Sysinternals

Procmon
Filtros
Si conocemos el nombre de los procesos sospechosos
Process Name is $NAME
Si sospechamos de la manipulación/creación de archivos
Operation contains File
Hemos identificado algún comando de ejecución (E.g: en las strings)
Detail contains $COMMAND
Estamos buscando operaciones con sockets o similares
Operation contains [TCP/UDP]
TCPViewer
Busca e identifica rápidamente sockets y otras conexiones. Muy útil si sospechamos que puede haber algún tipo de listener o similares

Última actualización 1yr ago