VM 上でウイルス/マルウェアを意図的に検出し、Windows ログ分析を通じて感染を実証する必要があります。Syslog とイベント ログ アナライザーの両方を使用していますが、イベントが記録された形跡はありません。低レベルのマルウェア (ツールバーのインストールやブラウザー ハイジャック ツールから) を意図的に検出しました。もっと悪質なものが必要ですか?
何をすべきか考えるのを手伝ってくれませんか?
答え1
一般的に、ウイルス/マルウェアは、ログ ファイルやイベント ビューアーでのイベントの生成など、ユーザーに見えることは何も行わないよう特別に設計されています。
すべてのレジストリ、ファイル、およびネットワーク イベントをログ/監視するようにイベント ビューアーを変更すると、さらに大きな問題が発生します。このような監視では、1 秒あたり数百のエントリが生成されます。プログラムでは、イベント ストリームから適切なイベントと不適切なイベントをふるいにかける必要があります。
もしこれが単純なものなら、ウイルス対策会社はとっくの昔に悪者を打ち負かし、ウイルスの作成を諦めていただろうが、これは非常に複雑だ。
動作不良のプログラムを診断するためにこのようなモニターを設定しましたが、数分以内に 100,000 件を超えるイベントが発生し、手動で精査する必要があります。
さらに、この種の監視さえも阻止するように特別に設計されたルートキットもあります。
このプログラムを試してみてください。ただし、すぐに 1,000,000 件のイベントが取得されることに注意してください。 https://technet.microsoft.com/ja-jp/sysinternals/bb896645.aspx