Многи корисници се питају како да одвоје жито од кукоља када виде сумњиве процесе у оперативном систему Windows, а стварност је да не постоји један непогрешив трик: морате комбиновати неколико сигнала. Process Explorer, од Microsoft Sysinternals-а, је швајцарски нож за визуелизацију и разумевање шта се покреће на вашем систему., а ако додате VirusTotal и неколико техника анализе, можете брзо идентификовати злонамерне процесе без упадања у лажне аларме.
Кључна побољшања су направљена последњих година како би се овај задатак олакшао. Од 2014. године, Process Explorer је интегрисао проверу у VirusTotal, шаљући хеш сваке извршне датотеке ради упоређивања са својом базом података. Ово омогућава откривање знакова злонамерног софтвера „у ходу“ приказивањем колоне резултата по антивирусном програму.Упркос томе, добра је идеја допунити ово проверама дигиталних потписа, путања учитавања, стабала процеса, DEP/ASLR и, ако је потребно, алатима попут Process Monitor-а или Wireshark-а како би се појачала дијагностика.
Шта је Process Explorer и зашто може да детектује злонамерни софтвер?
Process Explorer је део Microsoft Sysinternals колекције и одлична је замена за класични Task Manager. Његов интерфејс приказује процесе у хијерархији родитељ-дете која открива који је извршни фајл покренуо који., што је кључно када се тројански кон прикачи легитимном процесу да би се камуфлирао. Такође открива детаљна својства процеса: корисника, бинарну путању, дигитални потпис, учитане модуле, коришћење процесора/рам меморије, нити и TCP/IP везе.
Рано откривање почиње препознавањем шта је „нормално“ у вашој машини, нешто што је неопходно за откривање скривених процеса и руткитова. Ако знате уобичајену „фотографију“ ваших процеса, свака активност која изгледа „чудно“ вам пада у очи.Чудна или нововиђена имена, необична употреба процесора у неприкладним временима, сервиси без важећег потписа или процеси без омогућеног DEP/ASLR-а када би требало да га имају.
VirusTotal у Process Explorer-у: Како функционише и шта ради
Интеграција са VirusTotal-ом функционише овако: изаберете процес, Process Explorer добија хеш извршне датотеке и упоређује га са базом података платформе. За неколико секунди, приказује се нова колона са резимеом пресуде десетина антивирусних програма.Ако је све чисто, видећете 0/XX; ако постоји сумња, видећете детекције >0 црвеном или наранџастом бојом, у зависности од случаја.
Типичан ток је једноставан и веома ефикасан: 1) бирате процес, 2) хеш се шаље, 3) VirusTotal га упоређује са својим потписима, 4) враћате се у Process Explorer са видљивим резултатом. Овај циклус значајно скраћује време почетног истраживања и ослобађа вас понављајућих ручних претрага..
Предности и ограничења ослањања на VirusTotal
Међу предностима: брзо откривање, стручни контекст и једноставност коришћења јер је интегрисано у исти интерфејс. Захваљујући колони VirusTotal, можете за неколико секунди дати приоритет процесима који захтевају пажњу.и приступите проширеном извештају једним кликом да бисте видели детаље за сваки мотор.
Али постоје нијансе. Ефикасност зависи од базе знања VirusTotal-а и повремено се могу јавити лажно позитивни резултати., баш као што постоје нови узорци без почетних детекција. Могуће је и благо повећање потрошње ресурса током анализе, иако то обично није проблематично на модерној опреми.
Црвене заставице у Process Explorer-у: На шта прво обратити пажњу
Поред пресуде VirusTotal-а, вреди прегледати основне атрибуте процеса. Почните са путањом слике: системске извршне датотеке на необичним локацијама су црвена заставица (на пример, „svchost.exe“ у привременој фасцикли).
Отворите својства тако што ћете кликнути десним тастером миша на процес и потврдити дигитални потпис. Непотписан бинарни фајл који би требало да буде потписан или са потписом који није верификован може бити кандидат за лажно представљање.Пазите на необичне случајеве: легитимни софтвер је дистрибуирао потписане инсталатере, али је оставио главну извршну датотеку непотписаном; ово отвара врата за тројанизоване замене.
Пратите коришћење процесора и меморије за абнормалне скокове и да ли је процесу неоправдано онемогућен DEP/ASLR. У модерним верзијама, некоришћење ових заштита у озбиљним процесима добављача је сумњиво., и додатни траг за истрагу.
Проучите стабло процеса: ко је родитељски процес? Ако прегледач или Office документ покреће процесе ван свог уобичајеног обрасца, то је вредан траг.Слично томе, видећете недоследне односе када нападач убризга или отме ток извршавања.
Активирајте и разумејте колону VirusTotal
Преузмите Process Explorer са сајта Microsoft Sysinternals, распакујте га и покрените верзију која одговара вашој архитектури (procexp64.exe за 64-битну верзију). У менију са опцијама активирајте VirusTotal да бисте додали колону са резултатима; први пут ћете морати да прихватите услове.
Видећете бројеве од 0/70 или 3/70 по процесу. Кликните на бројач да бисте отворили извештај у прегледачу и потврдили да ли је у питању стварна детекција или лажно позитиван резултат.Ако само један маргинални мотор нешто идентификује, а остали не, то би могла бити бука; ако 20 мотора препозна исту фамилију, сумња је јака.
Шта учинити када се појави сумња?
Ако је број детекција висок, а понашање недоследно, размислите о прекиду процеса како бисте прекинули активност у том чину. Затим, покрените скенирање антивирусом и припремите дезинфекцију са резервном копијом.Ако нисте сигурни да је злонамерно, дубоко удахните: прво истражите детаље и потврдите контекст.
У производним окружењима, избегавајте импулсивне одлуке у вези са критичним процесима. Размислите о изоловању машине од мреже, прављењу слике меморије и поступку у оквиру контролисаног форензичког тока. како се не би изгубили докази.
Напредна својства процеса: потпис, модули, нити и мрежа
У картици својстава видећете картице са веома корисним информацијама. Учитани модули и активне нити вам говоре које библиотеке процес користи, ако отвара сокете, ако креира много неконтролисаних нити или ако убризгава необичне DLL-ове.
Картица TCP/IP везе у Process Explorer-у помаже у лоцирању активне мрежне активности. Ако приметите отворене сокете ка непознатим доменима или чудне портове, забележите их и истражите.Такође ће вам помоћи да повежете сумњиве везе са одређеним ПИД-ом.
Процесни монитор за дубљи увид у датотеке, регистар и мрежу
Процесс Монитор (Procmon) прати приступ датотекама, регистар, креирање нити и мрежну активност ниског нивоа у реалном времену. Веома је моћан, али генерише много догађаја, па користите филтере по процесу или ПИД-у. како се не бисте удавили у подацима.
Покрените Procmon и онемогућите снимање помоћу Ctrl+E да бисте прво конфигурисали. У одељку Филтер, креирајте правило које укључује само догађаје из процеса који вас занима (на пример, notepad.exe или chrome.exe) и поново активирајте снимање да бисте посматрали активност неколико секунди.
Типична вежба: помоћу notepad.exe видећете очитавања системских DLL датотека и приступе датотекама. Код Chrome-а се појављују скокови активности и мрежне DLL датотеке као што је mswsock.dll, што одражава његову природу која захтева интензивно конекцију.Ово поређење вам помаже да процените шта је нормално за сваку врсту процеса.
Припремите безбедно окружење за тестирање помоћу виртуелне машине
Ако ћете анализирати прави злонамерни софтвер, радите у виртуелној машини. Направите снимак пре него што покренете било шта како бисте могли безболно да се вратите уназад.У VirtualBox-у, у приказу снимка, забележите тренутно стање са описним именом.
Да бисте спречили нежељену комуникацију, конфигуришите виртуелну мрежу на „Адаптер само за хоста“. На овај начин, виртуелна машина ће комуницирати са вашим хостом, али неће бити повезана на мрежу.Ово можете проверити отварањем прегледача (неће успети да се реши) и провером у ipconfig-у да ли је IP адреса у опсегу адаптера само за хост (на пример, 192.168.56.x).
Вођена студија случаја: Детекција тројанског коња помоћу програма Process Explorer
Замислите лабораторију у којој вам се даје компресована датотека која садржи зараженог тројанца „srvcp-trojan“ заштићеног лозинком. Извуците само srvcp.exe на радну површину виртуелне машине да би био видљив и да се не би мешао са системским путањама.
Отворите Process Explorer и покрените srvcp.exe са подразумеваним дозволама. Прво: идентификујте родитеља процеса у стаблу да бисте знали ко га је покренуоИзвршна датотека покренута са радне површине обично ће имати Windows Explorer (explorer.exe) као родитеља, што одговара очекиваном обрасцу.
Отворите његова својства и проверите картицу TCP/IP. Да ли покушава да слуша на било којим портовима или успоставља само одлазне везе? Погледајте број нити: Гомила нити које долазе и одлазе може указивати на петље повезивања или злонамерне истовремене задатке.
На картици Низови потражите знаке неовлашћене измене регистра или коришћења мрежног API-ја. Низови попут connect, socket, listen, htons или путање кључева регистра су јасни трагови о њиховим намерама.Ако видите референце на Windows/CurrentVersion „Run“, мирише на упорност.
Ако потврдите злонамерну намеру, затворите процес из Process Explorer-а да бисте зауставили његово извршавање. Пре или после тога, запишите ПИД, руту, хешеве и све домене/портове који се појављују. за извештај.
Провера помоћу Process Monitor-а: регистар, DLL-ови и перзистентност
Користећи Procmon, подесите филтер према називу процеса или PID-у за srvcp.exe и наставите снимање. Потражите догађаје који отварају, креирају или мењају кључеве регистра у оквиру HKCU/HKLM, посебно у „Software\Microsoft\Windows\CurrentVersion\Run“, коју многи тројанци користе за покретање при покретању система.
Procmon ће вам омогућити да видите да ли бинарни фајл учитава wsock32.dll (или еквиваленте сокета) и повезане позиве функција. Овај технички доказ потврђује вашу могућност/коришћење мрежне комуникације, потврђујући оно што сте видели у Process Explorer-у.
Такође посматрајте понашање нити: ако процес више пута креира нити, покушајте са поновним повезивањем или периодичним задацима. Ови временски обрасци су типични за злонамерни софтвер који чека инструкције са свог командног и контролног сервера..
Валидација комуникације са Wireshark-ом
Покрените Wireshark на виртуелној машини и изаберите локални мрежни интерфејс виртуелне машине (на пример, „Локална веза 2“ у типичним конфигурацијама). Када је Тројанац покренут, видећете „Упит за име“ и ДНС захтеве који покушавају да реше имена контролних сервера..
Када је адаптер у режиму само за хоста, те резолуције би требало да не успеју, али се и даље могу користити за навођење домена које покушава да досегне. Забележите имена и, ако законитост и окружење дозвољавају, решите их у контролисаном окружењу како бисте проширили истрагу..
Друга датотека у пакету и њена улога
У оригиналном ZIP фајлу постоји још једна датотека поред srvcp.exe. Користите Procmon да бисте сазнали где извршна датотека очекује да га пронађе (Видећете покушаје читања на одређеним путањама.) Немојте га распакивати на слепо: поставите га на путању којом злонамерни софтвер покушава да се отвори.
Када отворите ту датотеку помоћу уређивача, видећете да она садржи информације које изгледају шифровано или замагљено. У многим случајевима, то су листе домена/сервера са којима злонамерни софтвер покушава да се повеже., наизменично за отпорност. Ако га поставите на исправно место и поново покренете srvcp.exe, видећете нове упите за имена за те уносе у Wireshark-у.
Уобичајене грешке и како их избећи
Не ослањајте се само на назив процеса. Злонамерни софтвер може се звати chrome.exe, svchost.exe или било којим легитимним именомВажна је рута, знак и његово понашање. Упоредите неколико знакова пре него што донесете одлуку.
Постоје лажно позитивни резултати. Ако се само један антивирусни програм обележава у VirusTotal-у, а остали не, проверите контекст и верзијуПогледајте датум потписивања, репутацију добављача и оперативно понашање пре него што нешто означите као злонамерно.
Брзо заустављање процеса може оштетити податке или искључити критичне сервисе. Ако сте у производњи, прво изолујте машину и примените процедуруУ лабораторији документујте све и сачувајте артефакте за каснију анализу.
Добре праксе за поуздано откривање
Омогућите верификацију потписа у Process Explorer-у и периодично прегледајте снимак процеса. Познавање вашег система ће вам омогућити да брзо откријете промене, чак и када злонамерни софтвер покушава да буде прикривен..
Интегрише Process Explorer са другим Sysinternals алатима као што су Autoruns, АццессЦхк и Монитор процеса. Ауторунс вам помаже да пратите постојаност; Процмон вам помаже да видите детаљне детаље регистра/датотеке.Заједно пружају тактичку и стратешку покривеност.
Задржите своје окружење за тестирање на виртуелним машинама са снимцима података и ограниченим умрежавањем. То је професионалан начин истраживања без ризика за ваш рачунар или мрежу.Документујте кораке, хешеве и временске интервале како бисте могли да репродукујете и делите налазе.
Практични пример са Chrome-ом и Notepad-ом за тренирање ока
Отворите Chrome, учитајте неколико картица и погледајте коренске и подређене процесе у Process Explorer-у. У својствима ћете видети велики број TCP/IP веза, што је нормално у модерном прегледачу.Ова навика помаже у разликовању легитимне буке од злонамерне буке.
Урадите исто са notepad.exe, који је минималистички. Поређење оба у Procmon-у јасно показује профил DLL-ова и очекиваних приступа диску.Дакле, када видите бележницу која је абнормално „причљива“ на мрежи или учитава сокет DLL-ове, аларм се оглашава.
Вежбајте затварање процеса из Process Explorer-а са некритичним апликацијама. Учење идентификације родитеља и прекидања исправне нити спречава убијање нечега што не би требало., и обучава вас за стварне случајеве.
Ако наиђете на легитиман софтвер чији потписи нису верификовани, као што је историјски био случај са одређеним извршним датотекама за размену порука чак и када је инсталатер потписан, размислите о поновној инсталацији из званичног извора и поновној провери. Непотписане извршне датотеке су подложније замени бинарним датотекама зараженим тројанцима..
Ограничења и реална очекивања
Модерни злонамерни софтвер може се ушуњати чак и са важећим потписима или искористити угрожене драјвере трећих страна. Верификација потписа је неопходна, али није довољнаКомбинација сигнала (путања, потпис, стабло, DEP/ASLR, мрежа, VirusTotal и понашање) пружа робусност која вам је потребна.
Process Explorer није антивирус и не блокира претње сам по себи. Његова вредност лежи у томе што вам пружа видљивост и контекст како бисте мудро одлуживали и деловали.Користите га као централни део вашег алата за реаговање.
Држање се само једног снимка система може бити обмањујуће. Периодично прегледајте и направите основну линијуСуптилне промене током времена причају причу коју брзим погледом можемо пропустити.
Савладавање Process Explorer-а и његових пратећих програма даје вам предност: са омогућеном колоном VirusTotal, верификацијом потписа и оштрим оком за путање, стабла и заштите попут DEP/ASLR, могуће је брзо открити злонамерне процесе без параноје. Када се сигнали конвергирају (детекције VT, неважећи потпис, сумњива рута, чудне везе, перзистентност у Run-у), разумно је изоловати, прекинути и детаљно анализирати помоћу Procmon-а и, ако је потребно, Wireshark-а..
Са виртуелном машином и снимцима, можете репродуковати понашања попут оних код тројанског коња типа srvcp, видети како скенира контролне сервере и потврдити његову постојаност у регистру, а све то без угрожавања вашег хоста. Поделите овај туторијал и више корисника ће сазнати више о овом алату..