Ich empfehle dringend diesen Virus in einer künstlichen Umgebung wie einer Sandbox auszuführen, damit Sie Ihren PC nicht beeinträchtigen! Auf diese Weise können Sie seine Aktivität über die Sandbox-spezifische CLI/GUI verfolgen.
Sandbox-Beispiel:Cuckoo Sandbox, Sandboxie usw.
Umgekehrt:
Verwenden Sie eine virtuelle Umgebung, um die Malware zu testen und ihre Aktivität manuell zu verfolgen.
Nach den Fakten? Sehr unwahrscheinlich, es sei denn, Sie haben eine vollständige Ausgangsprotokollierung und Remote-Audit-Dateien des kompromittierten Systems, und selbst dann ist es nicht 100% zuverlässig.
Wenn Sie wissen möchten, was ein Virus tut, gibt es immer Malware-Analysatoren wie Cuckoo.
Nicht klar, ob Sie planen wie man das für den Fall macht Sie haben einen Virus oder hatten bereits einen Virus und möchten auf Vorfälle reagieren, oder wenn Sie einen Virus im Sinn haben und ihm bei der Arbeit zusehen möchten.
Sie haben einige frei verfügbare Tools, um dies zu tun, aber wenn Sie diese Tools nicht beherrschen, werden Sie scheitern. Die eigentliche Antwort lautet also:„Machen Sie sich mit diesen Tools vertraut, BEVOR Sie versuchen, sie für die Reaktion auf Vorfälle zu verwenden“. Mit „kompetent“ meine ich, dass Sie schnell herausfiltern können, was „normal“ ist, damit Sie das Abnormale erkennen können. Dies auszuprobieren kann eine Möglichkeit sein, sich mit diesen Tools vertraut zu machen, aber erwarten Sie nicht, dass Sie beim Lernen erfolgreich sind.
Wenn der Virus über Administratorrechte verfügt, kann dies dazu führen, dass diese Tools nicht zuverlässig sind.
Die Werkzeuge, an die ich denke, sind...
- Windows-Ereignisprotokolle :Dies ist die erste Station der forensischen Rekonstruktion dessen, was passiert ist. Ich meine nicht "forensisch einwandfrei" wie "als Beweismittel verwendbar". Dieses Dokument im Sans-Lesesaal beschreibt einige Möglichkeiten zur Verwendung der Windows-Ereignisprotokolle, einschließlich Rechtschreibfehler bei häufigen ausführbaren Dateien und Prozessen, die von einem nicht standardmäßigen Pfad ausgeführt werden.
- Netstat :Wenn die Kommunikation andauert, kann Netstat den Prozess identifizieren, der mit böswilligen Hosts kommuniziert.
- Prozessmonitor :Sehen Sie, welche Aktionen der obige Prozess ausführt. Dies ist nicht hilfreich, wenn Sie versuchen, Dinge im Nachhinein zu lernen.
- Wireshark :Analysieren Sie die Kommunikation auf Paketebene dieses Virus. Was ist in diesen TCP-Paketen enthalten? Welche Techniken verwendet es, um Sicherheitskontrollen zu umgehen und eine Entdeckung zu vermeiden? Eine gute Inspiration für die Verwendung von Wireshark auf diese Weise kommt von dieser hervorragenden Präsentation auf einer Wireshark-Konferenz. Ja, es dauert mehr als 1 Stunde, aber es lohnt sich.
Es gibt viele weitere Tools zur Malware-Analyse, von denen ich keine Ahnung habe.