Catturare malware e dimostrarlo tramite i registri di Windows


0

Devo rilevare un virus / malware appositamente su una macchina virtuale e dimostrare l'infezione attraverso l'analisi dei registri di Windows. Sto usando sia syslog che l'analizzatore eventlog, ma nessun segno di eventi registrati. Ho catturato apposta del malware di basso livello (dalle installazioni di barre degli strumenti e dagli strumenti di dirottamento dei browser). Ho bisogno di qualcosa di più malvagio?

Ragazzi, potete aiutarmi a capire cosa devo fare?


Quale versione di Windows stai usando e quale antivirus o altro software stai usando per rilevare malware sul sistema?
moonpoint

Windows 7 pro 32. Non ho alcun AV, anche il firewall è disabilitato.
David Torreggiani,

Se non disponi di alcun software antivirus, cosa ti aspetti di creare una voce di registro che fornisca la prova dell'infezione? Esistono comportamenti specifici di alcuni malware che ti aspetti di essere registrato?
moonpoint

Installerò l'AV per creare voci di registro, grazie. Niente di specifico, sto cercando di dimostrare un'infezione utilizzando le impostazioni di sicurezza più basse su IE e una versione vulnerabile di Adobe Reader. Conosci siti Web infetti conosciuti?
David Torreggiani,

Risposte:


1

Generalmente, virus / malware sono progettati specificamente per non fare nulla che l'utente possa vedere, inclusa la generazione di file di registro e / o eventi nel Visualizzatore eventi.

Dovresti cambiare il visualizzatore eventi per registrare / monitorare tutti gli eventi di registro, file e rete e quindi potresti avere un problema ancora più grande. Il monitoraggio in questo modo genera 100 voci al secondo. Il tuo programma dovrebbe quindi setacciare fuori dal flusso di eventi i buoni eventi dai cattivi eventi.

Se questo fosse semplice, le aziende anti-virus avrebbero battuto i cattivi anni fa e avrebbero rinunciato a scrivere virus, ma è molto complesso.

Ho monitor di questo tipo per diagnosticare i programmi che si comportano male, ma con in pochi minuti hai più di 100.000 eventi che devi esaminare manualmente.

Quindi ci sono rootkit appositamente progettati per contrastare anche questo tipo di monitoraggio.

Prova questo programma, ma tieni presente che riceverai rapidamente 1.000.000 di eventi. https://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.