Come tracciare le azioni eseguite da un virus?

Consiglio vivamente di eseguire quel virus in un ambiente artificiale come una sandbox in modo da non influire sul tuo personal computer! In questo modo è possibile tracciare la propria attività tramite la CLI / GUI specifica della sandbox.

Esempio di sandbox: sandbox cucù, sandboxie, ecc.

Al contrario:

Utilizza un ambiente virtuale per testare il malware e tracciarne manualmente l'attività.

Dopo i fatti? Molto improbabile, a meno che non si disponga di una registrazione di uscita completa e di file di controllo remoto del sistema che sono stati compromessi e anche in questo caso non è affidabile al 100%.

Se vuoi sapere che cosa fa un virus, ci sono sempre analizzatori di malware come Cuckoo.

Non chiaro se stai pianificando per come fare questo nel caso hai un virus o hai già avuto un virus e vuoi fare una risposta agli incidenti, o se hai in mente un virus e vuoi vederlo fare il suo lavoro.

Hai alcuni strumenti disponibili gratuitamente per farlo, ma se non sei abile in questi strumenti, fallirai. Quindi, la vera risposta è "acquisire familiarità con questi strumenti PRIMA di provare a utilizzarli per fare la risposta agli incidenti". Con "competente" intendo che puoi filtrare rapidamente ciò che è "normale" in modo da poter individuare l'anormale. Provare questo può essere un modo per acquisire familiarità con questi strumenti, ma non aspettarti di avere successo mentre stai imparando.
Se il virus ha privilegi di amministratore, può causare che questi strumenti non siano affidabili.
Gli strumenti che sto pensando sono ...

1. Registri eventi di Windows : questa è la prima tappa nella ricostruzione forense di ciò che è accaduto. Non intendo "suono forense" come in "utilizzabile come prova". Questo articolo nella sala di lettura sans descrive alcuni modi per utilizzare i registri eventi di Windows, inclusi errori di ortografia di file eseguibili e processi comuni eseguiti da un percorso non standard.
2. Netstat : se la comunicazione è in corso, Netstat può identificare il processo che comunica con gli host malevoli.
3. Monitor processo : controlla quali azioni sta eseguendo il processo sopra descritto. Questo non sarà utile se stai cercando di imparare le cose dopo il fatto.
4. Wireshark : analizza la comunicazione a livello di pacchetto di questo virus. Cosa è contenuto in quei pacchetti TCP? Quali tecniche sta usando per aggirare i controlli di sicurezza ed evitare il rilevamento? Una buona ispirazione per l'utilizzo di Wireshark in questo modo deriva da questa presentazione eccellente a una conferenza di Wireshark . Sì, dura più di un'ora, ma ne vale la pena.

Ci sono molti altri strumenti per l'analisi del malware di cui non sono a conoscenza.

Dai un'occhiata al seguente sito: link

È possibile inviare i file al sistema e ottenere report dettagliati.