Ich muss absichtlich einen Virus/Malware auf einer VM abfangen und die Infektion durch eine Windows-Protokollanalyse nachweisen. Ich verwende sowohl den Syslog- als auch den Eventlog-Analyzer, aber es gibt keine Anzeichen von protokollierten Ereignissen. Ich habe absichtlich Malware auf niedriger Ebene abgefangen (durch Symbolleisteninstallationen und Browser-Hijacking-Tools). Brauche ich etwas Schlimmeres?
Könnt ihr mir helfen herauszufinden, was ich tun muss?
Antwort1
Im Allgemeinen sind Viren/Malware so konzipiert, dass sie für den Benutzer nichts Sichtbares tun, z. B. das Erstellen von Protokolldateien und/oder Ereignissen in der Ereignisanzeige.
Sie müssten die Ereignisanzeige ändern, um alle Registrierungs-, Datei- und Netzwerkereignisse zu protokollieren/überwachen, und dann hätten Sie ein noch größeres Problem. Eine solche Überwachung erzeugt Hunderte von Einträgen pro Sekunde. Ihr Programm müsste dann aus dem Ereignisstrom die guten von den schlechten Ereignissen trennen.
Wenn dies so einfach wäre, hätten die Antiviren-Unternehmen die Bösewichte schon vor langer Zeit besiegt und das Schreiben von Viren aufgegeben, aber der Prozess ist sehr komplex.
Ich habe Monitore wie diesen eingerichtet, um fehlerhaft funktionierende Programme zu diagnostizieren, aber innerhalb weniger Minuten hat man über 100.000 Ereignisse, die man manuell durchgehen muss.
Dann gibt es Rootkits, die speziell dafür entwickelt wurden, auch diese Art der Überwachung zu vereiteln.
Probieren Sie dieses Programm aus, aber seien Sie sich bewusst, dass Sie schnell 1.000.000 Ereignisse erhalten. https://technet.microsoft.com/en-us/sysinternals/bb896645.aspx