Bonjour, je cherche à récupérer une sorte d'historique des fichiers envoyés depuis une Virtual Machine host sur mon ordinateur. Ils sont envoyés à cause d'un Malware et je cherche à identifier une connexion, j'ai récupéré grâce à une commande deux ip suspectes de cloudflare durant l'exécution du malware

Bonjour,

ce ne serais pas plus simple d'enlever le transfert de fichier Host/VM ?

Pour pouvoir t'aider il faudrait savoir quel hyperviseur tu utilise (VMware, Hyper-v, Virtualbox....)

Par exemple : https://kb.vmware.com/s/article/1038847

Sinon via le gestionnaire d'événements de l'hôte.

Gpedit.msc > local policies > audit policy > audit object access 

Et tu active l'audit pour la création/modification/supression des fichiers.

https://www.varonis.com/blog/windows-file-system-auditing 

Sinon wireshark sur la machine Hôte qui écoute l'IP de la VM et filtre les bon packets... Sinon voir :

https://hakin9.org/winshark-wireshark-plugin-to-work-with-event-tracing-for-windows/

-
Edité par 1nsan3 24 juillet 2022 à 15:07:55