Когда анализируешь малварь в результатах тулов выходит очень много шума будь то анализ регистры или анализ процессов.
Как можно исключить нормальную активность Windows?
Как можно исключить нормальную активность Windows?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Избавиться от лишней информации
- Автор темы Adventurer
- Дата начала
Посмотри на список исключений, например, тут https://github.com/SwiftOnSecurity/sysmon-config
Но стоит помнить, что если малварь заинжектиться в процесс из вайтлиста, то мы её потеряем
Но стоит помнить, что если малварь заинжектиться в процесс из вайтлиста, то мы её потеряем
- Автор темы
- Добавить закладку
- #3
есть ли полный список хешов вайтлист процессов? или как можно создать?
Там просто по путям исключение, а не по хешам. Если хочеш быть уверен, что сам файл не подменили - проверяй подпись.
- Автор темы
- Добавить закладку
- #5
а как думаешь насчет идеи чтоб сделать хеш этих процессов и проверять относительно их(так будет быстрее)?