$1$ Сохранение и изоляция образа
- Сделайте криптографические хеши (MD5/SHA1/SHA256) образа и всех копий.
- Работа только с копиями; оригинал храните в «read‑only».
- Зафиксируйте метаданные (время захвата, процент оперативной памяти, PID/host).
- Инструменты: `dd`, FTK Imager, Belkasoft, OS‑specific memory dump tools.
$2$ Первичный осмотр (triage)
- Просмотрите строки (`strings`) на наличие URL, команд, подозрительных последовательностей байт.
- Определите подозреваемый PID/процесс: список процессов, открытые дескрипторы, сетевые соединения (Volatility/Rekall, Process Explorer, `netstat`, `ss`, `lsof`).
- Инструменты: Volatility (плагины `pslist`, `psscan`, `netscan`, `connscan`), Rekall, Sysinternals.
$3$ Выделение подозрительных участков памяти
- Используйте плагины типа Volatility `malfind`, `vadinfo`, `memory_strings` для поиска исполняемого кода в сегментах данных/куче.
- Экспортируйте найденные фрагменты (dump VAD, heap regions, thread stacks).
- Проверьте права страниц (RWX) и недавние изменения прав (`mprotect`/`VirtualProtect` следы).
$4$ Статический анализ (дизассемблер)
- Загрузите дамп/вырванные PE/ELF в Ghidra/IDA Pro/Binary Ninja/radare2.
- Задачи:
- Определить архитектуру и точку входа фрагмента.
- Найти строки, импортированные функции и вызовы системных API.
- Идентифицировать ROP‑цепочки: много адресов‑попаданий в инструкции рет/поп.
- Найти indirect/jmp/call через память (указание на shellcode).
- Оценить энтропию: высокий уровень → возможно сжатие/шифрование/обфускация.
- Инструменты: Ghidra, IDA Pro, Binary Ninja, radare2, Cutter.
$5$ Динамическое отладочное выполнение
- Разверните изолированную VM/стенд (снэпшоты) — запрещено интернет‑соединение, настроить сетевой мониторинг.
- Подключите отладчик: x64dbg/WinDbg для Windows, gdb/rr/ptrace для Linux.
- Установите точки останова на:
- Выявленные подозрительные адреса (в коде в данных).
- API, меняющие права памяти: `VirtualProtect`, `mprotect`, `NtProtectVirtualMemory`, `VirtualAlloc`, `mmap`.
- API инъекции/интерпозинга: `WriteProcessMemory`, `CreateRemoteThread`, `SetWindowsHookEx`, `LoadLibrary`.
- Выполните пошаговую трассировку и снимайте дампы стека/регистров при срабатывании.
- Инструменты: x64dbg, WinDbg, gdb, Frida, PIN, DynamoRIO.
$6$ Трассировка системных/прикладных вызовов
- Соберите логи системных вызовов и API:
- Linux: `strace`, `ltrace`, `bcc/eBPF`/sysdig для syscall‑трейса.
- Windows: Sysinternals Procmon, Sysmon/ETW, API Monitor.
- Отслеживайте последовательности: аллокация → запись кода → изменение прав → переход на код.
- Логируйте сетевые активности, файловые операции, процессы‑дети, загрузки DLL.
$7$ Контроль целостности и сравнение с диском
- Сравните исполняемые секции процесса с on‑disk бинарями (извлеките PE/ELF из процесса и сравните хеши с файлами на диске).
- Проверяйте подписи кода (Authenticode, ELF signatures).
- Ищите inline‑patching (различия в секциях .text), IAT/PLT‑перехват.
- Инструменты: PE‑sieve, YARA для поиска in‑memory модификаций, `ssdeep`/компараторы хешей.
$8$ Автоматизированное и поведенческое определение
- Запустите YARA‑правила и сигнатуры (custom + коллеги/AV).
- Поведенческий анализ: воспроизведите в песочнице (Cuckoo, Any.Run) и проанализируйте API, сетевой трафик, постэксплуатационные действия.
- Инструменты: Cuckoo Sandbox, Any.Run, VirusTotal (для извлечённых бинарников/сигнатур).
$9$ Документирование и восстановление цепочки событий
- Запишите хронологию: как код попал в память, какие системные вызовы изменили права, кто инициировал процесс (parent PID), сетевые/файловые следы.
- Сохраняйте все артефакты с хешами и метаданными.
Критерии отличия эксплойта от ложной тревоги (ключевые признаки)
- Признаки эксплойта:
- Наличие последовательности «аллокация → запись кодa → изменение прав → исполнение» (например, `VirtualAlloc`/`mmap` + запись + `VirtualProtect` + indirect jump).
- ROP‑шаблоны, shellcode‑подписки, известные exploit‑yara‑правила.
- Аномальная сетевая активность (C2, исходящие соединения на подозрительные адреса).
- Процессы‑инжекторы: `WriteProcessMemory` + `CreateRemoteThread`/`NtCreateThreadEx`.
- Высокая энтропия и отсутствующие легитимные символы/импорты (малварь обычно минималистична).
- Отсутствие соответствия on‑disk бинарю (в памяти запущен другой код).
- Появление persistence‑артефактов или командной оболочки/обфусцированных команд.
- Признаки ложной тревоги:
- JIT‑компиляторы (V8, .NET RyuJIT, Java HotSpot) регулярно генерируют исполняемый код в данных, меняют права и выполняют их — это легитимно.
- Антивирусные/EDR‑агенты, системы профилирования или трапперы могут инжектить код.
- Бенчмаркинг/динамические оптимизаторы, легальные unpackers/packers (эпизодический распаковочный код) при запуске приложения.
- Код соответствует известной библиотеке/модулю и совпадает с on‑disk артефактом.
- Отсутствие вредоносных последующих действий (нет C2, нет повышения привилегий, нет persistence).
Рекомендации по окончательному решению
- Если наблюдается ключевая последовательность аллокации→запись→RP→исполнение и поведение вредоносно — считать эксплойтом/компрометацией.
- Если обнаружены JIT/легитимные исполняемые сегменты — сверить с белыми списками процессов/модулей и проверить цифровые подписи.
- При сомнении: провести детальное динамическое исследование в изолированной среде + применить эвристические YARA‑правила и консультацию threat‑intel.
Полезные инструменты (обзор)
- Forensics/Memory: Volatility, Rekall, LiME (Linux), Belkasoft.
- Дизассемблер/Реверс: Ghidra, IDA Pro, Binary Ninja, radare2.
- Отладка: WinDbg, x64dbg, gdb, rr.
- Tracing/Instrumentation: Sysmon/Procmon, strace/ltrace, sysdig, Frida, PIN, DynamoRIO.
- Авто‑анализ: Cuckoo Sandbox, PE‑sieve, YARA, VirusTotal.
- Сеть/мониторинг: Bro/Zeek, Wireshark, Suricata.
Коротко: последовательность действий — сохранить/изолировать → найти и вытащить код в данных → статически дизассемблировать → динамически отладить с трассировкой syscalls → проверить целостность/подписи и поведение → сопоставить с контекстом процесса (JIT/EDR/легитимные техники). Эксплойт подтверждается комбинацией технических индикаторов (аллокация+запись+смена прав+исполнение, ROP, зловредная пост‑активность); иначе — искать легитимные объяснения (JIT, unpacker, AV).