路由网atmmalscan是一款适用于windows 7及更高版本的命令行工具,旨在帮助在atm上进行数字取证与事件响应(dfir)过程中查找恶意软件的踪迹。该工具通过指定的文件路径来检查系统和硬盘上的运行过程。即使是具有标准权限的用户也可以进行系统扫描,但若以管理员权限运行atmmalscan,则能获得最佳效果。
已知的问题:
目前,ATMMalScan不支持需要Unicode的代码页,因此在Windows操作系统设置为西里尔字母或中文字符等时,可能无法提供准确的结果。
要求:
在ATM上使用ATMMalScan之前,请确保已安装Visual Studio 2015的Visual C++ Redistributable。
使用方法(示例):
步骤1 => 扫描进程内存和磁盘。确保设备上具有管理员权限以获得最佳结果。
步骤2 => ATMMalScan在进程中检测到一个名为XFS_DIRECT的恶意软件,并提供了关于线程及其规则匹配的详细信息。此外,完整的进程内存转储已保存到磁盘,以捕获恶意进程及其模块、堆栈和堆页面。
步骤3 => 转储文件可以在这里找到=>.\ Dump
步骤4 => 使用Windbg打开转储文件,并使用“.writemem”命令将ATM恶意软件提取到磁盘。
步骤5 => 使用您喜欢的PE修复工具修复转储的PE文件,然后开始对恶意软件进行详细分析。
项目地址:
https://www.php.cn/link/5ee91fe7ca52d57d46b272e68cbf53d9
