Есть ли "лучший" способ определить, является ли машина с Windows (предположительно XP) частью ботнета?
3 ответа
- 4 полезных инструмента для обнаружения и удаления потенциального ботнета
- Если вы стали более предприимчивыми, ознакомьтесь со схемами Darknet
- Более сфокусированный метод черного списка также предоставляется OpenDNS .
- Если вы хотите проверить Conficker , начните с этого быстрого теста EyeChart
Я бы порекомендовал три инструмента для определения, является ли ваша система частью ботнета. Набор инструментов sysinternals является обязательным для этого процесса. Ниже перечислены три инструмента, которые вы будете использовать для этого процесса.
Process Explorer, TCPView Filemon
Первым шагом является запуск TCPView, чтобы увидеть, если вы говорите с любыми странными адресами в сети. Вы должны быть в состоянии распознать все сайты, с которыми вы разговариваете. Если вы обнаружите сайт, доступ к которому вы не знаете, тогда самое время посмотреть, что происходит.
Вообще говоря, когда у вас есть ботнет на вашей машине, он через некоторое время будет выходить через Интернет, и когда он обязательно это заметит.
Как только вы определили неавторизованный трафик, вы обычно можете увидеть, какая программа пытается установить соединение. Это то место, куда вы переходите в проводник процессов, и здесь вы попытаетесь собрать как можно больше полезной информации о процессе. Также не забудьте принять к сведению, когда вы прекращаете подозрительный процесс. Если вы получаете правильный процесс, несанкционированный обмен данными по проводам должен прекратиться.
Далее вы переходите к filemon, чтобы убедиться, что вредоносная программа не открыла другой файл в попытке сохранить себя.
Это циклический процесс, но когда вы удаляете программы по одной, вы найдете свою проблему, если она есть.
Вчера в Slashdot состоялось углубленное обсуждение топинга - как узнать, является ли мой компьютер частью ботнета?