Scripte zum Auffinden und Analysieren von laufender Malware

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • Scripte zum Auffinden und Analysieren von laufender Malware

      Ich nutze ja schon seit längerer Zeit andere Scriptingsprachen und damit erstellte Scripte, um diese durch den PPFScanner anzusteuern und dann Sachen im Betriebssystem zu fixen, Scanberichte zu erstellen oder auch bei der Malwaresuche Unterstützung zu leisten. Im Augenblick ist Powershell da hauptsächlich in Nutzung - das geht aber seit heute auch mit jeder anderen Scriptingsprache, wenn zumindestens die Runtime als EXE oder ZIP downloadbar ist.
      Für Profan kann ich da die Versionen von FreeProfan nutzen - hier ein Beispiel:

      Quellcode: TestScript.scp

      1. CREATE_FOLDER->C:\PPFS_T
      2. SET_ENV_VAR->PPFScannerTestvariable>Das ist ein Test!
      3. ON_64BIT->
      4. DOWNLOAD->http://download.eset.com/download/sysinspector/64/DEU/SysInspector.exe>C:\PPFS_T\XFee.zip
      5. END_ON->
      6. ON_32BIT->
      7. DOWNLOAD->http://www.rgh-soft.de/profan/download/freeprofan32.zip>C:\PPFS_T\XFee.zip
      8. END_ON->
      9. UNZIP->C:\PPFS_T\XFee.zip>C:\PPFS_T
      10. CREATE_BATCH_FILE->C:\PPFS_T\Testprogramm.prf
      11. WRITE_BATCH->Declare Message$
      12. WRITE_BATCH->Message$ = "Das ist ein Test!" + "\n" + "Die Übergebene Umgebungsvariable PPFScannerTestvariable hat den Wert:\n " + GetEnv$("PPFScannerTestvariable")
      13. WRITE_BATCH->MessageBox(Message$, "Ich komme von Profan...", 0)
      14. RUN->C:\PPFS_T\Profan "C:\PPFS_T\Testprogramm.prf"
      15. END->
      Alles anzeigen
      [Blockierte Grafik: https://abload.de/img/1agymj.jpg]
      Wie man sieht, können da Umgebungsvariablen beim Start des Scripts an Profan weitergegeben werden, um zum Beispiel festzulegen, was genau ausgelesen werden soll und wie und wo die Ergebnisse abgespeichert werden sollen.

      Wer Lust hat, mal Scripte zu entwickeln, die vielleicht bei der Analyse von laufender Malware oder bei der Suche danach helfen könnten, kann das gerne als kleine Herausforderung tun.
      Ein Beispiel für ein Script, das da vielleicht helfen könnte, wäre das Durchsuchen eines Prozesses nach Strings mit bestimmter größer mit Rückgabe, wo genau diese Strings gefunden wurden (im Bereich der EXE, einer DLL oder sonstigem irgendwie definierten Speicher). Ergebnisse sollten möglichst nachher als Textdatei vorliegen.

      Das gilt natürlich für jede andere Scriptingsprache auch (Powershell, Autoit, VB-Script,...).
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Hab mal für eine Stringsuche im Prozessspeicher angefangen. Da bin ich scheinbar schon auf einem guten Weg. Mempos, Trim$, Translate$ etc. sind in XProfan da sehr gut umgesetzt für solche Sache. Mit Unicode wird das schwer; da kann ich noch nicht sagen, ob das mit ausreichendem Tempo geht...
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT