Saya sangat menyarankan untuk menjalankan virus itu di lingkungan buatan seperti kotak pasir sehingga Anda tidak akan memengaruhi komputer pribadi Anda! Dengan cara ini Anda dapat melacak aktivitasnya melalui CLI/GUI khusus sandbox.
Contoh Sandbox:Cuckoo Sandbox, Sandboxie, dll.
Sebaliknya:
Gunakan lingkungan virtual untuk menguji malware dan melacak aktivitasnya secara manual.
Setelah fakta? Sangat tidak mungkin kecuali Anda memiliki log jalan keluar penuh dan file audit jarak jauh dari sistem yang telah dikompromikan dan itu pun tidak 100% dapat diandalkan.
Jika Anda ingin tahu apa itu Virus, selalu ada penganalisis malware seperti Cuckoo.
Tidak jelas apakah Anda merencanakan untuk mengetahui cara melakukannya untuk berjaga-jaga Anda memiliki virus atau sudah memiliki virus dan Anda ingin melakukan respons insiden, atau jika Anda sedang memikirkan virus dan ingin melihatnya bekerja.
Anda memiliki beberapa alat yang tersedia secara bebas untuk melakukan ini, tetapi jika Anda tidak mahir dalam alat ini, Anda akan gagal. Jadi, jawaban sebenarnya adalah "mahirlah dengan alat-alat ini SEBELUM Anda mencoba menggunakannya untuk melakukan respons insiden". Yang saya maksud dengan 'mahir' adalah Anda dapat dengan cepat memfilter apa yang "normal" sehingga Anda dapat menemukan yang tidak normal. Mencoba ini bisa menjadi cara untuk menjadi mahir dengan alat-alat ini, tetapi jangan berharap berhasil saat Anda belajar.
Jika virus memiliki hak admin, dapat menyebabkan alat ini tidak dapat diandalkan.
Alat yang saya pikirkan adalah...
- Log Peristiwa Windows :Ini adalah perhentian pertama dalam rekonstruksi forensik atas apa yang terjadi. Maksud saya bukan "terdengar secara forensik" seperti dalam "dapat digunakan sebagai bukti". Makalah ini di Ruang Baca Sans merinci beberapa cara untuk menggunakan Windows Event Logs termasuk salah eja dari executable umum dan proses yang berjalan dari jalur non-standar.
- Netstat :Jika komunikasi sedang berlangsung, Netstat dapat mengidentifikasi proses yang berkomunikasi dengan host berbahaya.
- Pantau Proses :Lihat tindakan apa yang dilakukan proses di atas. Ini tidak akan berguna jika Anda mencoba mempelajari sesuatu setelah fakta.
- Wireshark :menganalisis komunikasi tingkat paket dari virus ini. Apa yang terkandung dalam paket-paket TCP tersebut? Teknik apa yang digunakannya untuk melewati kontrol keamanan dan menghindari deteksi? Inspirasi yang bagus untuk menggunakan Wireshark dengan cara ini berasal dari presentasi luar biasa ini di konferensi Wireshark. Ya, durasinya lebih dari 1 jam, tapi itu sepadan.
Ada lebih banyak alat untuk analisis malware yang tidak saya ketahui.