¿Cómo rastrear las acciones realizadas por un virus?

Recomiendo encarecidamente ejecutar ese virus en un entorno artificial como una caja de arena para que no afecte su computadora personal. De esta manera, puede realizar un seguimiento de su actividad a través de la CLI / GUI específica de sandbox.

Ejemplo de Sandbox: Cuckoo Sandbox, Sandboxie, etc.

Al revés:

Utilice un entorno virtual para probar el malware y realizar un seguimiento manual de su actividad.

¿Después de los hechos? Muy poco probable, a menos que tenga un registro completo de egreso y archivos de auditoría remota del sistema que se vieron comprometidos y aún así no es 100% confiable.

Si quieres saber qué hace un Virus, siempre hay analizadores de malware como Cuckoo.

No está claro si está planeando sobre cómo hacer esto en caso si tiene un virus o ya ha tenido un virus y desea responder a un incidente, o si Tienes un virus en mente y quieres verlo hacer su trabajo.

Tienes algunas herramientas disponibles de forma gratuita para hacer esto, pero si no dominas estas herramientas, fallarás. Por lo tanto, la respuesta real es "familiarizarse con estas herramientas ANTES de intentar usarlas para responder a incidentes". Por "competente" quiero decir que puede filtrar rápidamente lo que es "normal" para que pueda detectar lo anormal. Probar esto puede ser una forma de dominar estas herramientas, pero no espere tener éxito mientras aprende.
Si el virus tiene privilegios de administrador, puede hacer que estas herramientas no sean confiables.
Las herramientas en las que estoy pensando son ...

1. Registros de eventos de Windows : esta es la primera parada en la reconstrucción forense de lo que sucedió. No me refiero a "sonido forense" como en "utilizable como evidencia". Este documento en la sala de lectura de Sans detalla algunas formas de usar los registros de eventos de Windows, incluidas las faltas de ortografía de los ejecutables comunes y los procesos que se ejecutan desde una ruta no estándar.
2. Netstat : si la comunicación está en curso, Netstat puede identificar el proceso que se está comunicando con hosts maliciosos.
3. Monitor de proceso : vea qué acciones está realizando el proceso anterior. Esto no será útil si intenta aprender cosas después del hecho.
4. Wireshark : analice la comunicación a nivel de paquete de este virus. ¿Qué está contenido en esos paquetes TCP? ¿Qué técnicas utiliza para evitar los controles de seguridad y evitar la detección? Una buena inspiración para usar Wireshark de esta manera proviene de esta excelente presentación en una conferencia de Wireshark . Sí, dura más de 1 hora, pero vale la pena.

Hay muchas más herramientas para el análisis de malware de las que no tengo conocimiento.

Echa un vistazo al siguiente sitio: enlace

Puede enviar los archivos al sistema y puede obtener un informe detallado.