Возможно ли, чтобы шпионские программы / вирусы не были обнаружены инструментом сетевого мониторинга (например, TCPView), если они отправляют информацию / файлы через Интернет?
1 ответ
Это действительно сводится к тому, где вы проводите мониторинг сети и насколько низок уровень вредоносных программ.
Большинство вредоносных программ, которые вы видите (по моему опыту), недостаточно низкоуровневые, чтобы перезаписывать сетевые стеки туда, где локальные инструменты мониторинга не будут видеть трафик. Хотя это может произойти, поэтому всегда происходит смена трафика, проходящего вслепую. Вы получаете больше от руткитов и тому подобного, а не от повседневных вредоносных программ, когда это происходит.
Если вы запустите мониторинг сети на шлюзе / маршрутизаторе, вы увидите трафик с компьютера, теперь важно, насколько низкоуровневое вредоносное ПО. Это покажет вам весь трафик, исходящий от хоста, если он находится на шлюзе, независимо от того, как он замаскирован.