Registro di tutti i processi in esecuzione su un computer

Question

Registro di tutti i processi in esecuzione su un computer

#1 da (3 voti)
#2 da (1 voti)

4

Sono nuovo nel campo della sicurezza e voglio chiedere: ogni programma lascia una "impronta" in un registro di qualche tipo, in un laptop o in un PC, di qualsiasi processo venga eseguito. Se sì, possono essere analizzati?

logging antimalware log-analysis

posta Prathiba 04.09.2015 - 00:21

fonte

2 risposte


                                                                                    
                                                                                                            
                            
                                
                                    
                                    1
                                    
                                
                            
                            
                                
                                    
                                        
 No, non tutti i programmi sono configurati per generare log. 

 Esistono "wrapper" per programmi che generano registri per ogni processo che viene eseguito e che vengono utilizzati per il debug o per la ricerca di malware. 
    
                                    
                                    
                                        risposta data
                                                                                                                                                                     04.09.2015 - 00:43
                                    
                                    fonte



                    
                Leggi altre domande sui tag
                                            logging
                                            antimalware
                                            log-analysis
                                    
            
        

         
                            Come determinare quale programma ha avuto accesso alla videocamera Mac?
                                        COME è l'URL / carico utile dannoso consegnato all'utente su un attacco XSS basato su DOM?

score 3 · Accepted Answer

I sistemi Windows possono registrare tutti i processi avviati tramite criterio di sistema :

In Windows 2003/XP you get these events by simply enabling the Process Tracking audit policy. In Windows 7/2008+ you need to enable the Audit Process Creation and, optionally, the Audit Process Termination subcategories which you’ll find under Advanced Audit Policy Configuration in group policy objects.

These events are incredibly valuable because they give a comprehensive audit trail of every time any executable on the system is started as a process. You can even determine how long the process ran by linking the process creation event to the process termination event using the Process ID found in both events.

I sistemi Linux possono registrare tutti i processi avviati utilizzando auditd :

In /etc/audit/audit.rules we need to ensure that the following exists.

-a exit,always -F arch=b64 -S execve

This will capture any execve system call (on exit) and will log this to the auditd log. A log entry will look similar to below.

type=SYSCALL msg=audit(1318930500.123:3020171): arch=c000003e syscall=59 success=yes exit=0 a0=7fff65179def a1=7fff65179ec0 a2=7fff6517d060 a3=7ff54ee36c00 items=3 ppid=9200 pid=9202 auid=0 uid=1000 gid=100 euid=1000 suid=1000 fsuid=1000 egid=100 sgid=100 fsgid=100 tty=(none) ses=4 comm="xscreensaver-ge" exe="/usr/bin/perl" key=(null) type=EXECVE msg=audit(1318930500.123:3020171): argc=5 a0="/usr/bin/perl" a1="-w" a2="/usr/bin/xscreensaver-getimage-file" a3="--name" a4="/home/welby/Pictures



 Se i dati esistono, possono essere analizzati :). Ma questi sono solo i metodi per abilitare l'acquisizione dei dati.