Preciso capturar um vírus/malware propositalmente em uma VM e demonstrar a infecção por meio da análise de logs do Windows. Estou usando o analisador syslog e eventlog, mas nenhum sinal de eventos registrados. Eu peguei propositalmente alguns malwares de baixo nível (de instalações de barras de ferramentas e ferramentas de sequestro de navegadores). Preciso de algo mais maligno?
Vocês podem me ajudar a descobrir o que preciso fazer?
Responder1
Geralmente, vírus/malware são projetados especificamente para não fazer nada que o usuário possa ver, incluindo a geração de arquivos de log e/ou eventos no visualizador de eventos.
Você teria que alterar o visualizador de eventos para registrar/monitorar todos os eventos de registro, arquivo e rede e então teria um problema ainda maior. Monitoramento como esse gera centenas de entradas por segundo. Seu programa teria então que separar do fluxo de eventos os eventos bons dos eventos ruins.
Se isso fosse simples, as empresas de antivírus já teriam derrotado os bandidos há muito tempo e teriam desistido de criar vírus, mas é muito complexo.
Eu configurei monitores como este para diagnosticar programas com comportamento incorreto, mas em minutos você tem mais de 100.000 eventos que precisam ser examinados manualmente.
Depois, há rootkits projetados especificamente para impedir até mesmo esse tipo de monitoramento.
Experimente este programa, mas esteja ciente de que você obterá 1.000.000 de eventos rapidamente. https://technet.microsoft.com/en-us/sysinternals/bb896645.aspx