Как я могу monitor свой интернет- traffic будучи зараженным трояном или руткитом? Какое приложение я должен использовать?
2 ответа
3
Это может быть невозможно сделать из зараженного компьютера.
Большинство троянов и, конечно, все руткиты достаточно сложны, чтобы скрывать свое существование и свою деятельность от посторонних глаз. Вы можете попробовать использовать TCPView, инструмент Марка Руссиновича, который, несмотря на название, отображает открытые соединения, как TCP, так и UDP. Он не обновлялся в течение достаточно долгого времени, и мне неясно, способен ли он предотвратить сложные методы, используемые руткитами, чтобы избежать обнаружения.
То, что вы предлагаете сделать, легче всего сделать путем перехвата трафика из исправного узла по пути. Например, эксперты по безопасности позволяют Виртуальным машинам заражаться, и они контролируют свои соединения с незараженного хост-компьютера. Или, если у вас есть маршрутизатор, который использует что-то более сложное, чем стандартная прошивка (например, DD-WRT, OpenWRT или прошивка Tomato), вы можете войти в маршрутизатор и использовать стандартные инструменты (wireshark и tcpdump) для проверки трафика.
Вам также следует помнить о возможности шифрования трафика (как это часто бывает), чтобы специалистам по безопасности было сложнее разработать подходящие контрстраги. Тем не менее, даже в этих случаях использование tcpdump/wireshark по крайней мере даст вам список IP-адресов, с которых контролируется рассматриваемый троян или руткит, и / или список возможных целей, и / или список других зараженные штуки, вся ценная информация.