Apoiador Nibble Halison Matos Fernandes Postado Abril 22, 2020 em 00:06 Apoiador Nibble Compartilhar Postado Abril 22, 2020 em 00:06 Boa Noite Mercês, na aula 3 do curso usamos o api monitor e depois voce mostoru como parar a cifra do binario que é um ransomware para que o mesmo seja analisado. Fiz alguns execícios utilizando outros binários e cheguei no Petya. Como já é de conheicmento o comportamento dele é desligar a maquina e depois realizar a cifra no boot com uma tela semelhante de um check disk. Eu consegui fazer com que ele não fizesesse esse shutdown, porém não sei se foi da maneia correta. Basicamente eu executava o binario e dpeois matava o o processo dele, iniciando ele pelo API monitor. Ele carregava a primeira Threads e eu analisei as funções que apareceu e depois segui os passos da aula 3 do curso. Se puder mostrar a forma correta de analisar esse caso ou otro semelhante seria interessante. Valeu. Link para o comentário Compartilhar em outros sites More sharing options...
Fernando Mercês Postado Abril 22, 2020 em 19:22 Compartilhar Postado Abril 22, 2020 em 19:22 Oi Halison! Olha, não acho que exista uma "forma correta", viu... Se você patcheou ou mesmo impediu "por fora do malware", ou seja, pelo sistema que a ecriptação ocorresse, em minha opinião já foi. Tá feito. Em vários casos nem é necessário impedir a encriptação, ou esta é feita a cada execução, tanto faz. Na aula 3 do AMO pus em prática a ideia de patchear a função que encripta, mas tem certamente muitas outras maneiras e acho que a certa é a que funciona. ? Como no seu caso funcionou, parabéns! Em minha experiência, análise de malware não é um conjunto de técnicas, é uma aplicação de vários conhecimentos que quase sempre resulta em diferentes soluções para diferentes problemas mesmo. Abraço! Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble Halison Matos Fernandes Postado Abril 25, 2020 em 19:01 Autor Apoiador Nibble Compartilhar Postado Abril 25, 2020 em 19:01 Blz Então Mercês. Valeu e obrigado pela resposta. Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Arquivado
Este tópico foi arquivado e está fechado para novas respostas.