atmmalscan是一款适用于windows 7及更高版本的命令行工具,旨在帮助在atm上进行数字取证与事件响应(dfir)过程中查找恶意软件的踪迹。该工具通过指定的文件路径来检查系统和硬盘上的运行过程。即使是具有标准权限的用户也可以进行系统扫描,但若以管理员权限运行atmmalscan,则能获得最佳效果。
已知的问题:
目前,ATMMalScan不支持需要Unicode的代码页,因此在Windows操作系统设置为西里尔字母或中文字符等时,可能无法提供准确的结果。
要求:
在ATM上使用ATMMalScan之前,请确保已安装Visual Studio 2015的Visual C++ Redistributable。
使用方法(示例):
步骤1 => 扫描进程内存和磁盘。确保设备上具有管理员权限以获得最佳结果。
步骤2 => ATMMalScan在进程中检测到一个名为XFS_DIRECT的恶意软件,并提供了关于线程及其规则匹配的详细信息。此外,完整的进程内存转储已保存到磁盘,以捕获恶意进程及其模块、堆栈和堆页面。
纳米搜索
纳米搜索:360推出的新一代AI搜索引擎
30 查看详情
步骤3 => 转储文件可以在这里找到=>. Dump
步骤4 => 使用Windbg打开转储文件,并使用“.writemem”命令将ATM恶意软件提取到磁盘。
步骤5 => 使用您喜欢的PE修复工具修复转储的PE文件,然后开始对恶意软件进行详细分析。
项目地址:
https://www.php.cn/link/5ee91fe7ca52d57d46b272e68cbf53d9
以上就是ATMMalScan – DFIR搜索ATM上的恶意软件痕迹。的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/364182.html
微信扫一扫 
支付宝扫一扫 
