Scripte zum Auffinden und Analysieren von laufender Malware

  • Ich nutze ja schon seit längerer Zeit andere Scriptingsprachen und damit erstellte Scripte, um diese durch den PPFScanner anzusteuern und dann Sachen im Betriebssystem zu fixen, Scanberichte zu erstellen oder auch bei der Malwaresuche Unterstützung zu leisten. Im Augenblick ist Powershell da hauptsächlich in Nutzung - das geht aber seit heute auch mit jeder anderen Scriptingsprache, wenn zumindestens die Runtime als EXE oder ZIP downloadbar ist.
    Für Profan kann ich da die Versionen von FreeProfan nutzen - hier ein Beispiel:


    [Blockierte Grafik: https://abload.de/img/1agymj.jpg]
    Wie man sieht, können da Umgebungsvariablen beim Start des Scripts an Profan weitergegeben werden, um zum Beispiel festzulegen, was genau ausgelesen werden soll und wie und wo die Ergebnisse abgespeichert werden sollen.


    Wer Lust hat, mal Scripte zu entwickeln, die vielleicht bei der Analyse von laufender Malware oder bei der Suche danach helfen könnten, kann das gerne als kleine Herausforderung tun.
    Ein Beispiel für ein Script, das da vielleicht helfen könnte, wäre das Durchsuchen eines Prozesses nach Strings mit bestimmter größer mit Rückgabe, wo genau diese Strings gefunden wurden (im Bereich der EXE, einer DLL oder sonstigem irgendwie definierten Speicher). Ergebnisse sollten möglichst nachher als Textdatei vorliegen.


    Das gilt natürlich für jede andere Scriptingsprache auch (Powershell, Autoit, VB-Script,...).

  • Hab mal für eine Stringsuche im Prozessspeicher angefangen. Da bin ich scheinbar schon auf einem guten Weg. Mempos, Trim$, Translate$ etc. sind in XProfan da sehr gut umgesetzt für solche Sache. Mit Unicode wird das schwer; da kann ich noch nicht sagen, ob das mit ausreichendem Tempo geht...

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!