Belajar dengan berlatih: Melanjutkan proses pemetaan

  • Whatsapp
Belajar dengan berlatih: Melanjutkan proses pemetaan
Belajar dengan berlatih Melanjutkan proses pemetaan

News.nextcloud.asia

Di posting sebelumnya ini dan dari konten yang terkait dengan buku saya Retas dan Deteksi, saya mendemonstrasikan bagaimana Anda dapat memetakan TTP penyerang dari perspektif visual. Pemetaan ini segera memberi Anda wawasan yang terlihat tentang aktivitas penyerang.

Posting ini berfokus pada ProcDOT yang diproduksi oleh tim Austria Cert.

Alat ini memproses file log Sysinternals Process Monitor bersama dengan file PCAP yang dihasilkan oleh alat seperti Tcpdump, TShark, Wireshark, dll.

Tanpa basa-basi lagi mari kita pergi. Meskipun ada versi Windows dan Linux untuk posting ini, saya akan mengunduh dan menggunakan Windows.

Setelah kami mengunduh dan mengekstrak konten file, saya kemudian menjalankan Procdot dengan menjalankan “procdot.exe”.

Anda kemudian diminta untuk memastikan jalur plugin Anda dikonfigurasi dengan benar. Secara khusus situs web bersikeras Anda membaca “readme.txt”. Mereka bertanya dengan baik sehingga Anda harus memastikan Anda membacanya. Setelah Anda membacanya, Anda akan melihat bahwa Anda harus memiliki windump.exe dan graphiviz di sistem Anda.

Sementara saya meluangkan waktu untuk melakukan konfigurasi di atas, harus dicatat bahwa saya tidak dapat menjalankan Windump di VM Windows 10 saya.

Sekarang, dapatkan log dari Monitor Proses untuk melihat apa yang dapat kita pelajari tentang proses di sistem kita.

Untuk kepentingan waktu dan agar tetap sederhana, saya akan fokus pada cmd.exe sebagai proses induk.

Setelah membuka Process Monitor, saya kemudian pergi ke “File” -> “Capture Events” untuk menonaktifkan perekaman peristiwa sebelum saya membersihkan layar.

Selanjutnya, saya membuat filter untuk “Nama Proses adalah cmd.exe”

Sekarang setelah filter disetel, saya kemudian kembali ke “File” -> “Capture Events” untuk memulai perekaman event.

Setelah menjalankan beberapa perintah di “cmd.exe”, saya kemudian berhenti merekam acara. Selanjutnya simpan file untuk input ke ProcDOT dengan masuk ke “File” -> “Save”.

Selanjutnya kita melihat ProcDOT menghasilkan beberapa informasi untuk proses cmd.exe dan utasnya. Kami tidak melihat proses ini melahirkan anak-anak. Ini kemungkinan besar karena filter yang kami gunakan dengan Monitor Proses.

Sekarang mari kita ambil file di mana kita belum menetapkan filter tertentu dan yang menangkap selama 1 menit untuk melihat apa yang kita dapatkan. –

Terlihat jauh lebih menarik. Namun, ada juga lebih banyak data untuk kami analisis. Di situlah keterampilan analisis Anda sekarang masuk.

Referensi:

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.