Il processo Explorer.exe
- Antonio Capobianco
- Visite: 3863
Pillole di #MalwareAnalysis
Il processo Explorer.exe
Come ho detto più volte la fase di analisi dinamica del Malware, necessita di una approfondita conoscenza dei processi attivi all’interno del sistema operativo Host.
Naturalmente Windows è il principale bersaglio, quindi è necessaria una conoscenza dei processi legittimi che girano nel SO Windows e del loro comportamento per poter scovare poi quelli ‘illegittimi’.
Tra i processi legittimi abbiamo sicuramente la shell di #Windows eseguita dal processo #Explorer.exe.
E' fondamentale notare che Explorer è un processo orfano, non ha padre. Infatti, viene lanciato dal processo Userinit.exe che ha il compito di lanciare tutti i programmi della shell utente, compresa la shell stessa ed una volta adempiuta la sua funzione termina la sua esecuzione, lasciando così Explorer orfano.
Un’altra peculiarità di Explorer è che NON segue traffico di rete. Avete capito bene, Explorer non manda in rete neanche un bit! Lo fanno invece i suoi processi figli, come potrebbe essere ad esempio un browser.
Quindi ricapitolando, analizzando i processi con Process Explorer, dobbiamo notare che Explorer non ha PPID (PID del processo padre) e non fa traffico il rete.
Il vostro Explorer non risponde a queste caratteristiche? Probabilmente è stato alterato o sostituito, in ogni caso avete un problema!