GNU/Linux >> Linux の 問題 >  >> Linux

ウイルスによって実行されたアクションを追跡する方法は?

強くお勧めします サンドボックスのような人工的な環境でそのウイルスを実行して、パソコンに影響を与えないようにします。このようにして、サンドボックス固有の CLI/GUI を介してそのアクティビティを追跡できます。

サンドボックスの例:Cuckoo Sandbox、Sandboxie など

逆:

仮想環境を使用してマルウェアをテストし、そのアクティビティを手動で追跡します。


事実の後?侵害されたシステムの完全な出力ログとリモート監査ファイルがない限り、可能性は非常に低く、それでも 100% 信頼できるわけではありません。

ウイルスが何をするのかを知りたければ、Cuckoo のようなマルウェア アナライザーが必ずあります。


計画しているかどうか不明 これを行う方法について万一 ウイルスに感染している、または既にウイルスに感染していて、インシデント対応を行いたい場合、またはウイルスのことを考えていて、その動作を確認したい場合。

これを行うための無料のツールがいくつかありますが、これらのツールに習熟していなければ失敗します。したがって、本当の答えは、「インシデント対応に使用する前に、これらのツールに習熟する」ことです。 「熟練」とは、「正常」をすばやく除外して、異常を見つけることができることを意味します。これを試すことで、これらのツールに習熟することができますが、学習中に成功するとは期待しないでください。
ウイルスに管理者権限がある場合、これらのツールが信頼できなくなる可能性があります。
私が考えているツールは...

<オール>
  • Windows イベント ログ :これは、何が起こったかの法医学的再構成の最初の停止です。 「証拠として使える」のように「法医学的に正しい」という意味ではありません。 Sans Reading Room のこのペーパーでは、一般的な実行可能ファイルのスペルミスや非標準パスから実行されるプロセスなど、Windows イベント ログの使用方法について詳しく説明しています。
  • ネット統計 :通信が進行中の場合、Netstat は悪意のあるホストと通信しているプロセスを特定できます。
  • プロセス モニター :上記のプロセスが実行しているアクションを確認します。これは、事後的に学習しようとしている場合には役に立ちません。
  • Wireshark :このウイルスのパケットレベルの通信を分析します。これらの TCP パケットには何が含まれていますか?セキュリティ制御を迂回して検出を回避するために、どのような手法を使用していますか?この方法で Wireshark を使用するための良いインスピレーションは、Wireshark カンファレンスでのこの優れたプレゼンテーションから得られます。はい、1 時間以上かかりますが、それだけの価値はあります。

    • 私が知らないマルウェア分析ツールは他にもたくさんあります。


    Linux

    1. 独自の動力工具のマニュアルページエントリを追加するにはどうすればよいですか?

    2. 自分のディレクトリにR3.3.1をインストールする方法は?

    3. Hudを呼び出す方法は?

    1. Ubuntu でホスト名を変更する方法

    2. ターミナルでHZを確認するには?

    3. rpm の内容を抽出するにはどうすればよいですか?

    1. Linuxがメインフレームに登場した経緯

    2. basenameコマンドの使用方法は?

    3. カーネル/ツール内でツールをコンパイル、インストール、実行するにはどうすればよいですか?