Το ATMMalScan είναι ένα εργαλείο γραμμής εντολών για λειτουργικά συστήματα Windows 7 ή νεότερης έκδοσης, το οποίο βοηθά στην αναζήτηση κακόβουλου λογισμικού σε ένα ATM με τη διαδικασία DFIR.
Το πρόγραμμα εξετάζει τις τρέχουσες διεργασίες ενός συστήματος, καθώς και τον σκληρό δίσκο, ανάλογα με την καθορισμένη διαδρομή των αρχείων. Για τη σάρωση ενός συστήματος, αρκεί ένας χρήστης με τυπικά δικαιώματα. Ωστόσο, το ATMMalScan παρέχει καλύτερα αποτελέσματα με δικαιώματα διαχειριστή.
Προβλήματα
Προς το παρόν το ATMMalScan δεν υποστηρίζει σελίδες που απαιτούν Unicode, που αυτό σημαίνει ότι σε λειτουργικά συστήματα Windows που έχουν οριστεί π.χ. στα κυριλλικά ή στα κινέζικα μπορεί να μην έχει κανένα αποτέλεσμα.
Χρήση (Παράδειγμα)
Βήμα 1: Σάρωση μνήμης διεργασίας και δίσκου. Ελέγξτε εάν υπάρχουν διαθέσιμα δικαιώματα διαχειριστή στη συσκευή για καλύτερα αποτελέσματα!
Βήμα 2: Το ATMMalScan εντοπίζει ένα κακόβουλο λογισμικό που ονομάζεται XFS_DIRECT και δίνει λεπτομέρειες σχετικά με τα thread και τα rules που ταιριάζουν.
Επιπλέον, έχει αποθηκεύσει ένα πλήρες processmemory στο δίσκο, για να εντοπίσει την κακόβουλη διεργασία, τις ενότητες, καθώς και τις σελίδες stack και heap.
Βήμα 3: Το Dump θα το βρείτε εδώ \Dump.
Βήμα 4: Ανοίξτε το dumpfile με το Windbg και εξαγάγετε το κακόβουλο λογισμικό του ATM στο δίσκο χρησιμοποιώντας το “.writemem”
Βήμα 5: Διορθώστε το PE που έχει γίνει dumped με ένα από τα αγαπημένα σας PE-Fixers και ξεκινήστε να αναλύετε λεπτομερώς το κακόβουλο λογισμικό.
Μπορείτε να κατεβάσετε το πρόγραμμα από εδώ.