÿ Explorar
É uma parte do malware que contém um código ou sequência de comandos para tirar proveito de um bug ou
vulnerabilidade em um sistema ou dispositivo digital.
Módulo 12 Página 651 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os invasores usam esse código para violar a segurança do sistema por meio de vulnerabilidades de software
para acessar informações ou instalar malware. Com base no tipo de vulnerabilidade de que abusam, os exploits
têm diferentes categorias, incluindo exploits locais e exploits remotos.
ÿ Injector
É um programa que injeta as explorações ou códigos maliciosos disponíveis no malware em outros processos
vulneráveis em execução e altera a forma de execução para ocultar ou impedir sua remoção.
ÿ Obfuscador
É um programa que oculta o código malicioso de um malware por meio de várias técnicas, dificultando a
detecção ou remoção pelos mecanismos de segurança.
ÿ Empacotador
É um software que comprime o arquivo de malware para converter o código e os dados do malware em um
formato ilegível. Os empacotadores utilizam técnicas de compactação para compactar o malware.
ÿ Carga útil
É uma parte do malware que executa uma atividade desejada quando ativado. O Payload pode ter a tendência
de excluir ou modificar arquivos, afetando assim o desempenho do sistema, abrindo portas, alterando
configurações etc. como parte do comprometimento da segurança.
ÿ Código Malicioso
É um trecho de código que define a funcionalidade básica do malware e compreende comandos que resultam
em brechas de segurança. Pode assumir várias formas como:
o Miniaplicativos Java
o Controles ActiveX
o Plug-ins do navegador
o Conteúdo enviado
Como o nome sugere, esse tipo de malware não usa nenhum arquivo para infectar um sistema. Existem
diferentes variantes deste grupo de malware. Alguns malwares sem arquivo podem vir empacotados como
firmware do dispositivo e residir na memória, o que os ajuda a serem executados mesmo após a formatação
do disco, reinstalação do sistema operacional e reinicialização do sistema.
Os invasores também usam recursos integrados do Windows e aplicativos autorizados, como PowerShell,
prompt de comando e Windows Management Instrumentation, para instalar e executar esse malware em
qualquer sistema. Assim, esse ataque malicioso sem arquivo pode facilmente ignorar os processos de lista
branca de aplicativos, pois usa apenas aplicativos aprovados. A ausência de qualquer arquivo físico também
permite que os invasores escapem dos programas de segurança e continuem o ataque.
Módulo 12 Página 652 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
comprometido
ÿ Hospedagem de sites de malware embutidos que se espalham para visitantes desavisados
Sites legítimos
ÿ Roubar credenciais de conta de domínio por meio de phishing para criar vários subdomínios
Sombreamento de domínio que direcionam o tráfego para páginas de destino que hospedam um kit de exploração
Engenharia Social ÿ Enganar os usuários para que cliquem em páginas da Web de aparência inocente
roubo de cliques
Sites de Spear Phishing ÿ Imitar instituições legítimas na tentativa de roubar credenciais de login
ÿ Vírus que exploram falhas em um software de navegador para instalar malware apenas
Transferências automáticas
visitando uma página da web
ÿ Malware sendo executado automaticamente quando o usuário passa o ponteiro do mouse sobre
Mouse pairando
qualquer texto ou imagem com hiperlink em uma apresentação de slides maliciosa do PowerPoint
http:// www.sophos.com
Técnicas comuns que os invasores usam para distribuir malware pela Web
Algumas das técnicas comuns usadas para distribuir malware na web são as seguintes:
O Blackhat SEO (também conhecido como SEO antiético) usa táticas agressivas de SEO, como preenchimento de
palavras-chave, páginas de entrada, troca de páginas e adição de palavras-chave não relacionadas para obter uma
classificação mais alta do mecanismo de pesquisa para suas páginas de malware.
Os invasores injetam malware em sites de aparência legítima para induzir os usuários a clicar neles.
Quando clicado, o malware embutido no link é executado sem o conhecimento do usuário
ou consentimento.
A técnica ajuda o invasor a imitar instituições legítimas, como bancos, para roubar senhas, dados
de cartões de crédito e contas bancárias e outras informações confidenciais.
ÿ Malvertising
Frequentemente, os invasores usam sites comprometidos para infectar sistemas com malware.
Quando um usuário não suspeito visita o site comprometido, o malware se instala secretamente no
sistema do usuário e, posteriormente, realiza atividades maliciosas.
Módulo 12 Página 653 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Downloads Drive-by
Refere-se ao download não intencional de software pela Internet. Aqui, um invasor explora as falhas em um
software de navegador para instalar malware simplesmente visitando uma página da web.
ÿ Sombreamento de Domínio
Isso se refere a uma técnica na qual os invasores obtêm acesso às credenciais da conta do domínio por meio
de phishing e criam várias camadas de subdomínios para realizar atividades maliciosas, como redirecionar os
usuários para páginas de destino que oferecem explorações. Esses subdomínios, que direcionam o tráfego
para servidores maliciosos, estão associados a domínios confiáveis e não afetam de forma alguma o
funcionamento de seus domínios pais. Além disso, os subdomínios vinculados a um único domínio são
rapidamente rotacionados pelos invasores, o que dificulta bastante sua detecção.
ÿ Mouse pairando
Essa é uma técnica relativamente nova e exclusiva usada por invasores para infectar sistemas com malware.
Os invasores enviam e-mails de spam para os usuários-alvo, juntamente com um anexo de arquivo do Microsoft
PowerPoint com extensão .PPSX ou .PPS. Quando os usuários baixam e abrem o arquivo malicioso, eles, sem
saber, permitem que o malware seja executado em seus sistemas. O malware é executado automaticamente
com a simples ação de os usuários passarem o ponteiro do mouse sobre qualquer texto ou foto com hiperlink
dentro do arquivo malicioso.
Módulo 12 Página 654 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Módulo 12 Página 655 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Você pode usar um conjunto de ferramentas e técnicas para realizar análises estáticas e
análises dinâmicas (em tempo de execução) do código malicioso
Frequentemente, os invasores usam malware como vírus, worm, trojan, spyware e ransomware para cometer um
crime no sistema de destino pretendido. Um malware pode infligir perdas intelectuais e financeiras ao alvo, que pode
ser um indivíduo, um grupo de pessoas ou uma organização. A pior parte é que ele se espalha de um sistema para
outro com facilidade e discrição.
A análise forense de malware é o método de encontrar, analisar e investigar várias propriedades de malware para
encontrar os culpados e o motivo por trás do ataque. O processo também inclui tarefas como encontrar o código
malicioso e determinar sua entrada, método de propagação, impacto no sistema, portas que ele tenta usar, etc. Os
investigadores forenses usam um conjunto de ferramentas e técnicas para realizar análises estáticas e dinâmicas
(executar -time) análise do código malicioso.
Módulo 12 Página 656 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Alguns dos objetivos básicos por trás da análise de um programa malicioso incluem:
Algumas das perguntas de negócios mais comuns respondidas pela análise de malware são as seguintes:
ÿ Qual é a intenção do malware?
ÿ Como passou?
Módulo 12 Página 657 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 658 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Você pode usar ferramentas, como Balbuzard e Cryptam Malware Document Detection Suite, para extrair padrões de arquivos maliciosos para investigação
Você pode realizar análises estáticas e dinâmicas juntas para identificar a intenção e os recursos do malware
Quando os investigadores obtêm relatórios de atividades suspeitas das vítimas, eles devem realizar um exame completo
dos sistemas suspeitos, redes e outros dispositivos conectados para encontrar vestígios de malware. Os investigadores
devem examinar as seguintes áreas do sistema comprometido para encontrar vestígios de instalação de malware:
Os programas de malware exibem propriedades específicas, que podem ajudar os investigadores a identificá-los ou
distingui-los dos programas de software normais. Os investigadores podem usar ferramentas de software e hardware,
bem como ferramentas online e bancos de dados para identificar o malware.
Os investigadores podem usar ferramentas como Balbuzard, Cryptam Malware Document Detection Suite, etc., para
extrair padrões de interesse investigativo de arquivos maliciosos. Essas ferramentas oferecem varredura automatizada
do sistema em busca de vestígios de malware para facilitar a identificação. Os investigadores podem realizar análises
estáticas e dinâmicas em conjunto para identificar a intenção e os recursos do malware. A análise estática é o processo
de procurar vestígios e valores conhecidos que indiquem a presença de um malware. Esses vestígios incluem a presença
de códigos maliciosos, strings, executáveis, etc. no programa de software. A análise dinâmica usa uma abordagem
diferente, como a verificação do comportamento do programa de software durante sua execução em um ambiente
controlado.
Módulo 12 Página 659 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Proeminência do cenário
Subir um Controlado
Laboratório de Análise de Malware
ÿ Geralmente, a análise de malware é realizada infectando um sistema com um código malicioso e, em seguida, avaliando seu comportamento usando um conjunto de
ferramentas de monitoramento
ÿ Portanto, é necessário um sistema de laboratório dedicado que possa ser infectado enquanto mantém o ambiente de produção seguro ÿ A melhor maneira de
ÿ Usando um sistema físico isolado da rede de produção para evitar a propagação de malware ÿ Usando software de virtualização
como Virtualbox, VMware, Parallels, etc. (para configurar um único sistema físico com várias VMs instaladas nele, cada
executando um sistema operacional diferente)
Fácil de analisar a interação de malware com outros sistemas Capacidade de tirar instantâneos do sistema de laboratório, que podem
2 4 ser usados para reverter facilmente para um estado anterior do sistema
Um laboratório controlado de análise de malware é fundamental para avaliar o padrão comportamental de um malware,
pois os programas de malware são dinâmicos por natureza e interagirão com várias partes do sistema, bem como com
a rede, quando executados. Os investigadores devem criar um ambiente onde possam executar o malware sem
interromper ou corromper outros dispositivos.
Isso requer um sistema de laboratório para que o ambiente de produção seja seguro. A maneira mais eficaz de
configurar esse laboratório envolve o uso de software de virtualização, que permite aos investigadores hospedar vários
sistemas virtuais executando diferentes sistemas operacionais em um único computador. Alguns softwares comumente
usados para simular sistemas em tempo real em um ambiente virtual incluem:
ÿ VirtualBox
Um malware se conecta a redes e outros sistemas para roubar dados, obter instruções do invasor ou copiar a si mesmo.
Os pesquisadores podem usar várias máquinas virtuais interconectadas em um único computador físico para analisar o
comportamento do malware em sistemas conectados e aprender sobre seus métodos de propagação, bem como outras
características.
Os investigadores devem tomar precauções, como isolar o laboratório de análise de malware da rede de produção
usando um firewall para inibir a propagação de malware. Pode-se usar mídia removível, principalmente DVDs, para
instalar ferramentas e malware. Os DVDs suportam principalmente o formato somente leitura de transferência de dados
e impedem que softwares mal-intencionados gravem ou se copiem no DVD.
Módulo 12 Página 660 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os investigadores também podem usar uma chave USB protegida contra gravação. O uso de um laboratório de análise de
malware também permite que os investigadores realizem a captura de tela durante a análise. Além disso, permite que eles
tirem instantâneos do sistema de laboratório, que podem ser usados para reverter facilmente a um estado anterior do sistema.
Módulo 12 Página 661 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Instalar máquina virtual (VMware, Hyper-V, Simular serviços de internet usando Gerar valor de hash de cada sistema operacional
2 etc.) no sistema
5 ferramentas como INetSim
8 e ferramenta
A análise de malware fornece uma compreensão aprofundada de cada amostra individual e identifica tendências técnicas emergentes de
uma grande coleção de amostras de malware. As amostras de malware são em sua maioria compatíveis com executáveis binários do
Windows. Existem diferentes objetivos por trás da realização de uma análise de malware.
É muito perigoso analisar malware em dispositivos de produção conectados a redes de produção. Portanto, deve-se sempre analisar
amostras de malware em um ambiente de teste.
ÿ Instalação de sistemas operacionais convidados nas máquinas virtuais, como Windows e Linux (Ubuntu), que
servir como estações de trabalho forenses
ÿ Isolar o sistema da rede, garantindo que a placa NIC esteja no modo “somente host”
ÿ Copiar o malware recolhido das máquinas suspeitas para as estações de trabalho forenses
Módulo 12 Página 662 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Ferramenta de imagem: Para obter uma imagem limpa para forense e acusação
ÿ Analisadores de log: Os dispositivos sob ataque registram as atividades de malware e geram log
arquivos. Analisadores de log são usados para extrair arquivos de log
Módulo 12 Página 663 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Hipervisores
ÿ Caixa Virtual
O VirtualBox é um poderoso produto de virtualização x86 e AMD64/Intel64 para uso corporativo e doméstico.
Atualmente, o VirtualBox é executado em hosts Windows, Linux, Macintosh e Solaris e oferece suporte a um
grande número de sistemas operacionais convidados, incluindo, entre outros, Windows (NT 4.0, 2000, XP,
Server 2003, Vista, Windows 7, Windows 8, Windows 10 ), DOS/Windows 3.x, Linux (2.4, 2.6, 3.xe 4.x),
Solaris e OpenSolaris, OS/2 e OpenBSD.
ÿ Parallels Desktop 16
Ele ajuda a desenvolver e testar em vários sistemas operacionais em uma máquina virtual para Mac. Ele
também permite acessar o Microsoft Office para Windows e o Internet Explorer de um sistema MAC e importar
arquivos, aplicativos e muito mais de um PC para um Mac.
Sphere Hypervisor é um hypervisor bare-metal que virtualiza servidores. Ele vem com gerenciamento de VM
integrado, alocação de armazenamento escalável e recursos de proteção de driver.
Módulo 12 Página 664 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ NetSim
O NetSim é um simulador e emulador de rede de ponta a ponta, pilha completa e nível de pacote. Ele vem com
um ambiente de desenvolvimento de tecnologia para modelagem de protocolo, P&D de rede e comunicações
militares.
ÿ ns-3
O ns-3 é um simulador de rede de eventos discretos para sistemas de Internet, voltado principalmente para
pesquisa e uso educacional. ns-3 é um software livre, licenciado sob a licença GNU GPLv2, e está disponível
publicamente para pesquisa, desenvolvimento e uso.
ÿ Modelador Riverbed
O Riverbed Modeler fornece um ambiente de desenvolvimento para modelar e analisar redes de comunicação e
sistemas distribuídos. Ele ajuda a simular todos os tipos e tecnologias de rede (incluindo VoIP, TCP, OSPFv3,
MPLS, LTE, WLAN, protocolos IoT, IPv6 e mais) para analisar e comparar os impactos de diferentes designs de
tecnologia no comportamento de ponta a ponta.
ÿ QualNet
O software de simulação de rede QualNet® (QualNet) é uma ferramenta de planejamento, teste e treinamento
que “imita” o comportamento de redes de comunicação reais. Ele permite que os usuários simulem o
comportamento de redes de comunicação complexas e de grande escala.
ÿ Snagit
É um software de captura e gravação de tela que permite aos usuários capturar a tela rapidamente, adicionar
contexto adicional e compartilhá-los como imagem, vídeo ou GIF. Ele pode ser usado para marcar capturas de
tela, aparar vídeos ou para modelos que ajudam a criar instruções e guias visuais.
ÿ Camtasia
É um gravador de tela e editor de vídeo que ajuda a gravar qualquer coisa na tela do computador – sites,
software, videochamadas ou apresentações em PowerPoint. Possui um editor de arrastar e soltar que permite
adicionar, remover, recortar ou mover seções de vídeo ou áudio.
Módulo 12 Página 665 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Ezvid
Ezvid é um editor de vídeo e gravador de tela completo que vem com recursos de gravação de voz, facecam,
síntese de voz, desenho de tela e controle de velocidade. Permite desenhar diretamente na tela ou gravar
uma região da tela conforme os requisitos. Está disponível para Windows XP3, 7, 8 e 10.
Essa ferramenta usa quatro tipos de backups: completo, incremental, diferencial e espelhado. O backup pode
ser feito em qualquer mídia, como local, externo, FTP/FTPS, Amazon S3, rede, CD, DVD e Blu-ray. Esta
ferramenta está disponível para Windows XP, Vista, 7, 8 e 10.
O Macrium Reflect Server Edition vem com um conjunto completo de recursos que fornece restaurações
completas de imagens ou arquivos e pastas. Ele é projetado para backup de endpoint de servidores críticos
para os negócios em um ambiente comercial.
ÿ Imagem R-Drive
R-Drive Image é um utilitário que facilita a criação de arquivos de imagem de disco para backup ou duplicação
propósitos.
ÿ O&O DiskImage 16
O&O DiskImage 16 permite fazer backup de um computador inteiro ou de arquivos individuais, mesmo enquanto o
computador está sendo usado. Ele permite que os usuários executem uma restauração do sistema e dupliquem ou
clonem um PC ou disco rígido inteiro.
Módulo 12 Página 666 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Durante a análise de malware, os investigadores devem prestar mais atenção aos principais recursos de um malware
e não devem tentar observar todos os detalhes, pois o malware é dinâmico e pode alterar suas propriedades. Em
seções difíceis e complexas, os investigadores devem tentar obter uma visão geral.
Os investigadores devem experimentar ferramentas e abordagens diferentes, pois elas produzem resultados diferentes
em situações diferentes. Embora várias ferramentas e técnicas tenham funcionalidades semelhantes, uma abordagem
diferente ou um ângulo diferente pode fornecer um resultado diferente.
À medida que os investigadores adotam novas técnicas de análise de malware, os autores e invasores de malware
também tentam encontrar novas técnicas de evasão para impedir a análise. Os investigadores devem ser capazes de
identificar, entender e derrotar essas técnicas de aversão.
Módulo 12 Página 667 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tipos de malware
Análise
A análise de malware pode ser categorizada em dois tipos: análise estática ou análise dinâmica. Ambas as
abordagens demonstram a funcionalidade do malware suspeito que está sendo examinado; no entanto, as
ferramentas, o tempo e as habilidades necessárias para realizar a análise são diferentes.
1. Análise estática: É uma análise básica do código binário e compreensão do malware que explica suas
funções. A análise comportamental ou análise dinâmica lida com o estudo do comportamento do malware
durante a instalação, na execução e durante a execução.
Um escrutínio estático geral envolve a análise de um malware sem executar o código ou as instruções. O
processo inclui o uso de diferentes ferramentas e técnicas para determinar a parte maliciosa do programa
ou arquivo. Ele também reúne informações sobre a funcionalidade do malware e coleta indicadores técnicos
ou assinaturas simples que gera.
Esses ponteiros incluem nomes de arquivo, somas de verificação MD5 ou hashes, tipos de arquivo e tamanhos de arquivo.
Desmontadores como o IDA Pro podem ser usados para desmontar o arquivo binário.
2. Análise dinâmica: envolve a execução de um malware para examinar sua conduta e impacto nos recursos
do sistema e na rede. Ele identifica assinaturas técnicas que confirmam uma intenção maliciosa e revela
várias informações úteis, como nomes de domínio, locais de caminho de arquivo, chaves de registro
criadas, endereços IP, arquivos adicionais, arquivos de instalação, DLLs e arquivos vinculados localizados
no sistema ou na rede.
Esse tipo de análise requer máquinas virtuais e sandboxes para impedir a disseminação de malware.
Depuradores como GDB, OllyDbg, WinDbg, etc., são usados para depurar um malware no momento de
sua execução para estudar seu comportamento.
Ambas as técnicas são recomendadas para entender melhor a funcionalidade de um malware, mas diferem nas
ferramentas usadas, no tempo e nas habilidades necessárias para realizar a análise.
Módulo 12 Página 668 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Módulo 12 Página 669 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Carregue o código binário no sistema de teste (de preferência o sistema operacional no qual o malware não foi projetado para ser executado) para analisar suas propriedades estáticas
ÿ Algumas das propriedades estáticas do código binário a serem examinadas incluem strings embutidas no arquivo, detalhes do cabeçalho, hashes, recursos embutidos, assinaturas
do empacotador, metadados, etc.
Desmontagem de malware
A análise estática envolve o processo de acessar o código-fonte ou o código binário para encontrar as estruturas de
dados, chamadas de função, gráficos de chamada, etc. que podem representar malícia. Os investigadores podem
usar várias ferramentas para analisar o código binário para entender sua arquitetura de arquivo e impacto no sistema.
Compilar o código-fonte de um sistema em um executável binário resultará em perdas de dados, dificultando a análise
do código.
O procedimento para examinar um determinado binário sem sua execução é principalmente manual e requer a
extração de dados intrigantes, como estruturas de dados, funções utilizadas e gráficos de chamada do arquivo
malicioso. Algumas das propriedades estáticas do código binário a serem examinadas incluem strings incorporadas
ao arquivo, detalhes de cabeçalho, hashes, recursos incorporados, assinaturas de empacotador, metadados, etc.
Ele examina os elementos evidentes do código binário, que inclui processos em nível de documento. Este
processo inclui o cálculo de hashes criptográficos do código binário para reconhecer sua função e compará-
lo com outros códigos binários e programas de cenários anteriores.
Depois que o valor de hash de um arquivo suspeito é gerado, os investigadores podem compará-lo com
bancos de dados de malware on-line para encontrar o código malicioso reconhecido. Esse processo simplifica
uma investigação mais aprofundada, oferecendo uma visão melhor do código, sua funcionalidade e outros
detalhes importantes.
Módulo 12 Página 670 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os programas de software incluem algumas strings que são comandos para executar funções específicas.
Várias strings existentes podem representar a intenção maliciosa de um programa, como ler a memória interna
ou dados de cookies, etc. embutidos no código binário compilado. Os investigadores podem procurar essas
sequências incorporadas para tirar conclusões sobre o arquivo suspeito.
Os invasores usam empacotamento e ofuscação usando uma estrutura confusa ou um empacotador para
evitar a detecção. Os investigadores devem descobrir se o arquivo inclui elementos compactados e localizar a
ferramenta ou método usado para compactar.
O formato PE armazena as informações exigidas por um sistema Windows para gerenciar o código executável.
O PE armazena metadados sobre o programa, o que ajuda a encontrar os detalhes adicionais do arquivo,
como o número exclusivo em sistemas UNIX para localizar o tipo de arquivo e dividir as informações do formato
do arquivo.
Por exemplo, o binário do Windows está no formato PE e consiste em informações como tempo de criação e
modificação, funções de importação e exportação, tempo de compilação, DLLs, arquivos vinculados, juntamente
com strings, menus e símbolos.
Qualquer programa de software depende de várias bibliotecas embutidas de um sistema operacional para
executar ações específicas em um sistema. Os investigadores precisam encontrar as bibliotecas e dependências
de arquivo, pois elas contêm informações sobre os requisitos de tempo de execução de um aplicativo.
ÿ Desmontagem de Malware
A análise estática também inclui a desmontagem de um determinado executável em formato binário para
estudar suas funcionalidades e recursos. Esse processo ajudará os investigadores a encontrar a linguagem
usada para programar o malware, procurar APIs que revelem sua função etc. Esse processo usa ferramentas
de depuração como OllyDbg e IDAPro.
Módulo 12 Página 671 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 Recomenda-se calcular o valor de hash para um determinado código binário antes de realizar a investigação
2 Calculadoras de hash comuns incluem HashTab, HashMyFiles, HashCalc, md5sum, md5deep, etc.
3 Você pode usar o valor de hash calculado para verificar periodicamente se alguma alteração é feita no código binário
durante a análise
https:// www.nirsoft.net
impressão digital de arquivos é um método de prevenção contra perda de dados usado para identificar e rastrear
dados em uma rede. O processo envolve a criação de cadeias de texto mais curtas para os arquivos chamados
valores de hash. Valores de hash exclusivos ou impressões digitais são desenvolvidos usando vários algoritmos
criptográficos que utilizam dados como strings, metadados, tamanho e outras informações.
Essas impressões digitais ajudam os investigadores a reconhecer arquivos sensíveis ao rastreamento e a identificar
programas semelhantes em um banco de dados. A impressão digital geralmente não funciona para determinados
tipos de registro, incluindo arquivos criptografados ou protegidos por senha, imagens, áudio e vídeo, que têm conteúdo
diferente de uma impressão digital predefinida. O Message-Digest Algorithm 5 (MD5) é a função de hash mais
comumente usada para análise de malware. Os investigadores podem usar ferramentas como HashTab, HashMyFiles,
HashCalc, md5sum, md5deep, etc. para criar uma impressão digital do arquivo suspeito como parte da análise
estática.
ÿ HashMyFiles
Módulo 12 Página 672 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// www.virustotal.com
Os investigadores podem escanear o código binário usando ferramentas de análise de malware online. Se o código
em análise for um componente de um malware conhecido, ele já pode ter sido descoberto e documentado por muitos
fornecedores de antivírus. A documentação desse malware pode fornecer informações importantes, como recursos
de código e modus operandi dos ataques que ele realizou.
O VirusTotal é um desses sites que possui os recursos mencionados acima.
ÿ VirusTotal
O VirusTotal gera um relatório que fornece o número total de mecanismos que marcaram o arquivo como
malicioso, o nome do malware e informações adicionais sobre o malware, se disponível. Ele também
oferece detalhes importantes da análise de arquivos online, como a máquina de destino, registro de data e
hora de compilação, tipo de arquivo, processadores compatíveis, ponto de entrada, seções PE, bibliotecas
de links de dados (DLLs), recursos PE usados, valores de hash diferentes, IP endereços acessados ou
contidos no arquivo, código do programa e tipos de conexões estabelecidas.
Módulo 12 Página 673 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 674 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Observação: as strings podem ser enganosas ou fazer com que você ative uma espécie de pote de mel reverso https:// www.nirsoft.net
Strings comunicam informações do programa para seu usuário. Pesquisar nas strings pode fornecer informações sobre
a funcionalidade básica de qualquer programa.
Durante a análise de malware, os investigadores procuram a string maliciosa comum que pode determinar ações
prejudiciais que um programa pode executar. Por exemplo, se o programa acessar uma URL, ele terá essa string de
URL armazenada nela. Os investigadores devem estar atentos ao procurar strings e também procurar as strings
incorporadas e criptografadas no arquivo suspeito, como strings de atualização de status e strings de erro.
Como investigador forense, você pode usar ferramentas como Strings, ResourcesExtract, Bintext e Hex Workshop para
extrair todos os tipos de strings de arquivos executáveis. Certifique-se de que a ferramenta também pode digitalizar e
exibir strings ASCII e Unicode.
Algumas ferramentas têm a capacidade de extrair todas as strings e copiá-las para um arquivo de texto ou documento.
Use essas ferramentas e copie as strings para um arquivo de texto para facilitar a pesquisa de strings maliciosas.
ÿ Extrato de Recursos
ResourcesExtract é um pequeno utilitário que verifica arquivos dll/ocx/exe e extrai todos os recursos (bitmaps,
ícones, cursores, filmes AVI, arquivos HTML e mais...) armazenados neles na pasta que você especificar.
Você pode usar essa ferramenta no modo de interface do usuário ou, como alternativa, pode executá-la no
modo de linha de comando sem exibir nenhuma interface do usuário.
O ResourcesExtract não requer nenhum processo de instalação ou arquivos DLL adicionais. Na janela principal
da ferramenta, você pode escolher um único nome de arquivo para verificar ou vários nomes de arquivo
usando curinga. Na 'Pasta de destino', digite a pasta que você deseja extrair o
Módulo 12 Página 675 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
arquivos de recursos em. Depois de selecionar todas as outras opções, clique no botão 'Iniciar'
para extrair os recursos.
Módulo 12 Página 676 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os invasores geralmente usam compactadores para compactar, criptografar ou modificar um arquivo executável de malware.
Isso complica a tarefa dos engenheiros reversos em encontrar a lógica real do programa e outros metadados por meio de
análise estática. A ofuscação também oculta a execução dos programas. Quando o usuário executa um programa
compactado, ele também executa um pequeno programa wrapper para descompactar o arquivo compactado e, em seguida,
executar o arquivo descompactado.
Os investigadores podem usar ferramentas como o PEiD para descobrir se o arquivo contém programas compactados ou código ofuscado.
Esta ferramenta também exibe o tipo de empacotador usado no empacotamento do programa. Detalhes adicionais exibidos
por ele incluem ponto de entrada, deslocamento de arquivo, seção EP e subsistema usado para empacotamento. Encontrar
o compactador facilitará a tarefa de selecionar uma ferramenta para descompactar o código.
ÿ PEiD
O PEiD detecta os empacotadores, criptografadores e compiladores mais comuns para arquivos PE. Atualmente,
ele pode detectar mais de 600 assinaturas diferentes em arquivos PE. Existem 3 modos de digitalização diferentes
e únicos no PEiD:
o Normal Mode
Como qualquer outro identificador, este modo varre os arquivos PE em seu ponto de entrada para todas as
assinaturas documentadas.
o Modo Profundo
Este modo verifica a seção contendo o ponto de entrada do arquivo PE para todas as assinaturas
documentadas. Isso garante a detecção de cerca de 80% dos arquivos modificados e embaralhados.
Módulo 12 Página 677 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Modo Hardcore
Isso faz uma verificação completa de todo o arquivo PE para as assinaturas documentadas. Você deve usar
este modo como uma última opção, pois as assinaturas pequenas tendem a ocorrer muito em muitos
arquivos e, portanto, saídas errôneas podem resultar.
Características
o Plugin Interface com plugins como Generic OEP Finder e Krypto ANALyzer.
Módulo 12 Página 678 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Bibliotecas vinculadas
O formato Portable Executable (PE) armazena as informações necessárias para instalar e executar qualquer programa
executável em um sistema operacional Windows.
O formato PE contém um cabeçalho e seções, que armazenam metadados sobre o arquivo e o mapeamento de código
em um sistema operacional. Os investigadores podem usar as informações do cabeçalho para coletar detalhes adicionais
de um arquivo ou programa. PE de um arquivo contém as seguintes seções:
ÿ .rdata: Contém informações de importação e exportação, bem como outros dados somente leitura usados por
o programa
ÿ .data: Contém os dados globais do programa, que o sistema pode acessar de qualquer lugar
Os investigadores podem usar ferramentas de análise de PE, como Pestudio, PEview, PE Explorer, Dependency Walker,
etc., para coletar as seguintes informações:
ÿ Exportações: denotam funções no malware que outros programas ou bibliotecas chamam enquanto
correndo
Módulo 12 Página 679 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Seções: Mostra os nomes de todas as seções em um arquivo junto com seus tamanhos em disco e em
memória
Lavandaria
O objetivo do pestudio é detectar artefatos de arquivos executáveis para facilitar e acelerar a avaliação inicial de
malware. A ferramenta é usada por equipes de Resposta a Emergências de Computadores (CERT), Centros de
Operações de Segurança (SOC) e Laboratórios em todo o mundo.
Características
Módulo 12 Página 680 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Você pode usar ferramentas como Dependency Walker, que lista todos os
módulos dependentes dentro do arquivo executável
http:// www.dependencywalker.com
As dependências de arquivos contêm informações sobre os arquivos internos do sistema de que o programa precisa para
funcionar corretamente, o processo de registro e a localização na máquina. Os investigadores precisam verificar se
podem encontrar e examinar esses arquivos, pois eles podem fornecer informações sobre malware em um arquivo. As
dependências de arquivo incluem bibliotecas vinculadas, funções e chamadas de função.
Um investigador deve conhecer as várias DLLs usadas para carregar e executar um programa, pois elas podem permitir
que eles adivinhem o que um malware pode fazer após a execução. Por exemplo, os programas armazenam as funções
de importação e exportação no arquivo kernel32.dll.
Módulo 12 Página 681 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os investigadores devem procurar DLLs com nomes diferentes ou com erros ortográficos, ou funções das DLLs para
identificar DLLs maliciosas. Os investigadores podem usar ferramentas como o Dependency Walker para esse fim.
ÿ Andador de Dependência
Esta ferramenta lista todos os módulos dependentes dentro de um arquivo executável e constrói um diagrama
de árvore hierárquico. Também registra todas as funções exportadas e chamadas por cada módulo. A
ferramenta GUI também pode detectar muitos problemas comuns de aplicativos, como os seguintes:
o Incompatibilidades de importação/exportação
Ele pode processar qualquer módulo Windows de 32 ou 64 bits, incluindo os projetados para Windows CE.
Ele pode ser executado como um aplicativo gráfico ou como um aplicativo de console.
Dependency Walker lida com todos os tipos de dependências de módulo, incluindo implícito, explícito
(dinâmico/tempo de execução), encaminhado, carregado com atraso e injetado.
Módulo 12 Página 682 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Desmontar um malware é uma parte importante da análise estática de malware. Nesse processo, os investigadores usam
uma variedade de ferramentas, como o IDA Pro, para analisar as instruções do código de montagem para entender o que o
malware foi projetado para fazer e as vulnerabilidades que ele pode explorar. Isso permite que os investigadores formulem
soluções destinadas a impedir a propagação de malware.
Ferramentas de dublagem como OllyDbg podem ajudar os investigadores a revisar todas as strings incorporadas em um
arquivo PE e examinar as funções importadas.
ÿ OllyDbg
OllyDbg é um depurador de análise de nível de montador de 32 bits para Microsoft Windows. A ênfase na análise
de código binário o torna particularmente útil nos casos em que a fonte não está disponível.
Depois que a amostra de malware suspeito for carregada no OllyDbg, ela mostrará mnemônicos do montador,
opcodes e endereços virtuais. Os investigadores podem definir pontos de interrupção e executar o código para ver
como o malware funciona. Também é possível modificar o fluxo de execução de um arquivo de malware com
OllyDbg.
Características
o Análise de código - rastreia registros, reconhece procedimentos, loops, chamadas de API, switches,
tabelas, constantes e strings
Módulo 12 Página 683 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 684 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Módulo 12 Página 685 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Para usar o oleid, abra um novo terminal na estação de trabalho linux (Ubuntu)
e digite oleid '<caminho para o documento suspeito>'
ÿ Aqui, a análise revelou que o documento do Word chamado infect_doc contém macros VBA
Módulo 12 Página 686 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Analisando EM Suspeita
Documento de escritório (continuação)
Despejando Fluxos de Macro
Módulo 12 Página 687 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Como primeira etapa, você deve analisar o documento suspeito do Office com uma ferramenta baseada em
python chamada oleid para revisar todos os componentes que podem ser rotulados como suspeitos/maliciosos.
É uma ferramenta usada para examinar arquivos OLE.
Para usar oleid, execute o comando oleid '<caminho para o documento suspeito>' na estação de trabalho
Linux. A captura de tela abaixo mostra que o documento do Word suspeito chamado infectado_doc contém
macros VBA.
Módulo 12 Página 688 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A próxima etapa é analisar o documento suspeito do Office com oledump para identificar os fluxos que
contêm macros. Execute o comando python oledump.py '<caminho para o documento suspeito>'.
Isso solicitaria que a ferramenta mostrasse a estrutura do documento suspeito, incluindo todos os fluxos.
Se algum fluxo no documento contiver macros, o oledump colocará um M maiúsculo ao lado dele para
identificação. Neste documento do Word, conforme ilustrado na captura de tela abaixo, o fluxo 8 foi
identificado para armazenar códigos de macro maliciosos.
Figura 12.10: Usando a ferramenta oledump para procurar fluxos de macro suspeitos
Módulo 12 Página 689 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Agora, extraia o conteúdo de qualquer fluxo de macro específico com oledump executando o
seguinte comando: python oledump.py -s <número do fluxo> <caminho para o documento
suspeito>.
Aqui, o argumento -s define o número do stream que você deseja visualizar. A captura de tela
abaixo mostra o código de macro armazenado no fluxo 8 do documento do Word.
Figura 12.11: Usando a ferramenta oledump para despejar o conteúdo de fluxos de macro suspeitos
Para usar olevba, execute o seguinte comando: olevba '<caminho para o documento suspeito>'.
Isso os ajudará a revisar os códigos-fonte de todas as macros VBA, detectar se o documento
contém macros autoexecutáveis/strings ofuscadas e identificar quaisquer indicadores de
comprometimento (IOCs), como nomes de arquivos, endereços IP e URLs.
As capturas de tela abaixo mostram a análise do arquivo infectado_doc por olevba, que mostra
que ele contém macros autoexecutáveis que possuem shellcode e strings ofuscadas com Base64
e dridex.
Após a execução, essas macros podem baixar arquivos maliciosos denominados test.exe e
sfjozjero.exe da Internet e armazená-los no diretório temporário do sistema comprometido.
Módulo 12 Página 690 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 12.12: Usando a ferramenta olevba para identificar palavras-chave VBA suspeitas
Figura 12.13: Usando a ferramenta olevba para identificar palavras-chave VBA suspeitas
Módulo 12 Página 691 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Módulo 12 Página 692 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ A análise dinâmica de malware facilita para os investigadores observar em tempo real como
o malware interage com as propriedades do sistema e a rede
Os investigadores usam a análise dinâmica para coletar informações valiosas sobre atividades de malware, incluindo arquivos
e pastas criados, portas e URLs acessados, chamadas de funções e bibliotecas, aplicativos e ferramentas acessados,
informações transferidas, configurações modificadas e processos e serviços iniciados pelo malware. Um investigador deve
projetar e configurar o ambiente para realizar a análise dinâmica de forma que o malware não possa se propagar para a rede de
produção e o sistema de teste possa retornar a um período de tempo previamente definido caso algo dê errado durante o teste.
A análise dinâmica de malware pode ser realizada de duas maneiras:
Nessa abordagem, os investigadores monitoram as atividades maliciosas do espécime enquanto ele é executado no
sistema. Observar o malware em um ambiente de tempo de execução permite que os investigadores vejam como ele
interage com o sistema e a rede em tempo real, o que os ajuda a detectar sua funcionalidade e finalidade reais.
Módulo 12 Página 693 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Instale ferramentas que irão capturar as alterações realizadas pelo malware nos recursos do sistema,
4 como registro, sistema de arquivos, processos, etc., bem como nas propriedades da rede
Como a análise dinâmica de malware requer a execução de um malware, você precisa criar um ambiente de teste
adequado mais adequado para essa finalidade. O procedimento para preparar um testbed para análise dinâmica de
malware é fornecido abaixo:
ÿ Crie uma nova linha de base de estações de trabalho Windows e Linux, que deve incluir
detalhes do sistema de arquivos, registro, processos em execução, arquivos de log de eventos, etc.
ÿ Você pode comparar esse estado de linha de base com o estado do sistema após a execução do malware.
Isso ajudará a entender as alterações que o malware fez no sistema.
ÿ
Liste todos os drivers de dispositivo, serviços do Windows e programas de inicialização
ÿ Instalar as ferramentas que seriam usadas para capturar as alterações realizadas pelo malware nas propriedades
de rede e outros recursos do sistema, como sistema de arquivos, registro e
processos
ÿ Execute o malware que foi coletado das máquinas suspeitas nas estações de trabalho forenses e inicie o
monitoramento
Módulo 12 Página 694 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Para monitorar a integridade do host, os investigadores devem obter um instantâneo do estado de linha de base da
estação de trabalho forense antes da execução do malware.
Após o estabelecimento da linha de base, que já foi feita para a estação de trabalho Windows como parte da preparação
de pré-execução, os investigadores precisam fazer o seguinte:
ÿ Execute o malware na estação de trabalho do Windows por um determinado período e leve um segundo
instantâneo da estação de trabalho
ÿ Compare o segundo instantâneo com a linha de base para detectar as alterações feitas no
propriedades do sistema pelo malware, como sistemas de arquivos e chaves de registro
Os investigadores podem usar ferramentas como o WhatChanged Portable que permite a captura e comparação dos
estados do sistema antes e depois da execução do malware. Ele procura por arquivos modificados e entradas de
registro e os lista em formato de arquivo de texto. A ferramenta deve ser executada em segundo plano enquanto o
malware está sendo executado na estação de trabalho para registrar as alterações no sistema de arquivos e no registro.
ÿ WhatChanged Portátil
WhatChanged é um utilitário de sistema que procura arquivos modificados e entradas de registro. É útil para
verificar as instalações do programa. O WhatChanged Portable pode ser executado a partir de uma pasta na
nuvem, unidade externa ou pasta local sem instalar no Windows. WhatChanged usa o 'método de força bruta'
para verificar arquivos e o registro.
Módulo 12 Página 695 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 696 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ A análise do comportamento do malware em tempo de execução pode ser feita de duas maneiras: análise do comportamento do sistema e análise do comportamento da rede
ÿ Envolve o monitoramento das alterações nos recursos do ÿ Envolve o rastreamento das atividades de nível de rede do
sistema operacional durante a execução do malware. malware . A análise do comportamento da rede inclui:
A análise do comportamento do sistema inclui:
A observação do comportamento em tempo de execução de uma amostra de malware refere-se à execução do malware na estação de trabalho
forense e à observação de suas operações em tempo real para entender sua intenção e funcionalidade.
A execução do malware nas estações de trabalho forenses permite que os investigadores observem em tempo real como o malware se
descompacta, as operações maliciosas que executa no registro, nos arquivos do sistema e nos recursos do kernel e se tenta estabelecer qualquer
Isso permite que os investigadores detectem e entendam as características comportamentais do malware sob exame. Eles podem registrar e
coletar informações em tempo real sobre o comportamento dinâmico de diferentes tipos de amostras de malware, o que pode ser muito útil na
Envolve monitorar as alterações nos recursos do sistema operacional após a execução do malware. A análise do comportamento do
sistema inclui o monitoramento das alterações nos seguintes componentes do sistema após a execução do malware:
o Processos de monitoramento
Módulo 12 Página 697 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Envolve o rastreamento das atividades de nível de rede do malware. A análise do comportamento da rede inclui o
monitoramento das seguintes propriedades de rede:
o Monitoramento de Endereços IP
Módulo 12 Página 698 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Esta seção descreve como analisar vários componentes do sistema e rastrear alterações maliciosas durante a
análise dinâmica de malware.
Módulo 12 Página 699 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O registro do Windows armazena os detalhes de configuração do sistema operacional e do programa, como configurações e
opções. Se o malware for um programa, o registro armazena sua funcionalidade. O malware manipula o registro para garantir
que ele seja executado automaticamente sempre que um computador ou dispositivo for inicializado ou um usuário fizer login.
Os investigadores forenses podem executar o malware em uma estação de trabalho forense do Windows e observar como ele
interage com os arquivos de registro do sistema, particularmente as chaves e valores do registro que são criados, modificados
ou excluídos por ele.
Os investigadores podem examinar locais de registro específicos enquanto realizam uma análise de tempo de execução do
malware para saber mais sobre sua funcionalidade. O monitoramento das chaves de registro do AutoStart pode ser bastante
útil, pois esses são os locais mais comuns visados por malware.
Módulo 12 Página 700 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Executar/Executar uma vez
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Chaves
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
As chaves AutoStart no registro do Windows, que permitem que os programas sejam executados automaticamente na
reinicialização do sistema ou no login do usuário, são os locais mais comuns visados por malware para obter persistência em
qualquer máquina comprometida.
Algumas das chaves de registro do Windows AutoStart visadas por programas maliciosos são discutidas abaixo:
ÿ Teclas Run/RunOnce
O malware geralmente modifica as chaves de registro mencionadas abaixo para continuar em execução no sistema
sempre que o usuário fizer login:
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Um programa malicioso também pode modificar as seguintes chaves relacionadas ao sistema:
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
o HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policie
s\Explorer\Run
ÿ Teclas de Inicialização
Os autores de malware também tentam colocar seu arquivo executável malicioso no diretório de inicialização do
sistema comprometido e criar uma entrada de atalho no local apontado pela subchave Startup, que é definida para
executar o serviço automaticamente em cada logon/reinicialização.
Módulo 12 Página 701 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Pastas do shell do usuário, inicialização
Módulo 12 Página 702 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Depois que o malware é executado em uma estação de trabalho forense do Windows, os investigadores podem examinar os
locais de registro do AutoStart por meio de ferramentas como o Regripper para ver se ele segue algum mecanismo de persistência.
A captura de tela abaixo mostra o comando usado para analisar o conteúdo da chave de registro AutoStart do arquivo
NTUSER.dat de um usuário específico (neste cenário, Robert) para um arquivo de texto chamado Output.txt via Regripper após
a execução do malware. O NTUSER.dat é um arquivo de log de registro que armazena configurações e preferências específicas
para qualquer conta de usuário.
Figura 12.16: Comando usado para analisar o arquivo NTUSER.dat de um usuário específico usando o Regripper
A análise dos valores da chave de registro AutoStart mostra uma entrada adicionada à chave Run na seção
HKEY_CURRENT_USER pelo malware em tempo de execução. O malware anexou um arquivo de script VB persistente na
chave Run para ser executado automaticamente no login do usuário:
Módulo 12 Página 703 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ RegRipper
RegRipper é uma ferramenta de código aberto, escrita em Perl, para extrair/analisar informações (chaves,
valores, dados) do Registro e apresentá-las para análise.
O RegRipper consiste em duas ferramentas básicas, ambas com recursos semelhantes. A GUI do RegRipper
permite que o analista selecione um hive para analisar, um arquivo de saída para os resultados e um perfil
(lista de plug-ins) para executar no hive. Ele também inclui uma ferramenta de linha de comando (CLI) chamada
rip. Rip pode ser apontado para uma seção e pode executar um perfil (uma lista de plug-ins) ou um plug-in
individual nessa seção, com os resultados sendo enviados para STDOUT.
Essa ferramenta é executada por meio de plug-ins que são scripts Perl individuais, cada um executando uma
função específica. Os plug-ins podem localizar chaves específicas e listar todas as subchaves, bem como
valores e dados, ou podem localizar valores específicos.
Módulo 12 Página 704 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Alguns malwares também usam PEs Process Monitor mostra o sistema de arquivos em tempo real,
Monitor de processo
Registro e atividade de processo/thread
(Executável Portátil) para se
injetar em vários processos (como
explorer.exe ou navegadores da
web)
https:// docs.microsoft.com
Alguns malwares também usam PEs (Portable Executable) para se injetar em vários processos (como explorer.exe ou
navegadores da web). Os investigadores devem realizar o monitoramento do processo, pois isso os ajudará a entender
os processos iniciados e controlados por um malware após a execução.
Eles também devem observar os processos filho, identificadores associados, bibliotecas carregadas e funções para
definir a natureza de um arquivo ou programa, coletar informações sobre os processos em execução antes da execução
do malware e compará-los com os processos em execução após a execução. Este método reduzirá o tempo necessário
para analisar os processos e facilitará a identificação de todos os processos iniciados pelo malware.
ÿ Monitor de Processos
Process Monitor é uma ferramenta de monitoramento para Windows que mostra sistema de arquivos em
tempo real, registro e atividade de processo/thread. Ele combina os recursos de dois utilitários Sysinternals,
Filemon e Regmon, e adiciona aprimoramentos, incluindo filtragem avançada e não destrutiva, propriedades
abrangentes de eventos, como IDs de sessão e nomes de usuário, informações confiáveis sobre o processo,
pilhas completas de threads com suporte a símbolos integrados para cada operação, registrar em um arquivo
e muito mais. Seus recursos exclusivos e poderosos farão do Process Monitor um utilitário essencial no kit de
ferramentas de solução de problemas e caça a malware do sistema.
o Filtros não destrutivos permitem que você defina filtros sem perder dados
Módulo 12 Página 705 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Captura de pilhas de threads para cada operação torna possível em muitos casos identificar
a causa raiz de uma operação
o Captura confiável de detalhes do processo, incluindo caminho da imagem, linha de comando e usuário e
IDs de sessão
o Os filtros podem ser definidos para qualquer campo de dados, incluindo campos não configurados como colunas
o Ferramenta de árvore de processo mostra a relação entre todos os processos referenciados em um rastreamento
o O formato de log nativo preserva todos os dados para carregamento em uma instância diferente do Process Monitor
o Dica de ferramenta do processo para facilitar a visualização das informações da imagem do processo
o A dica de ferramenta de detalhes permite acesso conveniente a dados formatados que não cabem no
coluna
o Pesquisa cancelável
Módulo 12 Página 706 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Esta ferramenta pode ajudar a rastrear serviços maliciosos iniciados pelo Serviço do Windows
malware. Ele pode criar serviços sem reiniciar o Windows, excluir serviços Gerente
existentes e alterar a configuração do serviço. (SrvMan)
Os invasores projetam malware e outros códigos maliciosos de forma a serem instalados e executados em um dispositivo de
computador na forma de um serviço. Um malware pode gerar serviços do Windows que permitem que os invasores controlem
remotamente a máquina da vítima e passem instruções maliciosas ou apliquem técnicas de rootkit para manipular as chaves de
registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services e evitar a detecção.
Como muitos serviços do Windows são executados em segundo plano para dar suporte a processos e aplicativos, os serviços
mal-intencionados ficam invisíveis mesmo quando executam atividades nocivas no sistema e podem funcionar mesmo sem
qualquer intervenção ou entrada.
Esses serviços maliciosos são executados como uma conta SYSTEM ou outras contas privilegiadas, que fornecem mais acesso
do que as contas de usuário. Isso os torna mais perigosos do que um malware comum e código executável. Os invasores também
tentam enganar os usuários e os investigadores, nomeando os serviços maliciosos com nomes semelhantes aos dos serviços
genuínos do Windows para evitar a detecção.
Os investigadores precisam rastrear os serviços maliciosos iniciados por um malware durante a análise de tempo de execução
usando ferramentas que podem detectar alterações nos serviços. Os investigadores podem usar ferramentas como o Windows
Service Manager para essa finalidade.
Windows Service Manager é uma pequena ferramenta que simplifica todas as tarefas comuns relacionadas aos serviços
do Windows. Ele pode criar serviços (Win32 e Legacy Driver) sem reiniciar o Windows, excluir serviços existentes e
alterar a configuração do serviço.
Módulo 12 Página 707 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Possui modos GUI e linha de comando. Ele também pode ser usado para executar aplicativos Win32 arbitrários
como serviços (quando esse serviço é interrompido, a janela principal do aplicativo é fechada automaticamente).
Características:
o Permite instalar e executar serviços de driver herdados em uma única chamada de linha de comando
Você pode usar a interface de linha de comando do SrvMan para executar as seguintes tarefas:
o Criação de serviços
Use a seguinte linha de comando para criar serviços usando SrvMan (os parâmetros entre colchetes são
opcionais):
o Excluindo serviços
o Iniciar/parar/reiniciar serviços
Normalmente, SrvMan aguarda o início do serviço. No entanto, se você especificar o parâmetro /nowait,
SrvMan retornará o controle imediatamente após a emissão da solicitação de início/parada. A seguir estão
alguns comandos para iniciar/parar/reiniciar serviços usando SrvMan:
Módulo 12 Página 708 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 709 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O malware pode alterar as configurações do sistema e se adicionar ao menu de inicialização para realizar atividades maliciosas
sempre que o sistema for iniciado
carregados automaticamente
ÿ C:\Windows\System32\drivers
ÿ C:\ProgramData\Microsoft\Windows\Menu Iniciar\Programas\Inicialização
ÿ C:\Users\<UserName>\AppData\Roaming\Microsoft\Windows\Start
Menu\Programas\Inicialização
Vários cavalos de Tróia e malware podem alterar as configurações do sistema e se adicionar ao menu de inicialização
para executar atividades maliciosas continuamente sempre que o sistema é iniciado. Portanto, os investigadores devem
monitorar minuciosamente os programas de inicialização enquanto detectam cavalos de Tróia. Abaixo estão as maneiras
de detectar cavalos de Tróia ocultos em um sistema suspeito:
Verifique boot.ini
Verifique as entradas boot.ini ou bcd (bootmgr) usando o prompt de comando. Abra o prompt de comando como
administrador, digite bcdedit e pressione o botão enter para visualizar todas as entradas do gerenciador de inicialização.
Módulo 12 Página 710 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Para encontrar o processo de inicialização, os investigadores podem verificar a lista de serviços do Windows para ver os
serviços que iniciam automaticamente quando o sistema inicializa. Para verificar os serviços do Windows, os investigadores
podem navegar até Executar ÿ Digite services.msc ÿ Classificar por tipo de inicialização
Figura 12.21: Janela Serviços mostrando informações sobre serviços em um sistema local
As pastas de inicialização armazenam os aplicativos ou atalhos de aplicativos que iniciam automaticamente quando o
sistema inicializa. Para verificar os aplicativos de inicialização, pesquise os seguintes locais no Windows 10:
ÿ C:\ProgramData\Microsoft\Windows\Menu Iniciar\Programas\Inicialização
ÿ C:\Users\(UserName)\AppData\Roaming\Microsoft\Windows\StartMenu\P rograms\Startup
2. Digite shell:startup na caixa e clique no botão OK para navegar até a pasta de inicialização
Módulo 12 Página 711 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Autoruns para Windows exibe programas configurados para serem executados automaticamente durante o login
do usuário ou inicialização do sistema e pode ajudar a detectar programas e processos de inicialização suspeitos
https:// docs.microsoft.com
Este utilitário mostra quais programas estão configurados para serem executados durante a inicialização ou login do
sistema e quando você inicia vários aplicativos integrados do Windows, como Internet Explorer, Explorer e reprodutores
de mídia. Esses programas e drivers incluem aqueles na pasta de inicialização e em Run, RunOnce e outras chaves
de registro. Autoruns relata extensões de shell do Explorer, barras de ferramentas, objetos auxiliares do navegador,
notificações de Winlogon, serviços AutoStart e muito mais.
Execute o Autoruns e ele mostra os aplicativos AutoStart atualmente configurados, bem como toda a lista de locais de
registro e sistema de arquivos disponíveis para configuração do AutoStart. Os locais de início automático exibidos pelo
Autoruns incluem entradas de logon, complementos do Explorer, complementos do Internet Explorer, incluindo objetos
auxiliares do navegador (BHOs), Appinit DLLs, seqüestros de imagem, imagens de execução de inicialização,
notificação de Winlogon DLLs, Windows Services e Winsock Layered Service Providers, codecs de mídia e muito
mais . Alterne as guias para ver os inícios automáticos de diferentes categorias.
Uso do Autorunsc
Sintaxe:
autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[- z ] | [do utilizador]]]
Módulo 12 Página 712 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Parâmetros:
B Executar inicialização
D DLLs do Appinit
E
Extras do Explorer
H Sequestros de imagem
EU
k DLLs conhecidas
eu
Inicializações de logon (este é o padrão)
M entradas WMI
O codecs
T Atividades agendadas
EM Entradas de logon
Se a verificação do VirusTotal estiver ativada, mostra os arquivos que são desconhecidos pelo VirusTotal ou
-em
têm detecção diferente de zero, caso contrário, mostra apenas os arquivos não assinados
Consulte o VirusTotal em busca de malware com base no hash do arquivo. Adicione 'r' para abrir relatórios
de arquivos com detecção diferente de zero. Os arquivos relatados como não verificados anteriormente
-v[rs]
serão carregados no VirusTotal se a opção 's' for especificada. Nota Os resultados da varredura podem não
estar disponíveis por cinco ou mais minutos.
Antes de usar os recursos do VirusTotal, você deve aceitar os termos de serviço do VirusTotal. Se você não
-vt aceitou os termos e omitiu esta opção, você será questionado interativamente.
-Com
Especifica o sistema Windows offline a ser verificado.
Especifica o nome da conta de usuário para a qual os itens de execução automática serão exibidos.
Do utilizador
“*”
Especificamos para verificar todos os perfis de usuário
Módulo 12 Página 713 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 12.23: Autoruns para Windows mostrando modificações na chave de registro de inicialização automática e na pasta de inicialização por malware
Módulo 12 Página 714 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Execute o malware no
Estação de trabalho forense do Windows e
monitorar os eventos desencadeados por
sua execução e operações
A análise dos logs de eventos, que armazenam um registro detalhado de todas as atividades realizadas no sistema operacional
Windows com base nas políticas de auditoria executadas, pode fornecer aos investigadores forenses informações valiosas
enquanto procuram sinais de um ataque de malware em um sistema específico.
Os logs de eventos podem ser encontrados na pasta C:\Windows\System32\winevt\Logs em todas as edições do sistema
operacional Windows e são armazenados com a extensão.etvx.
Depois de executar o malware na estação de trabalho forense do Windows, os investigadores podem monitorar os eventos
acionados por suas atividades por meio do utilitário integrado Visualizador de eventos do Windows. Eles podem examinar esses
eventos em tempo real com base em detalhes específicos, como ID do evento, nome do evento, descrição do evento etc., para
extrair dados sobre como o malware está interagindo com os recursos do sistema e usá-los para análise posterior.
Módulo 12 Página 715 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 716 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
http:// www.rohitab.com
ÿ evan.html
ÿ avril.html
ÿ nemo.html
Interfaces de programação de aplicativos (APIs) são partes do sistema operacional Windows que permitem que aplicativos
externos acessem informações do sistema operacional, como sistemas de arquivos, threads, erros, registro, kernel, botões,
ponteiro do mouse, serviços de rede, web e internet. Os programas de malware também usam essas APIs para acessar as
informações do sistema operacional.
Módulo 12 Página 717 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os investigadores precisam reunir as APIs relacionadas a programas de malware e analisá-las para revelar sua
interação com o sistema operacional, bem como as atividades que estão realizando no sistema. Eles podem
usar ferramentas como API Monitor para realizar a análise.
O exame das chamadas de API, conforme mostrado nas capturas de tela abaixo, feitas por uma amostra de malware
durante a execução por meio da ferramenta API Monitor revela o seguinte:
ou evan.html
o avril.html
o nemo.html
Módulo 12 Página 718 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Monitor de API
O API Monitor é um software gratuito que permite monitorar e controlar chamadas de API feitas por aplicativos e
serviços. Essa ferramenta ajuda a visualizar como os aplicativos e serviços funcionam ou a rastrear problemas nos
aplicativos.
Características
ÿ Suporte de 64 bits
O API Monitor oferece suporte ao monitoramento de aplicativos e serviços de 64 bits. A versão de 64 bits só
pode ser usada para monitorar aplicativos de 64 bits e a versão de 32 bits só pode ser usada para monitorar
aplicativos de 32 bits. Para monitorar um aplicativo de 32 bits no Windows de 64 bits, você deve usar a versão
de 32 bits. Observe que o instalador de 64 bits do API Monitor inclui ambos
Versões de 64 bits e 32 bits.
A janela Resumo exibe informações sobre a chamada de API. Isso inclui o ID do encadeamento e o nome da
DLL que fez a chamada de API, a chamada de API realçada pela sintaxe com todos os parâmetros e o valor
de retorno. Se a chamada da API falhar, as informações sobre o erro também serão exibidas.
O API Monitor vem com definições de API para mais de 13.000 APIs de quase 200 DLLs e mais de 17.000
métodos de mais de 1.300 interfaces COM (Shell, navegador da web, DirectShow, DirectSound, DirectX,
Direct2D, DirectWrite, Windows Imaging Component, Debugger Engine, MAPI, etc.) . As APIs são organizadas
em categorias e subcategorias (conforme especificado no MSDN). O filtro API Capture permite selecionar APIs
para monitoramento.
O API Monitor pode decodificar e exibir 2.000 estruturas e uniões diferentes, mais de 1.000 tipos de dados
enumerados e mais de 800 sinalizadores. Buffers e arrays dentro de estruturas também podem ser visualizados.
ÿ Visualização do Buffer
API Monitor pode exibir buffers de entrada e saída. A quantidade de dados exibidos é calculada automaticamente
a partir de outros argumentos para a API ou do valor de retorno da API.
A quantidade máxima de dados a serem capturados é configurável.
ÿ Árvore de Chamadas
O API Monitor exibe uma árvore de chamadas que mostra a hierarquia das chamadas de API. A captura de
tela a seguir exibe uma árvore de chamadas para uma chamada CoGetClassObject feita por um aplicativo VB que
Módulo 12 Página 719 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
carrega o controle Microsoft Winsock ActiveX. O controle ActiveX MSWINSCK.OCX faz chamadas para
WSAStartup e CreateWindowExA de DllMain.
Ambos os parâmetros e valores de retorno podem ser exibidos em um formato amigável. A primeira captura
de tela abaixo mostra a exibição normal com os valores de parâmetro exibidos como estão. Para dwShareMode,
o API Monitor exibe FILE_SHARE_DELETE | FILE_SHARE_READ em vez de 5 quando a opção Decode
Parameter Values está habilitada. Essa opção está disponível no painel de parâmetros e no painel de resumo.
Módulo 12 Página 720 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O malware é instalado junto com os drivers de dispositivo baixados de fontes não confiáveis e os usa como um escudo
para evitar a detecção. Você deve procurar drivers de dispositivo suspeitos e verificar se eles são genuínos e baixados
do site original do editor. Para visualizar os drivers de dispositivo em uma máquina Windows, navegue até Executar ÿ
Digite msinfo32 ÿ Ambiente de software ÿ Drivers do sistema.
Módulo 12 Página 721 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O utilitário DriverView exibe uma lista de todos os drivers de dispositivo atualmente carregados no sistema. Para
cada driver na lista, são exibidas informações adicionais, como o endereço de carregamento do driver, descrição,
versão, nome do produto e a empresa que criou o driver.
https:// www.nirsoft.net
O utilitário DriverView exibe uma lista de todos os drivers de dispositivo atualmente carregados no sistema. Para cada
driver na lista, são exibidas informações adicionais, como o endereço de carregamento do driver, descrição, versão,
nome do produto e a empresa que criou o driver.
Módulo 12 Página 722 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Você pode usar arquivos e ferramentas de monitoramento de integridade de pastas para examinar o sistema de arquivos e a atividade de pastas
em tempo real em um sistema infectado
ÿ Verifica a integridade de arquivos críticos ÿ É um utilitário de linha de comando que ÿ É um verificador de integridade do sistema
assinados digitalmente pela Microsoft calcula hashes criptográficos MD5 ou de classe empresarial que verifica e
SHA1 para arquivos relata alterações em arquivos críticos
do sistema
ÿ Para iniciar o SIGVERIF, vá para Iniciar ÿ Você pode baixar o FCIV em
ÿ Executar, digite sigverif e pressione https:// docs.microsoft.com
Digitar
O malware também pode modificar os arquivos e pastas do sistema para salvar algumas informações neles.
Os investigadores devem ser capazes de encontrar os arquivos e pastas que um malware cria e analisá-los para coletar
qualquer informação importante armazenada neles. Esses arquivos e pastas também podem conter código de programa oculto
ou sequências maliciosas que o malware agendará para execução em um horário específico.
ÿ Visibilidade
ÿ FCIV
O File Checksum Integrity Verifier (FCIV) é um utilitário de prompt de comando que gera e verifica valores de hash
de arquivos usando algoritmos MD5 ou SHA-1.
o Pode enviar valores de hash para o console ou armazenar o valor de hash e o nome do arquivo em um
arquivo XML
o Pode gerar valores de hash recursivamente para todos os arquivos em um diretório e em todos os subdiretórios
(por exemplo, fciv.exe c:\ -r)
Módulo 12 Página 723 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Fornece uma lista de exceções para especificar arquivos ou diretórios para hash
o Pode armazenar valores de hash para um arquivo com ou sem o caminho completo do arquivo
ÿ Tripwire Enterprise
O Tripwire Enterprise é uma ferramenta para avaliar configurações de TI e detectar, analisar e relatar qualquer
atividade de mudança na infraestrutura de TI. O Tripwire Enterprise pode monitorar servidores, desktops, servidores
de diretório, hipervisores, bancos de dados, aplicativos de middleware e dispositivos de rede.
O Tripwire Enterprise captura uma linha de base de sistemas de arquivos de servidor, sistemas de arquivos de
desktop, servidores de diretório, bancos de dados, sistemas virtuais, aplicativos de middleware e configurações de
dispositivos de rede em bom estado. Ele realiza verificações de integridade contínuas e, em seguida, compara os
estados atuais com essas linhas de base para detectar alterações. Ao fazer isso, ele coleta informações essenciais
para a reconciliação das alterações detectadas.
O Tripware Enterprise pode verificar as alterações detectadas com políticas de conformidade de TI definidas (filtragem
baseada em políticas); alterações documentadas em tickets em um sistema CCM ou uma lista de alterações
aprovadas; listas geradas automaticamente por ferramentas de gerenciamento de patches e provisionamento de
software; e contra recursos adicionais do ChangeIQ™. Isso permite que ele reconheça as alterações desejadas e
exponha as alterações indesejadas automaticamente.
Módulo 12 Página 724 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// www.poweradmin.com
O PA File Sight é um software de monitoramento de arquivos e auditoria de acesso que rastreia quem está excluindo arquivos,
movendo arquivos ou lendo arquivos; detecta usuários copiando arquivos; e, opcionalmente, bloqueia o acesso.
Com seus recursos de monitoramento de arquivos, ele pode determinar coisas como as seguintes:
ÿ observe as modificações do arquivo de log, o que é útil para o monitoramento da integridade do arquivo PCI DSS (FIM)
ÿ Monitoramento de Arquivos
o Monitoramento em tempo real que não requer ativação de eventos de auditoria do sistema
Módulo 12 Página 725 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Prova que os arquivos de log são apenas anexados e não alterados no meio
ÿ Detalhes do Alerta
ÿ Relatórios
o Relatório sobre usuários, arquivos ou atividades específicas (por exemplo, exclusão de arquivo)
Muitos mandatos de conformidade exigem acesso a arquivos de auditoria e garantia de integridade de arquivos. O PA
File Sight pode ajudar a atender a esses requisitos, incluindo os listados abaixo:
ÿ HIPAA 164.312(b)
Módulo 12 Página 726 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 727 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 728 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ WinMD5
WinMD5Free é um utilitário para calcular valores de hash MD5 para arquivos. Funciona com Microsoft
Windows 98, 2000, XP, 2003, Vista, 7 e versões posteriores.
Como um padrão da Internet (RFC 1321), o MD5 tem sido usado em uma ampla variedade de aplicativos de
segurança e também é comumente usado para verificar a integridade do arquivo e verificar o download.
Para usar esta ferramenta, é necessário baixar o arquivo EXE, descompactá-lo e colocá-lo em qualquer lugar
do disco rígido.
o Suporta quase todas as plataformas Windows, incluindo Microsoft Windows 95, 98, 2000,
Eu, XP, 2003, Vista e Windows 7
o Não requer tempo de execução .NET pré-instalado na máquina para ser executado
Módulo 12 Página 729 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Módulo 12 Página 730 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O malware depende da rede para várias atividades, como propagação, download de conteúdo malicioso, transmissão
de arquivos e informações confidenciais, oferta de controle remoto para invasores, etc. Alguns grupos de malware,
como trojans, worms e bots, também manipulam a configuração da rede do computador de destino para chamar um
URL, endereço IP ou nome de domínio específico e aguardar mais instruções do invasor. Portanto, os investigadores
devem adotar técnicas que possam detectar os artefatos de malware nas redes.
Para monitorar a atividade da rede, os investigadores podem executar o malware na estação de trabalho forense e
monitorar os seguintes aspectos:
ÿ
Endereços IP indo e conectando-se à estação de trabalho
Analisar os dados coletados dessas áreas pode ajudar os investigadores a entender os artefatos de rede, assinaturas,
funções e outros elementos do malware.
A análise de rede é o processo de capturar o tráfego de rede e investigá-lo cuidadosamente para determinar a atividade
do malware. Ajuda a encontrar o tipo de pacotes de tráfego/rede ou dados transmitidos pela rede.
Módulo 12 Página 731 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Monitorando Endereços IP
https:// scanner.pcrisk.com
Monitorando Endereços IP
Para determinar se um arquivo suspeito de ser um malware está tentando chamar algum endereço IP remoto/mal-
intencionado, os investigadores precisam fazer o seguinte:
1. Eles precisam executar a ferramenta Wireshark na estação de trabalho forense do Windows que irá
exibir todo o tráfego sendo transmitido pela rede.
2. Com o Wireshark em execução em segundo plano, eles devem executar o arquivo suspeito
para ser um malware na estação de trabalho.
3. Em seguida, eles devem monitorar o tráfego de rede ao vivo para ver se há algum suspeito
Atividades.
4. Se eles encontrarem algum endereço IP remoto/desconhecido ao qual a estação de trabalho está tentando se
conectar, ele deve ser marcado como incomum.
5. Por fim, eles devem examinar o endereço IP obtido por meio de ferramentas de verificação de malware on-line
para determinar se é malicioso.
As capturas de tela apresentadas abaixo mostram a detecção de um endereço IP incomum 192.185.72.225 na estação
de trabalho forense via Wireshark após a execução de um arquivo suspeito, e o resultado da análise fornecido pelo PC
Risk, uma ferramenta de verificação de malware online, revela que ele é suspeito.
Módulo 12 Página 732 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 733 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Comportamento da rede
Análise: porta de monitoramento
ÿ Programas maliciosos abrem portas do sistema ÿ Revisão da atividade portuária em tempo real ÿ Use a ferramenta de linha de comando como
para estabelecer uma conexão com sistemas, tempo na estação de trabalho forense Netstat para monitorar todos os ativos
redes ou servidores remotos e realizar várias após a execução do malware ajuda a entender portas e seus status na estação de
tarefas maliciosas seus recursos de rede trabalho
Programas maliciosos abrem portas do sistema para estabelecer uma conexão com sistemas remotos, redes ou
servidores para realizar várias tarefas maliciosas. Essas portas abertas também podem fornecer um backdoor
para outros malwares e programas nocivos. Os investigadores podem descobrir se o malware está tentando
acessar uma porta específica durante a análise de tempo de execução usando um utilitário de linha de comando
chamado netstat. A revisão da atividade de porta aberta em tempo real na estação de trabalho forense pode
ajudar a entender os recursos de rede do malware. Por exemplo, se o malware chamar qualquer sistema remoto
pela porta 25, que é a porta padrão do Simple Mail Transfer Protocol (SMTP), ele pode estar tentando estabelecer
uma conexão com um servidor de e-mail. Os investigadores também podem usar ferramentas de monitoramento
de portas que oferecem detalhes, como protocolo usado, endereço local, endereço remoto e estado da conexão.
Recursos adicionais podem incluir nome do processo, ID do processo, protocolo de conexão remota, etc.
ÿ Netstat
É um utilitário de linha de comando que exibe conexões TCP ativas, portas nas quais o computador está
escutando, estatísticas Ethernet, tabela de roteamento IP, estatísticas IPv4 (para protocolos IP, ICMP,
TCP e UDP) e estatísticas IPv6 (para IPv6, protocolos ICMPv6, TCP sobre IPv6 e UDP sobre IPv6).
Quando usado sem parâmetros, netstat exibe conexões TCP ativas.
Sintaxe
netstat [-a] [-e] [-n] [-o] [-p Protocolo] [-r] [-s] [Intervalo]
Módulo 12 Página 734 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Parâmetros
o -a: Exibe todas as conexões TCP ativas e as portas TCP e UDP nas quais o
computador está ouvindo.
o -n: Exibe conexões TCP ativas. No entanto, endereços e números de porta são expressos numericamente
e nenhuma tentativa é feita para determinar nomes.
o -o: Exibe as conexões TCP ativas e inclui o ID do processo (PID) para cada conexão. Você pode
encontrar o aplicativo com base no PID na guia Processos no Gerenciador de Tarefas do Windows.
Esse parâmetro pode ser combinado com -a, -n e -p.
o -p Protocol: Mostra conexões para o protocolo especificado por Protocol. Nesse caso, o protocolo pode
ser tcp, udp, tcpv6 ou udpv6. Se este parâmetro for usado com -s para exibir estatísticas por protocolo,
o protocolo pode ser tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6 ou ipv6.
o -s: Exibe estatísticas por protocolo. Por padrão, as estatísticas são mostradas para os protocolos TCP,
UDP, ICMP e IP. Se o protocolo IPv6 para Windows XP estiver instalado, as estatísticas serão
mostradas para os protocolos TCP sobre IPv6, UDP sobre IPv6, ICMPv6 e IPv6. O parâmetro -p pode
ser usado para especificar um conjunto de protocolos.
o -r: Exibe o conteúdo da tabela de roteamento IP. Isso é equivalente à impressão de rota
comando.
Módulo 12 Página 735 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
TCPViewName Correntes
TCPView mostra uma lista detalhada de todos os TCP e CurrPorts é um software de monitoramento de rede que
Endpoints UDP em seu sistema, incluindo endereços exibe a lista de todas as portas TCP/IP e UDP atualmente
locais e remotos e estado das conexões TCP abertas em seu computador local
ÿ TCPView
TCPView é um programa do Windows que mostra listagens detalhadas de todos os terminais TCP e UDP em
seu sistema, incluindo os endereços locais e remotos e o estado das conexões TCP.
No Windows Server 2008, Vista e XP, o TCPView também relata o nome do processo que possui o endpoint. O
TCPView fornece um subconjunto mais informativo e convenientemente apresentado do programa Netstat
fornecido com o Windows. O download do TCPView inclui Tcpvcon, uma versão de linha de comando com a
mesma funcionalidade.
Módulo 12 Página 736 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Correntes
CurrPorts é um software de monitoramento de rede que exibe a lista de todas as portas TCP/IP e
UDP atualmente abertas em seu computador local. Para cada porta da lista, também são exibidas
informações sobre o processo que abriu a porta, incluindo o nome do processo, caminho completo
do processo, informações sobre a versão do processo (nome do produto, descrição do arquivo e
assim por diante), a hora em que o processo foi criado e o usuário que o criou.
Além disso, o CurrPorts permite que você feche conexões TCP indesejadas, elimine o processo que
abriu as portas e salve as informações das portas TCP/UDP em arquivo HTML, arquivo XML ou
arquivo de texto delimitado por tabulações. Os CurrPorts também marcam automaticamente com a
cor rosa as portas TCP/UDP suspeitas pertencentes a aplicativos não identificados (aplicativos sem
informações de versão e ícones).
Módulo 12 Página 737 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 738 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Programas maliciosos usam Domain Name System (DNS) para se comunicar com o Comando e Controle (C&C)
servidor
Após a execução do malware, revise os registros DNS armazenados na estação de trabalho para entender se ele está tentando
chamar um nome de domínio específico
Observação: antes de executar o malware, limpe o cache DNS existente na estação de trabalho digitando o comando “ipconfig /
flushdns” no prompt de comando
Programas maliciosos usam DNS para se comunicar com o servidor C2, configurado pelo criminoso.
O malware usa um algoritmo de geração de domínio ou técnicas DGA para evitar a detecção por engenheiros
reversos e envia várias consultas de DNS para diferentes domínios em um curto período de tempo para se conectar
com seu C2.
Um software malicioso chamado DNSChanger também é capaz de alterar as configurações do servidor DNS do
sistema e fornecer aos atacantes o controle dos servidores DNS das vítimas. Usando esse controle, os invasores
podem controlar os sites aos quais o usuário tenta se conectar na Internet, fazer com que a vítima se conecte a um
site fraudulento ou interferir na navegação online na web.
Portanto, durante a análise do tempo de execução, os investigadores devem verificar as entradas DNS registradas
na estação de trabalho (também conhecidas como cache DNS) para entender se o malware está tentando entrar
em contato com um nome de domínio específico. Eles precisam limpar as entradas do cache DNS da estação de
trabalho digitando ipconfig /flushdns no prompt de comando e pressionando Enter e, em seguida, execute o
malware para identificar o nome de domínio mal-intencionado.
Módulo 12 Página 739 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
DNSQuerySniffer
https:// www.nirsoft.net
DNSQuerySniffer é um utilitário sniffer de rede que mostra as consultas DNS enviadas em seu sistema. Para cada
consulta DNS, as seguintes informações são exibidas: Nome do host, Número da porta, ID da consulta, Tipo de
solicitação (A, AAAA, NS, MX e assim por diante), Tempo da solicitação, Tempo de resposta, Duração, Código de
resposta, Número de registros , e o conteúdo dos registros DNS retornados.
Você pode exportar facilmente as informações das consultas DNS para o arquivo csv/delimitado por tabulações/
xml/html ou copiar as consultas DNS para a área de transferência e colá-las no Excel ou em outro aplicativo de
planilha.
Módulo 12 Página 740 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 741 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do módulo
Este módulo discutiu malware e as técnicas comuns que os invasores usam
para espalhar malware
Por fim, este módulo terminou com uma discussão detalhada sobre a
análise do comportamento do malware em tempo real em relação às
propriedades do sistema e à rede
Resumo do módulo
Este módulo discutiu malware e as técnicas comuns que os invasores usam para espalhar malware.
Ele cobriu os fundamentos da análise forense de malware e tipos de análise de malware, incluindo
uma discussão detalhada sobre a análise estática de malware. Além disso, este módulo examinou a
análise de documentos do Word suspeitos e discutiu os fundamentos e as abordagens da análise
dinâmica de malware. Por fim, este módulo terminou com uma discussão detalhada sobre a análise
do comportamento do malware em tempo real em relação às propriedades do sistema e da rede.
Módulo 12 Página 742 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.