tags: monitoraggio_processi process_monitoring process analisi
Il monitoraggio dei processi aiuterà a comprendere i processi che il malware avvia e prende il sopravvento dopo l’esecuzione. Dovresti anche osservare i processi figlio, gli handle associati, le librerie caricate, le funzioni e il flusso di esecuzione dei processi di avvio per definire l’intera natura di un file o programma, raccogliere informazioni sui processi in esecuzione prima dell’esecuzione del malware e confrontarli con i processi in esecuzione dopo l’esecuzione. Questo metodo ridurrà il tempo impiegato per analizzare i processi e aiuterà a identificare facilmente tutti i processi avviati dal malware. Process Monitor è uno strumento di monitoraggio per Windows che mostra il file system in tempo reale, il registro e l’attività di processo e thread. Combina le funzionalità di due utility Sysinternals legacy, Filemon e Regmon. Aggiunge un ampio elenco di miglioramenti tra cui filtri avanzati e non distruttivi, proprietà complete degli eventi come ID di sessione e nomi utente, informazioni affidabili sui processi, stack di thread completi con supporto di simboli integrato per ogni operazione e registrazione simultanea in un file. Le funzionalità uniche di Process Monitor lo rendono un’utilità fondamentale nella risoluzione dei problemi di sistema e vitale per il toolkit di ricerca del malware.
Come prima cosa ci appaiono tutti i processi in corso:
Per vedere ulteriori dettagli possiamo cliccare con il destro e andare su prorprietà:
