我如何在感染木马或rootkit时使用monitor
我的互联网traffic
?我应该使用哪种应用程序?
我如何在感染木马或rootkit时使用monitor
我的互联网traffic
?我应该使用哪种应用程序?
Answers:
从受感染的电脑中可能无法做到这一点。
大多数木马,当然所有的rootkit都足够精明,能够隐藏自己的存在和他们的活动。您可以尝试使用TCPView,Mark Russinovich的一种仪器,尽管它的名称,它显示TCP和UDP的开放连接。它在相当长的一段时间内没有更新,我不清楚它是否能够挫败rootkit用来逃避检测的复杂技术。
您建议要做的事情最容易通过拦截来自健康节点的流量来实现。例如,安全专家允许虚拟机被感染,并且它们监视来自未感染主机PC的连接。或者,如果您的路由器使用比标准固件更精细的东西(例如DD-WRT,OpenWRT或Tomato固件),您可以登录到路由器,并使用标准工具(wireshark和tcpdump)来检查流量。
您还应该意识到流量被加密的可能性(通常是这样),正是为了让安全专家更难设计合适的反策略。尽管如此,即使在这些情况下,使用tcpdump / wireshark至少会为您提供一个IP地址列表,从中可以控制有问题的木马或rootkit,和/或可能的目标列表,和/或其他列表感染的电脑,所有有价值的信息。
无论Wireshark的或小提琴手可以显示您从PC网络流量。