Malware abfangen und anhand von Windows-Protokollen demonstrieren

683
David Torreggiani

Ich muss absichtlich einen Virus / Malware auf einer VM abfangen und die Infektion durch die Windows-Protokollanalyse demonstrieren. Ich verwende sowohl Syslog als auch Eventlog Analyzer, aber es wurden keine Ereignisse protokolliert. Ich habe absichtlich Malware auf niedriger Stufe (von Toolbar-Installationen und Browser-Hijacking-Tools) erwischt. Brauche ich etwas Böses?

Können Sie mir helfen, herauszufinden, was ich tun muss?

0
Welche Windows-Version verwenden Sie und welche Antiviren- oder andere Software verwenden Sie zum Erkennen von Malware auf dem System? moonpoint vor 9 Jahren 0
Windows 7 pro 32. Ich habe kein AV, auch die Firewall ist deaktiviert. David Torreggiani vor 9 Jahren 0
Wenn Sie keine Antivirensoftware haben, was erwarten Sie, um einen Protokolleintrag zu erstellen, der die Infektion nachweist? Gibt es ein Verhalten, das für eine bestimmte Malware spezifisch ist, von der Sie erwarten, dass sie protokolliert wird? moonpoint vor 9 Jahren 0
Ich werde den AV installieren, um Protokolleinträge zu erstellen, danke. Nichts Bestimmtes, ich versuche, eine Infektion mit den niedrigsten Sicherheitseinstellungen im Internet Explorer und einer verwundbaren Version des Adobe Reader zu demonstrieren. Kennen Sie bekannte infizierte Websites? David Torreggiani vor 9 Jahren 0

1 Antwort auf die Frage

1
cybernard

Im Allgemeinen sind Viren / Malware speziell dafür ausgelegt, nichts zu tun, was der Benutzer nicht sehen kann, einschließlich der Generierung von Protokolldateien und / oder Ereignissen in der Ereignisanzeige.

Sie müssten die Ereignisanzeige ändern, um alle Registrierungs-, Datei- und Netzwerkereignisse zu protokollieren / zu überwachen, und Sie hätten dann ein noch größeres Problem. Durch diese Überwachung werden Hunderte von Einträgen pro Sekunde generiert. Ihr Programm müsste dann die guten Ereignisse von den schlechten Ereignissen aus dem Ereignisstrom herausfiltern.

Wenn dies einfache Antiviren-Unternehmen wären, hätten sie die Bösewichte schon vor Jahren besiegt und hätten das Schreiben von Viren aufgegeben, aber es ist sehr komplex.

Ich habe solche Monitore eingerichtet, um Miss-Verhalten-Programme zu diagnostizieren, aber in wenigen Minuten haben Sie mehr als 100.000 Ereignisse, die Sie manuell durchgehen müssen.

Dann gibt es Rootkits, die speziell entwickelt wurden, um auch diese Art der Überwachung zu verhindern.

Probieren Sie dieses Programm aus. Beachten Sie jedoch, dass Sie schnell 1.000.000 Ereignisse erhalten. https://technet.microsoft.com/de-de/sysinternals/bb896645.aspx

Verwandte Probleme