Necesito detectar un virus/malware a propósito en una máquina virtual y demostrar la infección mediante el análisis de registros de Windows. Estoy usando el analizador syslog y eventlog, pero no hay señales de eventos registrados. Capté a propósito algún malware de bajo nivel (de instalaciones de barras de herramientas y herramientas de secuestro de navegadores). ¿Necesito algo más malvado?
¿Pueden ayudarme a descubrir qué debo hacer?
Respuesta1
Generalmente, los virus/malware están diseñados específicamente para hacer nada que el usuario pueda ver, incluida la generación de archivos de registro y/o eventos en el visor de eventos.
Tendría que cambiar el visor de eventos para registrar/monitorear todos los eventos de registro, archivos y red y luego tendría un problema aún mayor. Un monitoreo como este genera cientos de entradas por segundo. Su programa entonces tendría que separar del flujo de eventos los eventos buenos de los malos.
Si esto fuera simple, las empresas antivirus habrían vencido a los malos hace mucho tiempo y habrían dejado de escribir virus, pero es muy complejo.
He configurado monitores como este para diagnosticar programas que se comportan mal, pero en cuestión de minutos tienes más de 100.000 eventos que debes examinar manualmente.
Luego están los rootkits que están diseñados específicamente para frustrar incluso este tipo de seguimiento.
Pruebe este programa, pero tenga en cuenta que obtendrá 1.000.000 de eventos rápidamente. https://technet.microsoft.com/en-us/sysinternals/bb896645.aspx