Pillole di #MalwareAnalysis
Durante un’analisi dinamica di un potenziale #malware è fondamentale la conoscenza dei processi (legittimi) che vengono eseguiti in #Windows e quali di questi sono gli obiettivi preferiti per un attacco.
Sicuramente uno dei più bersagliati ma anche dei più importanti è il processo #Svchost.exe che nasce per poter lanciare servizi che si trovano all’interno di DLL .
Con l’opzione -k è in grado di lanciare gruppi di servizi come il gruppo DcomLaunch responsabile dell’esecuzione delle librerie DCOM e COM.
Su ogni sistema esistono decine di servizi Svchost e tutti hanno in comune lo stesso padre il #ServiceControlManager (Services.exe).
Provate a lanciare ‘Process Explorer’ della famiglia #SysInternals (si scarica gratuitamente dal sito Microsoft) ed andate a controllare i servizi in esecuzione, ma attenzione, se vi accorgete che un Svchost non è figlio di Services.exe (SCM) allora …”Huston, abbiamo un problema!” 😉
#cybersecurityup #cybersecurity #hacker #penetesting

Tweet