Análise Visual de Malware
Existem muitas ferramentas para análise de malware comportamental. Os padrões padrão de fato, porém, são o Process Monitor do Sysinternals (também conhecido como Procmon) e o PCAP gerando sniffers de rede como Windump, Tcpdump, Wireshark e outros. Essas "duas" ferramentas cobrem quase tudo o que um analista de malware pode estar interessado quando faz uma análise de malware comportamental.
Mas há um grande problema com essas ferramentas. Qualquer um trabalha de forma direta ou isolada, sem saber nada um do outro. Por isso, é meio difícil conseguir as atividades gravadas de acordo com uma única peça ou imagem. É aí que ProcDOT entra no palco. Ele preenche essa lacuna real juntando esses registros.
Mas o ProcDOT faz muito mais. Converte essas milhares de atividades monitoradas em uma grande imagem comportamental - na verdade, um gráfico - que pode ser explorado de forma interativa, tornando a análise de malware comportamental tão eficiente como nunca antes.
Nestes termos, independentemente se você já é um especialista em análise de malware ou um rascunho de iniciantes na superfície, a ProcDOT permite que você
obtenha um sentimento geral de tripas para uma situação inteira de relance,
compare as partes relevantes e compreenda a correlação entre elas minutos.
Existem muitas ferramentas para análise de malware comportamental. Os padrões padrão de fato, porém, são o Process Monitor do Sysinternals (também conhecido como Procmon) e o PCAP gerando sniffers de rede como Windump, Tcpdump, Wireshark e outros. Essas "duas" ferramentas cobrem quase tudo o que um analista de malware pode estar interessado quando faz uma análise de malware comportamental.
Mas há um grande problema com essas ferramentas. Qualquer um trabalha de forma direta ou isolada, sem saber nada um do outro. Por isso, é meio difícil conseguir as atividades gravadas de acordo com uma única peça ou imagem. É aí que ProcDOT entra no palco. Ele preenche essa lacuna real juntando esses registros.
Mas o ProcDOT faz muito mais. Converte essas milhares de atividades monitoradas em uma grande imagem comportamental - na verdade, um gráfico - que pode ser explorado de forma interativa, tornando a análise de malware comportamental tão eficiente como nunca antes.
Nestes termos, independentemente se você já é um especialista em análise de malware ou um rascunho de iniciantes na superfície, a ProcDOT permite que você
obtenha um sentimento geral de tripas para uma situação inteira de relance,
compare as partes relevantes e compreenda a correlação entre elas minutos.
Características:
Correlação de Procmon e dados PCAP
Visualização como um gráfico interativo
Modo de animação para entender facilmente os aspectos do tempo
Algoritmos seguidos inteligentes para focar apenas material relevante
Detecção e visualização de injeção de thread
Correlação de atividades de rede e processos
causantes Linha de tempo de atividade
Pesquisa de texto completo e encontrar de conteúdo gráfico também aparecendo em atividade de linha de tempo
filtros para ruídos de limpe (global e sessão de sábio)
Suporte de vários modos correspondentes
string jogo completa
Rubrica string jogo
Arrastando corda jogo
Sub corda jogo
expressionso regular
Suprimindo específicos
chaves do Registro
Arquivos
Servidores
Filtrar para combinar caminhos longos e curtos
Opções de personalização de conteúdo de gráfico
Mostrar caminhos
Compressão tópica
Selecione quais tipos de nó / borda (informações) para mostrar / suprimir o
modo Dumb se o malware tentar jogar truques no ProcDOT ou se você quiser apenas ver todos os processos em execução
Rich rich exportador exportador de anotações
Totalmente desenvolvido, mas ainda é fácil de usar o mecanismo de plugin
E, afinal: o ProcDOT é absolutamente gratuito!
Docs
Download