Registro di tutti i processi in esecuzione su un computer

4

Sono nuovo nel campo della sicurezza e voglio chiedere: ogni programma lascia una "impronta" in un registro di qualche tipo, in un laptop o in un PC, di qualsiasi processo venga eseguito. Se sì, possono essere analizzati?

    
posta Prathiba 04.09.2015 - 00:21
fonte

2 risposte

3

I sistemi Windows possono registrare tutti i processi avviati tramite criterio di sistema :

In Windows 2003/XP you get these events by simply enabling the Process Tracking audit policy. In Windows 7/2008+ you need to enable the Audit Process Creation and, optionally, the Audit Process Termination subcategories which you’ll find under Advanced Audit Policy Configuration in group policy objects.

These events are incredibly valuable because they give a comprehensive audit trail of every time any executable on the system is started as a process. You can even determine how long the process ran by linking the process creation event to the process termination event using the Process ID found in both events.

I sistemi Linux possono registrare tutti i processi avviati utilizzando auditd :

In /etc/audit/audit.rules we need to ensure that the following exists.

-a exit,always -F arch=b64 -S execve

This will capture any execve system call (on exit) and will log this to the auditd log. A log entry will look similar to below.

type=SYSCALL msg=audit(1318930500.123:3020171): arch=c000003e syscall=59 success=yes exit=0 a0=7fff65179def a1=7fff65179ec0 a2=7fff6517d060 a3=7ff54ee36c00 items=3 ppid=9200 pid=9202 auid=0 uid=1000 gid=100 euid=1000 suid=1000 fsuid=1000 egid=100 sgid=100 fsgid=100 tty=(none) ses=4 comm="xscreensaver-ge" exe="/usr/bin/perl" key=(null) type=EXECVE msg=audit(1318930500.123:3020171): argc=5 a0="/usr/bin/perl" a1="-w" a2="/usr/bin/xscreensaver-getimage-file" a3="--name" a4="/home/welby/Pictures

Se i dati esistono, possono essere analizzati :). Ma questi sono solo i metodi per abilitare l'acquisizione dei dati.

    
risposta data 04.09.2015 - 05:46
fonte
1

No, non tutti i programmi sono configurati per generare log.

Esistono "wrapper" per programmi che generano registri per ogni processo che viene eseguito e che vengono utilizzati per il debug o per la ricerca di malware.

    
risposta data 04.09.2015 - 00:43
fonte

Leggi altre domande sui tag