Utilisation de Process Explorer pour détecter des malwares

[igor51]

Utilisation de Process Explorer pour détecter des malwares:

Nous allons nous intéresser à l'étude d'un programme malicieux. Pour que ce soit plus simple à suivre, nous l'avons renommé toto.exe

• La première chose est de regarder si le processus est présent dans le gestionnaire de tâches.

Juste en regardant comme cela, si nous n'avions pas renommé le processus, il n'y aurait que peu d'informations à notre disposition.

• Utilisons Process Explorer :
  
  
  
  D'après notre précédent tutoriel, nous voyions qu'un processus possédant un packer était en train de tourner. On voyait aussi que ce processus n’était pas signé.
  
  En regardant plus en détail ce processus, c'est à dire en affichant les propriétés du processus on obtient ceci :
  
  
  
  Plusieurs informations sont disponibles :
  
  
  1 Le processus est bien packé.
  2 Le chemin complet du programme.
  3 Le chemin dans le registre qui permet de le lancer.
  
  
  Pour aller plus loin:
  
  
• Autoruns :
  
  

  Indique quels programmes sont configurés pour démarrer automatiquement lors du démarrage du système et de votre connexion. Autoruns affiche également la liste complète des emplacements du Registre et des fichiers où les applications peuvent configurer les paramètres de démarrage automatique.

  
  Autoruns
  http://download.sysinternals.com/Files/Autoruns.zip
  
  
  
  
  
  
• Filtrer les éléments non MS :

• Vérification pour le registre :

• Sigcheck :
  Vérifier que les images sont numériquement signées.
  Sigcheck
  http://download.sysinternals.com/files/Sigcheck.zip
  
  
  
  

[igor51]

Comprendre le fonctionnement de Process Explorer : http://forum.security-x.fr/tutoriels-317/utilisation-de-process-explorer-de-sysinternals-7094/