VM에서 의도적으로 바이러스/악성 프로그램을 포착하고 Windows 로그 분석을 통해 감염을 입증해야 합니다. syslog와 eventlog 분석기를 모두 사용하고 있지만 이벤트 로그가 기록되지 않습니다. 나는 의도적으로 일부 낮은 수준의 악성 코드(툴바 설치 및 브라우저 하이재킹 도구에서)를 발견했습니다. 더 사악한 것이 필요합니까?
내가 무엇을 해야 하는지 알아낼 수 있도록 도와주실 수 있나요?
답변1
일반적으로 바이러스/악성 프로그램은 이벤트 뷰어에서 로그 파일 및/또는 이벤트 생성을 포함하여 사용자가 볼 수 있는 작업을 수행하지 않도록 특별히 설계되었습니다.
모든 레지스트리, 파일 및 네트워크 이벤트를 기록/모니터링하려면 이벤트 뷰어를 변경해야 하며 그러면 훨씬 더 큰 문제가 발생하게 됩니다. 이와 같은 모니터링은 초당 100개의 항목을 생성합니다. 그런 다음 프로그램은 이벤트 스트림에서 나쁜 이벤트에서 좋은 이벤트를 걸러내야 합니다.
이것이 단순한 안티 바이러스 회사라면 오래 전에 악당을 물리치고 바이러스 작성을 포기했을 것입니다. 그러나 이는 매우 복잡합니다.
나는 오작동하는 프로그램을 진단하기 위해 이와 같은 모니터를 설정했지만 몇 분 안에 수동으로 조사해야 하는 100,000개 이상의 이벤트가 발생합니다.
그런 다음 이러한 종류의 모니터링도 방해하도록 특별히 설계된 루트킷이 있습니다.
이 프로그램을 사용해 보세요. 단, 1,000,000개의 이벤트를 빠르게 얻을 수 있다는 점에 유의하세요. https://technet.microsoft.com/en-us/sysinternals/bb896645.aspx