私はセキュリティドメインに慣れていないので、質問をしたいと思います。どのプログラムでも、実行したプロセスの「痕跡」を何らかのログ、ラップトップまたはPCに残しますか。はいの場合、それらを分析できますか?
Windowsシステムは、開始されたすべてのプロセスをログに記録できます システムポリシー経由 :
Windows 2003/XPでは、プロセス追跡監査ポリシーを有効にするだけでこれらのイベントを取得できます。 Windows 7/2008以降では、監査プロセスの作成を有効にする必要があり、オプションで、グループポリシーオブジェクトの[詳細な監査ポリシーの構成]にある監査プロセスの終了サブカテゴリを有効にする必要があります。
これらのイベントは、システム上の実行可能ファイルがプロセスとして開始されるたびに包括的な監査証跡を提供するため、非常に貴重です。両方のイベントにあるプロセスIDを使用して、プロセス作成イベントをプロセス終了イベントにリンクすることにより、プロセスの実行時間を判断することもできます。
Linuxシステムは、開始されたすべてのプロセスをログに記録できます auditdを使用 :
/etc/audit/audit.rulesで、以下が存在することを確認する必要があります。
_
-a exit,always -F Arch=b64 -S execve
_これにより、execveシステムコール(終了時)がキャプチャされ、これがauditdログに記録されます。ログエントリは次のようになります。
type=SYSCALL msg=audit(1318930500.123:3020171): Arch=c000003e syscall=59 success=yes exit=0 a0=7fff65179def a1=7fff65179ec0 a2=7fff6517d060 a3=7ff54ee36c00 items=3 ppid=9200 pid=9202 auid=0 uid=1000 gid=100 euid=1000 suid=1000 fsuid=1000 egid=100 sgid=100 fsgid=100 tty=(none) ses=4 comm="xscreensaver-ge" exe="/usr/bin/Perl" key=(null) type=EXECVE msg=audit(1318930500.123:3020171): argc=5 a0="/usr/bin/Perl" a1="-w" a2="/usr/bin/xscreensaver-getimage-file" a3="--name" a4="/home/welby/Pictures
データが存在する場合は、分析できます:)。ただし、これらはデータキャプチャを有効にする方法にすぎません。
いいえ、すべてのプログラムがログを生成するように設定されているわけではありません。
実行するプロセスごとにログを生成するプログラム用の「ラッパー」があり、これらはデバッグやマルウェアの調査に使用されます。