Получение снимков памяти в PT Sandbox: новые плагины для DRAKVUF
Экспертные вторники PT ESC продолжаются! Следующий вебинар – 1 июня в 14:00.
Часто злоумышленники используют упаковщики и обфускаторы для сокрытия вредоносного кода. Это позволяет им избежать обнаружения средствами статического анализа и повышает шансы незаметного распространения по корпоративной среде. Но после начала исполнения кода, прежде чем выполнить заложенное в него действие, вредоносное ПО принимает первоначальную форму, которая никак не усложнена для анализа. В этот момент важно уметь сохранять «распакованные» участки памяти для дальнейшего исследования.
На вебинаре вы узнаете:
• каким образом PT Sandbox получает снимки памяти при выполнении образца;
• что представляет собой система для динамического анализа DRAKVUF, по какому принципу работают плагины memdump и procdump
Экспертные вторники PT ESC продолжаются! Следующий вебинар – 1 июня в 14:00.
Часто злоумышленники используют упаковщики и обфускаторы для сокрытия вредоносного кода. Это позволяет им избежать обнаружения средствами статического анализа и повышает шансы незаметного распространения по корпоративной среде. Но после начала исполнения кода, прежде чем выполнить заложенное в него действие, вредоносное ПО принимает первоначальную форму, которая никак не усложнена для анализа. В этот момент важно уметь сохранять «распакованные» участки памяти для дальнейшего исследования.
На вебинаре вы узнаете:
• каким образом PT Sandbox получает снимки памяти при выполнении образца;
• что представляет собой система для динамического анализа DRAKVUF, по какому принципу работают плагины memdump и procdump