ProcessScanner e Mandiant Red Curtain sono due interessanti tool gratuiti in grado di esaminare i programmi in esecuzione.
Non è sempre facile verificare cosa succede “dietro le quinte” in un sistema Windows e per i tecnici di sicurezza la scansione del PC è un problema non di poco conto. In questo articolo segnaliamo due tool che consentono di analizzare il sistema alla ricerca di possibili malware.
Il primo è ProcessScanner. Si tratta di un interessante software gratuito, ancora poco conosciuto, che si occupa di esaminare le applicazioni in esecuzione confrontando le informazioni trovate con quelle memorizzate nel database online mantenuto dalla software house produttrice.
Dopo aver installato il programma, cliccando sul pulsante Start process scan, verrà avviata la procedura di scansione del sistema, alla ricerca di applicazioni in esecuzione dannose oppure potenzialmente nocive.
Il responso dell’analisi è visualizzato attraverso il browser Web e gli eventuali componenti dannosi vengono chiaramente evidenziati.
Il secondo è Mandiant Red Curtain (MRC), un’interessante soluzione che offre una serie di strumenti per l’analisi dei componenti software in esecuzione. Nell’attività di individuazione degli elementi potenzialmente nocivi, MRC impiega un approccio totalmente differente rispetto ai tradizionali software antivirus.
Le caratteristiche di ciascun file che vengono poste sotto la lente, da parte di MRC, sono, ad esempio, gli eventuali algoritmi di compressione usati, il compilatore sfruttato dallo sviluppatore, la presenza di firme digitali oltre a molti altri aspetti aggiuntivi. Uno dei più importanti è l'”entropia”.
Parlando di “entropia” solitamente il pensiero corre alla fisica ed, in particolare, alla termodinamica. In realtà il concetto di entropia può essere esteso a numerosi altri campi tra i quali anche la teoria dell’informazione.
Se in termodinamica, l’entropia funge da misura del disordine di un sistema fisico o, più in generale, dell’universo, MRC si appoggia a questo concetto nell’analizzare i file memorizzati sul sistema. Più l’entropia è elevata e più l’elemento oggetto di analisi potrebbe rivelarsi sospetto. Documenti e immagini sono file con una struttura ordinata, decisamente poco “entropica”.
Abbinando le valutazioni effettuate osservando le varie caratteristiche proprie di un file, MRC genererà un punteggio finale, in grado di riflettere il livello di pericolosità di un oggetto memorizzato sul sistema.
Ovviamente, il giudizio espresso da parte di MRC non dovrà essere considerato come definitivo ma sarà utile per mettere in allerta il tecnico di sicurezza ed indurlo a compiere ulteriori investigazioni.
E’ bene tenere presente che nel caso in cui, sul sistema in uso, siano installate soluzioni antivirus od antimalware, è assai probabile che MRC indichi come sospette alcune loro componenti. Ciò è assolutamente normale perché molte suite per la sicurezza operano a livello kernel per poter offrire un valido livello di protezione.