Ho evidenziato la mia domanda qui sotto. Ecco alcuni retroscena
È facile trovare i dati che mostrano i file binari e i file di configurazione Linux più comunemente trojanati / modificati. ps, ls, find, kill, lsof, passwd, shadow, syslog.conf, ecc. vengono tutti modificati frequentemente dopo che un sistema è stato compromesso. È anche facile monitorare utmp e wtmp per essere avvisati quando un utente accede a un sistema Linux o quando qualcuno riavvia il sistema.
Windows sembra essere molto più di una scatola nera e più difficile in generale da monitorare. Parte di questo è dovuta al registro e alla mancanza di file di configurazione in chiaro, mentre una parte di esso sembra dovuta alla natura non documentata e chiusa di Windows. E quando dico "monitor", intendo sapere in tempo reale che un file è cambiato tramite allarmi (non logging). Inviami un avviso via sms, email, ecc. Quando l'eseguibile X cambia o quando il file SAM locale cambia o quando un virus riavvia il sistema per installare un MBR infetto. E davvero, il monitoraggio dell'integrità è facile, la parte difficile è sapere quali file su Windows dovrebbero essere monitorati . Non possiamo monitorare e avvisare su tutti i file.
Esiste un elenco ufficiale di file di Windows comunemente modificati o modificati che devono essere monitorati da un HIDS?