→ L'interface principale est entièrement personnalisable.
Il est facile de distinguer les services des processus utilisateurs.
D'autant que le menu "View" permet d'affiner les affichages.
→ "System Information" : graphiques sur les usages (CPU/Mem/...)
Au passage de la souris sur les courbes, vous affichez l'historique.
Les zones peuvent être cliquées afin d'en afficher les détails.
→ Un double-clique sur le processus affiche ses propriétés.
Ce "svchost.exe" a démarré il y a 12 minutes et 19 sec.
Il y a eu injection de code malveillant sur ce programme légitime.
→ L'onglet "Handles" permet de lister les objets.
Ci-dessus, nous pouvons observer le nom du mutex.
Nous avons la possibilité d'un clique-droit de fermer un handle.
Ce qui s'avère très pratique dans les cas d'un fichier "coincé".
→ L'onglet "Memory" va lister les allocations mémoires.
Le bouton "Strings" permet de lister les chaines de caractères ASCII & UNICODE.
Évaluer un programme en cours d'exécution grâce à ses chaines de caractères.
Procédé qui ne nécessite aucune connaissance et qui fonctionne dans 70% des cas.
Il est aussi possible d'effectuer des recherches avancées, par exemple "http://"
Vous pouvez enregistrer les résultats de vos recherches dans un fichier texte.
Sur l'image, vous avez ces lignes qui sont grisées:
svchost.exe: Image (Commit), 0x1000000, 4 kB, R
svchost.exe: Image (Commit), 0x1001000, 12 kB, RX
svchost.exe: Image (Commit), 0x1004000, 4 kB, WC
svchost.exe: Image (Commit), 0x1005000, 4 kB, R
L'injection de svchost.exe ( X = eXecution )
Private (Commit), 0x4000000, 60 kB, RWX
→ Un double-clique sur l'adresse 0x4000000
Nous voyons bien la présence d'un PE.
Un peu plus loin se trouve son petit frère.
Le bouton "Save" permet d'enregistrer la zone intéressante.
Bien sûr, ça n'est qu'un préliminaire, ça ne dispense pas d'analyses.
Mais en 2 minutes chrono, j'ai évalué si faux positif (VT: 1/50) ou pas :þ