Поведенческий анализ исполняемых файлов

Тема в разделе "WASM.BEGINNERS", создана пользователем guessWh0_o, 6 окт 2018.

  1. guessWh0_o

    guessWh0_o New Member

    Публикаций:
    0
    Регистрация:
    6 окт 2018
    Сообщения:
    27
    Товарищи, нужна помощь, некий ликбез. Доля моей дипломной работы заключается в разработке анализатора поведения исполняемых файлов PE-формата. Существует (знакомая всем) программа ProcMon, которая показывает активность (со всеми путями обращения к реестру, путями создания файлов и т.п.). Как вытащить импортируемые WinAPI функции понятное дело. А как ProcMon получает пути в файловой системе и реестре мне не совсем понятно. Например, как можно отследить по какому пути процесс пытается подгрузить *.dll. Хотелось бы услышать Ваши наставления в какую сторону копать. Перехват WinAPI процесса или как-то еще?
     
  2. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.954
    Путь к файлу из хендла получается через CreateFileMapping+MapViewOfFile+GetMappedFileName, с путем к длл еще проще GetModuleFileName, а ищет их наверное по путям, описанным в переменной окружения PATH.
     
    guessWh0_o нравится это.
  3. guessWh0_o

    guessWh0_o New Member

    Публикаций:
    0
    Регистрация:
    6 окт 2018
    Сообщения:
    27
    f13nd, а сам хэндл на созданный файл получать путем перехвата CreateFile()?
     
  4. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.954
    Ну. Только я бы перехватывал NtCreateFile и хранил имена для открытых хендлов, убирал бы при закрытии. О - оптимизация.
     
    guessWh0_o нравится это.
  5. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    вообще procmon перехватывает функции в ядре, а не у процесса...
     
  6. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    988
    guessWh0_o, мне кажется, вам стоит прочитать стр. 444 по 452 в книжке под название "Вскрытие покажет, практический анализ вредоносного по". Чтение может подарить идею.
     
  7. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Растёт авер и есчо в наглую просит помощь по дипломной работе. Те кто выше отписал плохие люди.