我需要在虛擬機器上故意捕獲病毒/惡意軟體,並透過 Windows 日誌分析來演示感染情況。我正在使用系統日誌和事件日誌分析器,但沒有記錄事件的跡象。我故意捕獲了一些低階惡意軟體(來自工具列安裝和瀏覽器劫持工具)。我需要更邪惡的東西嗎?
你們能幫我弄清楚我需要做什麼嗎?
答案1
通常,病毒/惡意軟體專門設計為不執行使用者看不到的任何操作,包括在事件檢視器中產生日誌檔案和/或事件。
您必須變更事件檢視器以記錄/監視所有登錄、檔案和網路事件,然後您將遇到更大的問題。這樣的監控每秒鐘會產生數百個條目。然後,您的程式必須從事件流中篩選出好事件和壞事件。
如果這是簡單的話,防毒公司早就打敗了壞人,他們就會放棄寫病毒,但它非常複雜。
我設定了這樣的監視器來診斷行為異常的程序,但幾分鐘之內就有 100,000 多個事件,您必須手動篩選這些事件。
還有專門設計用於阻止此類監控的 Rootkit。
嘗試此程序,但請注意您將快速獲得 1,000,000 個事件。 https://technet.microsoft.com/en-us/sysinternals/bb896645.aspx