Мне нужно специально поймать вирус/вредоносное ПО на виртуальной машине и продемонстрировать заражение с помощью анализа журналов Windows. Я использую и syslog, и eventlog analyzer, но никаких признаков событий не регистрируется. Я специально поймал некоторое низкоуровневое вредоносное ПО (из установок панелей инструментов и инструментов захвата браузеров). Мне нужно что-то более злое?
Ребята, можете ли вы мне помочь разобраться, что мне нужно делать?
решение1
Как правило, вирусы/вредоносные программы специально разработаны таким образом, чтобы не делать ничего, что мог бы увидеть пользователь, включая создание файлов журналов и/или событий в средстве просмотра событий.
Вам придется изменить просмотрщик событий для регистрации/мониторинга всех событий реестра, файлов и сети, и тогда у вас будет еще большая проблема. Такой мониторинг генерирует сотни записей в секунду. Затем вашей программе придется отсеивать из потока событий хорошие события от плохих.
Если бы это было просто, антивирусные компании давно бы победили злодеев и прекратили бы писать вирусы, но это очень сложно.
Я настроил такие мониторы для диагностики неправильно работающих программ, но за несколько минут у вас появляется более 100 000 событий, которые вам приходится отсеивать вручную.
Существуют также руткиты, специально разработанные для того, чтобы помешать даже такому виду мониторинга.
Попробуйте эту программу, но учтите, что вы быстро получите 1 000 000 событий. https://technet.microsoft.com/en-us/sysinternals/bb896645.aspx