GNU/Linux >> Znalost Linux >  >> Linux

Jak sledovat akce prováděné virem?

Důrazně doporučuji spustit ten virus v umělém prostředí, jako je sandbox, takže neovlivníte svůj osobní počítač! Tímto způsobem můžete sledovat jeho aktivitu prostřednictvím rozhraní CLI/GUI specifického pro karanténu.

Příklad pískoviště:pískoviště s kukačkou, pískoviště atd.

Opak:

Použijte virtuální prostředí k testování malwaru a ručnímu sledování jeho aktivity.


Po faktech? Velmi nepravděpodobné, pokud nemáte úplné protokolování výstupu a vzdálené auditní soubory systému, který byl kompromitován, a ani pak není 100% spolehlivý.

Pokud chcete vědět, co dělá Virus, vždy existují analyzátory malwaru, jako je Kukačka.


Není jasné, zda plánujete jak to udělat v případě máte virus nebo jste ho již měli a chcete reagovat na incidenty, nebo pokud máte na mysli virus a chcete ho sledovat, jak funguje.

K tomu máte některé volně dostupné nástroje, ale pokud v těchto nástrojích nejste zběhlí, selžete. Takže skutečná odpověď zní:„Osvojte si tyto nástroje, NEŽ se je pokusíte použít k reakci na incidenty“. Slovem 'zkušený' mám na mysli, že můžete rychle odfiltrovat to, co je "normální", abyste mohli rozpoznat abnormální. Vyzkoušet to může být způsob, jak se s těmito nástroji zdokonalit, ale neočekávejte, že budete úspěšní, když se budete učit.
Pokud má virus oprávnění správce, může způsobit, že tyto nástroje nebudou spolehlivé.
Nástroje, o kterých přemýšlím, jsou...

  1. Protokoly událostí systému Windows :Toto je první zastávka ve forenzní rekonstrukci toho, co se stalo. Nemyslím "forenzně zdravý" jako "použitelný jako důkaz". Tento dokument v Sans Reading Room podrobně popisuje některé způsoby použití protokolů událostí Windows, včetně překlepů běžných spustitelných souborů a procesů běžících z nestandardní cesty.
  2. Netstat :Pokud komunikace probíhá, Netstat dokáže identifikovat proces, který komunikuje se škodlivými hostiteli.
  3. Monitor procesu :Podívejte se, jaké akce výše uvedený proces provádí. To nebude užitečné, pokud se snažíte naučit věci dodatečně.
  4. Wireshark :analyzovat komunikaci tohoto viru na úrovni paketů. Co je obsaženo v těchto TCP paketech? Jaké techniky používá k obcházení bezpečnostních kontrol a zabránění odhalení? Dobrá inspirace pro použití Wireshark tímto způsobem pochází z této vynikající prezentace na konferenci Wireshark. Ano, je to více než 1 hodina, ale stojí to za to.

Existuje mnoho dalších nástrojů pro analýzu malwaru, o kterých nemám žádné znalosti.


Linux

  1. Jak používat příkaz basename?

  2. Jak zkopírovat rozložení diskových oddílů celého disku pomocí standardních nástrojů?

  3. Linux – Jak sledovat program Java?

  1. Jak změnit název hostitele?

  2. Jak trasovat Python skripty pomocí trace.py

  3. Jak mohu randomizovat řádky v souboru pomocí standardních nástrojů v Red Hat Linuxu?

  1. Jak přidat položky manuálové stránky pro vlastní elektrické nástroje?

  2. Jak nainstalovat R 3.3.1 do vlastního adresáře?

  3. Jak zkontrolovat HZ v terminálu?