Ao analisar um malware, você gerará rapidamente mais arquivos: extrai códigos de shell, configurações, DLLs, mais executáveis e esses arquivos também devem ser analisados.Via ferramentas de linha de comando, você pode obter eventos quando um arquivo for criado, excluído, aberto.Aqui está o meu script simples:
Depois de lançado, o script será notificado quando um arquivo for criado.No meu laboratório de análise de malware, uso um repositório chamado meu “zoológico de malware”, onde coloco todos os arquivos.Por padrão:
Obviamente, o script pode executar ações mais profundas, dependendo do tipo de arquivo.
Fonte: https://isc.sans.edu/diary/0