regshot скачать | SourceForge.net

Regshot — это утилита сравнения реестра с открытым исходным кодом (LGPL), которая позволяет быстро сделать снимок реестра, а затем сравнить его со вторым — выполняется после выполнения изменение системы или установка нового программного продукта.



Вредоносный понедельник: Regshot

Мэтт Б

3 января 2017 г. · чтение за 5 минут

Так же, как по понедельникам обсуждают различные типы вредоносных программ, этот день также может быть посвящен анализу вредоносных программ. В сегодняшней публикации я собираюсь рассмотреть довольно изящный инструмент под названием Regshot .

Regshot — это инструмент динамического анализа вредоносных программ, который позволяет аналитику выполнять до и после снимков реестра Windows. Обычно это используется для создания моментального снимка системы перед запуском вредоносной программы, а затем сразу после нее.

Цель состоит в том, чтобы идентифицировать любые изменения в реестре, внесенные вредоносной программой. Это может дать больше информации о том, на что способно вредоносное ПО, при удалении каких-либо дополнительных файлов или о любых других индикаторах взлома («IOC»). Во многих случаях, в том числе и в моем собственном, Regshot находится на собственной виртуальной машине, зарезервированной для динамического анализа.

Сейчас Regshot имеет версию 1.9.0 и доступен для скачивания здесь. Доступны как 32-, так и 64-разрядные версии.

Прежде чем перейти к быстрому примеру, я хотел бы высказать несколько мыслей тем, кто не может часто выполнять динамический анализ, о том, почему такой инструмент, как Пригодится Regshot .

  • В некоторых случаях реестр Windows можно рассматривать как просто другое место хранения. Существует несколько семейств вредоносных программ, которые используют реестр Windows для хранения, обхода и сокрытия на виду (см. Мой пост от 2016–12–12, в котором обсуждались бесфайловые вредоносные программы, злоупотребляющие реестром). Часто пути, ключи и/или значения, которые хранятся некоторыми вредоносными программами, генерируются динамически. По этой причине при выполнении динамического анализа знание изменений, произошедших в реестре, помогает сосредоточить внимание на этих изменениях.
  • Вредоносное ПО может вносить много изменений в система, как она работает. Простой запуск вредоносного ПО в песочнице без наблюдения за различными компонентами системы ничего не дает. Еще сложнее запросить анализ, чтобы «выяснить, что произошло», когда вредоносная программа построена так, чтобы молчать..
  • Я скоро расскажу об этом, но Regshot можно использовать в качестве отличного инструмента для создания базовых показателей и разработки.

Как я упоминал ранее, Regshot — это обычно используется в среде анализа вредоносных программ — часто это виртуальная машина, созданная с целью детонации вредоносных программ. Как было сказано выше, существуют 32- и 64-битные версии. Обратите внимание, что существуют также версии ANSI и Unicode. Основное различие между этими двумя заключается в том, что вы можете использовать Regshot для создания файла куста — версия, которую вы запускаете, будет определять кодировку вывода.

Regshot имеет очень простые шаги:

  1. Сделайте снимок системного реестра
  2. Сделайте что-нибудь с системой .
  3. Сделайте снимок системного реестра еще раз .
  4. Вымойте, ополосните и повторите.

Вот действительно простой графический интерфейс Regshot:

 Изображение для сообщения

Изображение для сообщения

На мой взгляд, это одни из лучших опций, доступных в Regshot.

  • Shot просто сделает снимок текущий системный реестр. Расчеты для этого приведены в нижней части графического интерфейса.
  • Shot and Save сделает тот же снимок реестра, а также сохранит его в закодированный файл (ANSI или Unicode)
  • Load позволяет загружать ранее сделанный куст Regshot либо для предыдущего или после позиции.

После того, как выстрел будет сделан, вам будет представлена ​​статистика по нему:

Изображение для сообщения

А теперь сделаем кое-что. Запустите какое-нибудь вредоносное ПО, перемещайтесь по системе, откройте один или два файла.

При нажатии 2nd shot будет сделан второй выстрел. На этом этапе оба снимка реестра временно сохраняются. Как только это произойдет, станет доступна кнопка «Сравнить»:

 Изображение для сообщения

Изображение для сообщения

Не только мы представили количество изменений, а также содержимое реестра:

Изображение для сообщения

Видите, что я сделал? В этом примере я просто изменил ShellBags для нескольких папок. Однако для установки вредоносных программ мы можем увидеть результаты, связанные с механизмами сохранения, сохраненными значениями или полными двоичными файлами, скрытыми в реестре!

Загрузка предыдущего куста

Я не делал этого ‘ Я хочу продолжить, прежде чем вкратце рассказать о функции загрузки предыдущего куста в Regshot. Это мощная возможность, которая позволяет расширить функциональность Regshot просто за пределы специального динамического анализа. Например, если вы развертываете образы золота в своей сети, подумайте о том, чтобы сделать снимок прямо перед развертыванием. Пользователь заразился? Сравните и найдите вредоносное ПО!

В целях разработки сделайте снимок и посмотрите, что установка вашего приложения делает с системой. Вы можете быть удивлены тем, какие следы вы оставляете после себя!

Хотя я провел последние несколько минут, обсуждая способность Regshot делать до и после реестра, разве это не было бы здорово если бы мы могли сделать то же самое с папкой? Что ж, Regshot может! В поле Scan dir мы можем ввести путь для отслеживания. Если у аналитика возникло подозрение, что их вредоносное ПО сбрасывает или изменяет файлы, вы можете поместить каталог под наблюдение и посмотреть, какие изменения были внесены.

Изображение для сообщения

Обратите внимание, что на скриншоте выше я создал папку Evil DIR в наблюдаемом каталог. При желании вы можете ввести несколько каталогов, разделенных точкой с запятой.. Это может быть очень полезным этапом сортировки DFIR, который потенциально может дать вам все секреты о вредоносных программах после их запуска!

До завтра, удачной криминалистической экспертизы!

Статус индекса: добавлен в index . Ключевые слова: Regshot

Оцените статью
clickpad.ru
Добавить комментарий