ウイルスによって実行されたアクションを追跡する方法は?
ウイルスによって実行されたアクションを追跡することは可能ですか?実行時間、盗まれたデータと相談されたファイルは私のPCに相対的な影響を与えますか?
強くお勧めしますウイルスをサンドボックスのような人工的な環境で実行して、パソコンに影響を与えないようにします。このようにして、サンドボックス固有のCLI/GUIを通じてそのアクティビティを追跡できます。
サンドボックスの例:カッコウサンドボックス、サンドボックスなど.
逆の方法:
仮想環境を使用してマルウェアをテストし、そのアクティビティを手動で追跡します。
事実の後?侵害されたシステムの完全な出力ログとリモート監査ファイルがない限り、100%信頼できるとは限りません。
ウイルスの機能を知りたい場合は、Cuckooのようなマルウェアアナライザーが常にあります。
次のサイトをご覧ください: https://www.hybrid-analysis.com/
ファイルをシステムに送信して、詳細なレポートを取得できます。
計画中これを行う方法についてケースウイルスに感染しているか、すでにウイルスに感染していてインシデント対応を行いたいか、またはウイルスを念頭に置き、ウイルスがその機能を実行するのを監視したい。
これを行うための無料のツールがいくつかありますが、これらのツールに熟練していないと失敗します。したがって、本当の答えは、「これらのツールを使用してインシデント対応を行う前に、これらのツールに習熟することです。 「熟練」とは、「正常」なものをすばやく除外して、異常を見つけることができることを意味します。これを試すことは、これらのツールに習熟するための1つの方法ですが、学習している間は成功するとは期待しないでください。
ウイルスに管理者権限がある場合、これらのツールが信頼できなくなる可能性があります。
私が考えているツールは...
- Windowsイベントログ:これは、何が起こったかのフォレンジック再構築の最初の停止です。 「証拠として使用可能」のように「法医学的に健全」を意味するものではありません。 Sans Reading Room のこのペーパーでは、一般的な実行可能ファイルのスペルミスや非標準パスから実行されているプロセスのスペルミスなど、Windowsイベントログの使用方法について詳しく説明しています。
- Netstat:通信が継続している場合、Netstatは悪意のあるホストと通信しているプロセスを識別できます。
- Process Monitor:上記のプロセスが実行しているアクションを確認します。事後的に物事を学ぼうとするなら、これは役に立ちません。
- Wireshark:このウイルスのパケットレベルの通信を分析します。これらのTCPパケットには何が含まれていますか?セキュリティ制御をバイパスして検出を回避するためにどのようなテクニックを使用していますか?このようにWiresharkを使用するための良いヒントは、この Wireshark会議 。はい、1時間以上ですが、それだけの価値があります。
私が知らないマルウェア分析ツールは他にもたくさんあります。