ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
10.09.2020, 15:32
|
|
Guest
Сообщений: n/a
Провел на форуме:
23717
Репутация:
0
|
|
Доброго времени суток. Появилась необходимость логировать все действия подозрительного приложения. Под действиями я понимаю какие файлы пишет, на какие внешние IP ходит, загрузку проца, использование памяти, использование каких-то других ресурсов типа микрофона или камеры. В общем по максимуму информации. платформа Windows. Какие есть софтины под такую задачу?
|
|
|
|
11.09.2020, 10:07
|
|
Guest
Сообщений: n/a
Провел на форуме:
295690
Репутация:
24
|
|
Одной тулзы наверное нет, но несколькими все можно разрулить.
procmon - логирование попыток открывать файлы, ветки реестра и что-то еще... не помню, но иногда одного этого хватает.
wireshark - само-собой для логирования передаваемых по сети данных.
Process Explorer - да, обычный диспетчер задач, но в нем можно посмотреть открытые хендлы (файлы, мьютексы, етц) а посредством дебугга узнать что это такое открыто вообще.
winapioverride - логирование API - вызовов. Я не юзал, мне всегда хватало Spy++ или чего-то подобного - но вроде-как хвалят.
Дебугга - ну это само-собой WinDBG. Конечно не Syser, дебажить Венду на живой системе не умеет, но кое-что посмотреть все-равно иногда требуется. К нему понадобятся символы ибо без них там не особо чего наделаешь, но какбэ это уже опционально
Можно еще чего погуглить - но это вроде-как основное. |
|
|
|
11.09.2020, 11:32
|
|
Guest
Сообщений: n/a
Провел на форуме:
169390
Репутация:
47
|
|
Сообщение от DartPhoenix
DartPhoenix said:
↑
Одной тулзы наверное нет, но несколькими все можно разрулить.
procmon
- логирование попыток открывать файлы, ветки реестра и что-то еще... не помню, но иногда одного этого хватает.
wireshark
- само-собой для логирования передаваемых по сети данных.
Process Explorer
- да, обычный диспетчер задач, но в нем можно посмотреть открытые хендлы (файлы, мьютексы, етц) а посредством дебугга узнать что это такое открыто вообще.
winapioverride
- логирование API - вызовов. Я не юзал, мне всегда хватало Spy++ или чего-то подобного - но вроде-как хвалят.
Дебугга
- ну это само-собой WinDBG. Конечно не Syser, дебажить Венду на живой системе не умеет, но кое-что посмотреть все-равно иногда требуется. К нему понадобятся символы ибо без них там не особо чего наделаешь, но какбэ это уже опционально
Можно еще чего погуглить - но это вроде-как основное. Ленивый вариант: можно запустить под Sandboxie и дополнительно к нему прикрутить плюшки
|
|
|
|
23.02.2021, 13:17
|
|
Guest
Сообщений: n/a
Провел на форуме:
23717
Репутация:
0
|
|
Сообщение от DartPhoenix
DartPhoenix said:
↑
Одной тулзы наверное нет, но несколькими все можно разрулить.
procmon
- логирование попыток открывать файлы, ветки реестра и что-то еще... не помню, но иногда одного этого хватает.
wireshark
- само-собой для логирования передаваемых по сети данных.
Process Explorer
- да, обычный диспетчер задач, но в нем можно посмотреть открытые хендлы (файлы, мьютексы, етц) а посредством дебугга узнать что это такое открыто вообще.
winapioverride
- логирование API - вызовов. Я не юзал, мне всегда хватало Spy++ или чего-то подобного - но вроде-как хвалят.
Дебугга
- ну это само-собой WinDBG. Конечно не Syser, дебажить Венду на живой системе не умеет, но кое-что посмотреть все-равно иногда требуется. К нему понадобятся символы ибо без них там не особо чего наделаешь, но какбэ это уже опционально
Можно еще чего погуглить - но это вроде-как основное. Как в wireshark выделить сетевую активность конкретного приложения?
Или как-то это организовать в связке с другой программой?
Можно конечно писать весь сетевой трафик, а потом фильтровать только то что нужно. Только вот откуда взять инфу по тому что фильтровать.
|
|
|
|
23.02.2021, 13:42
|
|
Guest
Сообщений: n/a
Провел на форуме:
295690
Репутация:
24
|
|
Сообщение от deim_1
deim_1 said:
↑
Как в wireshark выделить сетевую активность конкретного приложения?
Или как-то это организовать в связке с другой программой?
Можно конечно писать весь сетевой трафик, а потом фильтровать только то что нужно. Только вот откуда взять инфу по тому что фильтровать. Ваершарк не умеет (кажись) хавать pid. Но если взять другой лог любого приложения которое оценивает сетевую активность и скрестить с логом
шарка - можно отфильтровать файл уже по факту. Формат этого файла есть в паблике (и вообще он кажись открыт).
Готового ПО такого не знаю, но в сущности там не должно быть особо много возни.
===========================================
Можно сделать например через какой-нибудь соксификатор или фаерволл. Тоесть заставить весь траф этого приложения
проходить через другую сетевую карту (если физическая карта одна - есть VirtualBox и иже с ним). Попробуй подумать в этом направлении.
UPD: кстати если так - можно и вообще просто поднять виртуалку, подождать маленько и фильтром накрыть все что тебе не нужно. А потом
запускаешь прогу и должен получиться траф этого приложения ну... с какой-то долей примесей.
|
|
|
|
23.02.2021, 14:40
|
|
Guest
Сообщений: n/a
Провел на форуме:
169390
Репутация:
47
|
|
Сообщение от deim_1
deim_1 said:
↑
Как в wireshark выделить сетевую активность конкретного приложения?
Или как-то это организовать в связке с другой программой?
Можно конечно писать весь сетевой трафик, а потом фильтровать только то что нужно. Только вот откуда взять инфу по тому что фильтровать. Если вам под винду, то посмотрите https://github.com/airbus-cert/Winshark#Filtering-on-process-id :
Сначала устанавливаете вайршарк, потом виншарк
затем в консоли
Код:
Code:
netsh.exe trace start capture=yes report=no correlation=no
logman start Winshark-PacketCapture -p "Microsoft-Windows-NDIS-PacketCapture" -rt -ets
потом соответственно запускаете вайршарк, зайдите в настройки -> протоколы, там поставьте в таблице "DLT_USER" для DLT=147 как протокол "etw",
выбираете "Winshark-PacketCapture" как интерфейс и потом в фильтрах вайршарка задаёте "etw.header.ProcessId == 1234"
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
