Recomiendo encarecidamente para ejecutar ese virus en un entorno artificial como una caja de arena para que no afecte su computadora personal. De esta forma, puede realizar un seguimiento de su actividad a través de la CLI/GUI específica de la zona de pruebas.
Ejemplo de Sandbox:Cuckoo Sandbox, Sandboxie, etc.
Al revés:
Utilice un entorno virtual para probar el malware y realizar un seguimiento manual de su actividad.
¿Después de los hechos? Muy poco probable a menos que tenga un registro de salida completo y archivos de auditoría remota del sistema que se vio comprometido e incluso entonces no es 100% confiable.
Si quieres saber qué hace un virus, siempre hay analizadores de malware como Cuckoo.
No está claro si está planificando para saber cómo hacer esto por si acaso tiene un virus o ya ha tenido un virus y quiere responder a incidentes, o si tiene un virus en mente y quiere ver cómo funciona.
Tiene algunas herramientas disponibles gratuitamente para hacer esto, pero si no domina estas herramientas, fallará. Por lo tanto, la verdadera respuesta es "hacerse experto en estas herramientas ANTES de intentar usarlas para responder a incidentes". Por 'competente' quiero decir que puede filtrar rápidamente lo que es "normal" para que pueda detectar lo anormal. Probar esto puede ser una forma de dominar estas herramientas, pero no espere tener éxito mientras aprende.
Si el virus tiene privilegios de administrador, puede hacer que estas herramientas no sean confiables.
Las herramientas en las que estoy pensando son...
- Registros de eventos de Windows :Esta es la primera parada en la reconstrucción forense de lo que pasó. No me refiero a "forense sólido" como en "utilizable como evidencia". Este documento en la Sala de lectura de Sans detalla algunas formas de usar los registros de eventos de Windows, incluidas las faltas de ortografía de los ejecutables comunes y los procesos que se ejecutan desde una ruta no estándar.
- Netstat :si la comunicación está en curso, Netstat puede identificar el proceso que se está comunicando con hosts maliciosos.
- Supervisión de procesos :vea qué acciones está realizando el proceso anterior. Esto no será útil si está tratando de aprender cosas después del hecho.
- Tiburón de alambre :analice la comunicación a nivel de paquete de este virus. ¿Qué está contenido en esos paquetes TCP? ¿Qué técnicas está utilizando para eludir los controles de seguridad y evitar la detección? Una buena inspiración para usar Wireshark de esta manera proviene de esta excelente presentación en una conferencia de Wireshark. Sí, dura más de 1 hora, pero vale la pena.
Hay muchas más herramientas para el análisis de malware de las que no tengo conocimiento.