Malware Analyse mit HBGary Flypaper

Eine Malware hat üblicherweise 2-3 Phasen

a) Ein Dropper Programm entpackt die Malware und startet diese
b) Das Dropper Programm löscht sich selbst
c) Die Malware aus a) wird ausgeführt oder wird in einen anderen Prozess "injected"

All das läuft in Milisekunden ab, sprich schwer zu untersuchen. Es gibt nun ein neues Tool für die Analyse von Malware, das den Löschversuch das Memory, des Prozesses oder sonstige Löschversuche unterbindet. Damit stehen dem SecAnalyst alle Binaries zur Verfügung welche der Trojaner verwendet, inklusive Dropper Programm.

Flypaper arbeitet als Device Treiber und sollte nur in Kombination einer Malware Analyse VMWare installiert werden (wo man Revert to Snapshot) installiert hat. Das Tool arbeitet mit OllyDbg oder HBGary's Responder Product zusammen.

http://www.hbgary.com/download_flypaper.html