Je recommande vivement pour exécuter ce virus dans un environnement artificiel comme un bac à sable afin de ne pas affecter votre ordinateur personnel ! De cette façon, vous pouvez suivre son activité via la CLI/GUI spécifique au bac à sable.
Exemple de Sandbox :Coucou Sandbox, Sandboxie, etc.
L'inverse :
Utilisez un environnement virtuel pour tester le logiciel malveillant et suivre manuellement son activité.
Après les faits ? Très peu probable, sauf si vous disposez d'une journalisation de sortie complète et de fichiers d'audit à distance du système qui a été compromis et même dans ce cas, il n'est pas fiable à 100%.
Si vous voulez savoir ce que fait un virus, il y a toujours des analyseurs de malware comme Cuckoo.
Vous ne savez pas si vous planifiez pour savoir comment procéder au cas où vous avez un virus ou avez déjà eu un virus et vous voulez réagir aux incidents, ou si vous avez un virus en tête et que vous voulez le voir faire son travail.
Vous disposez d'outils disponibles gratuitement pour ce faire, mais si vous ne maîtrisez pas ces outils, vous échouerez. Ainsi, la vraie réponse est "maîtrisez ces outils AVANT d'essayer de les utiliser pour répondre aux incidents". Par « compétent », je veux dire que vous pouvez filtrer rapidement ce qui est « normal » afin de repérer l'anormal. Essayer cela peut être un moyen de maîtriser ces outils, mais ne vous attendez pas à réussir pendant que vous apprenez.
Si le virus a des privilèges d'administrateur, cela peut rendre ces outils peu fiables.
Les outils auxquels je pense sont...
- Journaux des événements Windows :C'est le premier arrêt dans la reconstruction médico-légale de ce qui s'est passé. Je ne veux pas dire "médico-légal" comme dans "utilisable comme preuve". Ce document dans la salle de lecture Sans détaille certaines façons d'utiliser les journaux d'événements Windows, y compris les fautes d'orthographe des exécutables courants et des processus exécutés à partir d'un chemin non standard.
- Netstat :Si la communication est en cours, Netstat peut identifier le processus qui communique avec les hôtes malveillants.
- Moniteur de processus :voir quelles actions le processus ci-dessus est en train d'effectuer. Cela ne sera pas utile si vous essayez d'apprendre des choses après coup.
- Wireshark :analyser la communication au niveau des paquets de ce virus. Que contiennent ces paquets TCP ? Quelles techniques utilise-t-il pour contourner les contrôles de sécurité et éviter la détection ? Une bonne inspiration pour utiliser Wireshark de cette façon vient de cette excellente présentation lors d'une conférence Wireshark. Oui, cela dure plus d'une heure, mais cela en vaut la peine.
Il existe de nombreux autres outils d'analyse des logiciels malveillants dont je n'ai aucune connaissance.