ATMMalScan - DFIR搜索ATM上的恶意软件痕迹。

ATMMalScan是Windows 7和更高版本的Windows操作系统的命令行工具，有助于在DFIR流程中在ATM上搜索恶意软件跟踪。该工具根据指定的文件路径检查系统以及硬盘的运行过程。要扫描系统，具有标准权限的用户就足够了。但是，ATMMalScan具有管理员权限，可以提供最佳结果。

已知的问题：

当前，ATMMalScan不支持需要Unicode的代码页，这意味着Windows操作系统设置为例如西里尔字母或中文字符，无法保证代表性的结果。

要求：

确保至少要扫描的ATM上已经安装了Visual Studio 2015的Visual C ++ Redistributable。

用法（示例）

步骤1 =>扫描进程内存和磁盘。===>检查设备上是否具有管理员权限以获得最佳结

Step2 => ATMMalScan在进程中检测到一个名为XFS_DIRECT的恶意软件，提供有关线程及其规则匹配的详细信息。此外，完整的进程内存转储已保存到磁盘，以捕获恶意进程，其模块以及其堆栈和堆页面。

Step3 =>转储可以在这里找到=>.\ Dump

Step4 =>使用Windbg打开转储文件，并使用“ .writemem”将ATM恶意软件提取到磁盘

步骤5 =>使用您最喜欢的PE修复程序之一修复转储的PE，然后开始详细分析恶意软件。

项目地址：

https://github.com/fboldewin/ATMMalScan