Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Teoria para uma analise

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Dica Teoria para uma analise

    Por que analisar ?
    • Desenvolver regras para NIDS
    • Desenvolver vacinas
    • Entender o comportamento e o funcionamento
    • Realizar resposta a incidentes mais efetivamente
    • Desenvolver patchs de correção
    • Ganhar controle sobre o codigo malicioso e utiliza-lo para outros fins


    Fases da analise
    • Fase 1: Preservação e analise de dados volateis
    • Fase 2: Analise de memoria
    • Fase 3: Analise de disco
    • Fase 4: Analise estatica de malware
    • Fase 5: Analise dinamica de malware


    O que proucurar ?


    Ao analisar um programa suspeito, há uma serie de perguntas que o pesquisador deve considerar:
    • Qual é a natureza e a finalidade desse programa ?
    • Como funciona o programa para cumprir a sua finalidade
    • Como funciona o programa ao interagir com o sistema da vitima ?
    • Como o programa interage com a rede ?
    • O que o programa sugere sobre o nivel de sofisticação do atacante ?
    • Há um setor identificavel que o programa usa para infectar um hospedeiro ?
    • Qual é a extensão da infecção ou do comprometimento do sistema ou da rede ?


    Processo investigativo


    Alguns dos preceitos basicos que precisamos explorar inclui:
    • Estabelecer a linha de base do ambiente
    • Preparação pre-execução: monitoramento do sistema e da rede
    • Execução do binario suspeito
    • Observação do processo: monitoramento de bibliotecas e system calls
    • Avaliação do processo: analise dos processos em execução
    • Analise das portas abertas e conexões rede
    • Analise de arquivos abertos e sockets
    • Exploração do diretorio /proc ( Em linux )
    • Quebra de ofuscação: remoção da proteção do malware
    • Ajustes de ambiente
    • Ganhando o controle do malware
    • Interagindo e manipulando o malware
    • Exploração e verificação das funcionalidades do malware
    • Reconstrução de eventos: capturar trafego de rede, integridade de arquivos e logs de IDS
    • Varredura de portas/vulnerabilidades do host comprometido
    • Verificação de rootkits


    Creditos: 4linux
X
Working...
X