No momento, estou lendo o "Cookbook e DVD do analista de malware". Há um capítulo "Análise Dinâmica" e há também algumas receitas sobre como ligar e monitorar as chamadas de processo da API, mas é para o Windows.
Eu quero fazer a mesma coisa como a receita 9-10 explica, mas para o Linux. 9-10 é chamado de "Processo de Captura, Thread e Eventos de Carregamento de Imagem".
Nesta receita, é mostrado "como implementar um driver que avisa quando ocorrem quaisquer eventos no sistema enquanto o seu tipo de malware é executado". Ele usa as funções da API do Windows Driver Kit (WDK) para chamar uma função de retorno de chamada definida pelo usuário. Ele usa as funções de retorno de chamada:
- Função de retorno de chamada de criação de processo chamada PsSetCreateProcessNotifyRoutine (...)
- Função de retorno de chamada de criação de thread chamada PsSetCreateThreadNotifyRoutine (...)
- Função de retorno de chamada de carregamento de imagem chamada PsSetLoadImageNotifyRoutine (...).
E quando ocorrer algum evento, ele será exibido como uma mensagem de depuração que pode ser exibida em, por exemplo, DebugView.
Parece bem documentado para o Windows e é fácil encontrar informações para isso, mas tenho um pequeno problema em encontrar informações para o Linux.
Eu encontrei uma introdução geral para os drivers e um para enganchar, mas eu ainda não encontrei nenhum que não seja tão geral ou pelo menos um pouco mais focado na análise de malware.
Eu ficaria feliz em receber dicas para outras leituras ou tutoriais recomendados sobre este tópico.