Un cavallo di Troia può nascondere la sua attività da TCPView ?
Ho fatto una piccola ricerca prima di chiedere, ma non riesco ancora a trovare la risposta per questo.
So che un cavallo di Troia può nascondersi dal Task Manager di Windows tramite vari metodi. Inoltre, meno frequentemente, può nascondere la sua attività dal comando netstat
(principalmente sostituendo il programma con la propria versione) . Immagino sia meno frequente perché (mi aspetto) qualsiasi antivirus non protetto e protetto da allerta per i cambiamenti nei file di sistema (non sono sicuro di essere ingenuo).
Anche se, se il Trojan utilizza un processo di Windows (non il proprio nome) per connettersi a Internet, molte volte è possibile identificare quella che non è una connessione prevista per qualche indirizzo IP casuale.
Molti siti Web consigliano di utilizzare TCPView per verificare connessioni insolite e mi chiedo se un Trojan può nascondere la sua attività da TCPView. Non sono sicuro che TCPView sia solo un'interfaccia grafica che utilizza il programma netstat. In tal caso, se esiste un metodo per nascondere da netstat
, sarà nascosto da TCPView, naturalmente.
Non penso che un cavallo di Troia sarebbe codificato in modo specifico per nasconderlo da TCPView (o TCPView è così popolare che questo accade?), ma forse c'è un metodo per nascondere la sua attività da qualsiasi programma che tenti di controllare l'attuale Connessioni Internet (anche Wireshark ) e per nascondere quali programmi o processi Windows (anche svchost
o sistema) stanno stabilendo anche quelle connessioni.
Se conosci metodi specifici utilizzati per nasconderlo da TCPView potresti menzionarli?
Voglio sapere questo, perché non sono sicuro che l'uso di TCPView o Wireshark per verificare connessioni insolite sia un test a prova di proiettile per confermare tale attività.