GNU/Linux >> Linux Esercitazione >  >> Linux

Come tracciare le azioni eseguite da un virus?

Consiglio vivamente per eseguire quel virus in un ambiente artificiale come una sandbox in modo da non influire sul tuo personal computer! In questo modo puoi tenere traccia della sua attività attraverso la CLI/GUI specifica della sandbox.

Esempio di sandbox:Cuckoo Sandbox, Sandboxie, ecc.

Al contrario:

Utilizza un ambiente virtuale per testare il malware e tracciare manualmente la sua attività.


Dopo i fatti? Molto improbabile a meno che tu non abbia una registrazione completa in uscita e file di controllo remoti del sistema che è stato compromesso e anche in questo caso non è affidabile al 100%.

Se vuoi sapere cosa fa un virus, ci sono sempre analizzatori di malware come Cuckoo.


Non è chiaro se stai pianificando per sapere come farlo in caso hai un virus o hai già avuto un virus e vuoi rispondere agli incidenti, o se hai in mente un virus e vuoi vederlo fare il suo lavoro.

Hai alcuni strumenti disponibili gratuitamente per farlo, ma se non sei esperto in questi strumenti, fallirai. Quindi, la vera risposta è "diventa esperto con questi strumenti PRIMA di tentare di usarli per rispondere agli incidenti". Con "competente" intendo che puoi filtrare rapidamente ciò che è "normale" in modo da poter individuare l'anormale. Provare questo può essere un modo per diventare abili con questi strumenti, ma non aspettarti di avere successo mentre stai imparando.
Se il virus ha privilegi di amministratore, può rendere questi strumenti non affidabili.
Gli strumenti a cui sto pensando sono...

  1. Registri eventi di Windows :Questa è la prima tappa nella ricostruzione forense di quanto accaduto. Non intendo "valido dal punto di vista forense" come in "utilizzabile come prova". Questo documento nella Sans Reading Room descrive in dettaglio alcuni modi per utilizzare i registri eventi di Windows, inclusi errori di ortografia di eseguibili comuni e processi in esecuzione da un percorso non standard.
  2. Netstat :Se la comunicazione è in corso, Netstat può identificare il processo che sta comunicando con host dannosi.
  3. Monitoraggio dei processi :vedere quali azioni sta eseguendo il processo di cui sopra. Questo non sarà utile se stai cercando di imparare cose dopo il fatto.
  4. Wireshark :analizzare la comunicazione a livello di pacchetto di questo virus. Cosa è contenuto in quei pacchetti TCP? Quali tecniche utilizza per aggirare i controlli di sicurezza ed evitare il rilevamento? Una buona ispirazione per utilizzare Wireshark in questo modo viene da questa eccellente presentazione a una conferenza di Wireshark. Sì, dura più di 1 ora, ma ne vale la pena.

Esistono molti altri strumenti per l'analisi del malware di cui non sono a conoscenza.


Linux

  1. Come installare R 3.3.1 nella propria directory?

  2. Come copiare il layout della partizione di un intero disco utilizzando strumenti standard?

  3. Linux:come tracciare un programma Java?

  4. Come modificare il nome host?

  5. Come ruotare lo schermo su un Raspberry Pi 3

Come installare strumenti di sviluppo in Linux

Come impostare il nome host Pretty

Come estraggo il contenuto di un rpm?

Come emulare il Raspberry Pi 2 su QEMU?

Come rintracciare un programma Java?

Come posso compilare, installare ed eseguire gli strumenti all'interno del kernel/tools?