Vi segnalo una suite estremamente utile quando serve ispezionare un sistema “live”: Windows Sysinternals è uno strumento (ufficiale Microsoft) indicato per troubleshooting, forensics on-site ed incident response: offre visibilità immediata su processi, meccanismi di persistenza e comunicazioni di rete.
Si rivela particolarmente adatto quando si sospetta un’intrusione e occorre determinare quali processi sono coinvolti e quali dipendenze/artefatti risultano manipolati da un attaccante.
Cosa permette di fare la suite Sysinternals:
- Process Explorer: abilita Verify Signatures e VirusTotal; osserva relazioni parent-child e DLL anomale
- Autoruns / autorunsc: mappa le persistenze (Run, Services, Tasks, WMI)
Esempio: autorunsc.exe -m -s -v -ct - TCPView: individua beaconing/C2 e listener anomali, correlando i flussi di rete ai processi
- Sigcheck: audit dei binari core con verifica firme e reputazione
Esempio: sigcheck.exe -u -e -s -v -vt C:WindowsSystem32 - Procmon: tracing mirato con BackingFile e filtri .pmc per ridurre il rumore
- Strings (opz.): IOC rapidi da binari sospetti
- Sysmon (se policy): telemetria persistente per hunting e timeline
