我需要在虚拟机上故意捕获病毒/恶意软件,并通过 Windows 日志分析证明感染情况。我同时使用 syslog 和 eventlog 分析器,但没有记录事件的迹象。我故意捕获了一些低级恶意软件(来自工具栏安装和浏览器劫持工具)。我需要更邪恶的东西吗?
你们能帮我弄清楚我需要做什么吗?
答案1
一般来说,病毒/恶意软件被专门设计为不执行用户可以看到的任何操作,包括在事件查看器中生成日志文件和/或事件。
您必须更改事件查看器以记录/监控所有注册表、文件和网络事件,然后您将面临更大的问题。这样的监控每秒会生成 100 个条目。然后您的程序必须从事件流中筛选出好事件和坏事件。
如果这很简单,反病毒公司早就打败坏人了,他们也会放弃编写病毒,但这非常复杂。
我已经设置了这样的监视器来诊断行为不当的程序,但几分钟内你就会有超过 100,000 个事件需要你手动筛选。
还有一些 rootkit 是专门为阻止这种监控而设计的。
尝试一下这个程序,但请注意,您将很快获得 1,000,000 个事件。 https://technet.microsoft.com/en-us/sysinternals/bb896645.aspx