Ir para conteúdo
       (0 análises)

    Fernando Mercês

    Muitas vezes quando analisando processos suspeitos estes criam arquivos e podem apagá-los depois. Algumas famílias de ransomware chegavam a escrever a chave usada para encriptar os arquivos no disco e depois apagar com o recurso de shredding (substituindo os bytes com zero ou com bytes aleatórios) para evitar a recuperação. Da necessidade de recuperar estes arquivos que "tocam" o filesystem surgiu, em 2014, o FileGrab, um software para monitorar a criação de arquivos no Windows e copiar assim que este for "fechado" (ter todo o seu conteúdo escrito).

    Na monitoração, é possível especificar um padrão de arquivos específicos para monitorar, utilizando a expansão tradicional do Windows (como *.exe) ou expressões regulares:

    filegrab_monitor.thumb.png.7f668093726b9bf3e9239da45481e72b.png

    Os nomes de arquivos que casarem sofrerão uma ação, se especificada na aba Capture. Esta pode ser a cópia para uma outra pasta, drive de rede ou um servidor FTP:

    capture.thumb.png.83be4964961042e35fd5dc540d76c110.png

    O FileGrab é particularmente útil em máquinas virtuais para análise de malware e sandboxes. O código-fonte, assim como binários para Windows estão disponíveis no repositório do Github.


    Feedback do Usuário

    Participe da conversa

    Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

    Visitante

    • Isso não será mostrado para outros usuários.
    • Adicionar um análise...

      ×   Você colou conteúdo com formatação.   Remover formatação

        Apenas 75 emojis são permitidos.

      ×   Seu link foi automaticamente incorporado.   Mostrar como link

      ×   Seu conteúdo anterior foi restaurado.   Limpar o editor

      ×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.


×
×
  • Criar Novo...