Come rilevare praticamente il traffico del sistema attuale?

3

So che alcuni virus o trojan possono installare rootkit o bootkit per modificare il normale comportamento del sistema; AFAIK, ad esempio, filtra le query per i processi in esecuzione o persino per nascondere le porte TCP attive.

La mia domanda è considerata un sistema in cui è installato un virus / trojan immaginario con un centro C & C e questo malware ha installato un rootkit che nasconde la sua porta di trasmissione. Come posso rilevare (si prega di suggerire un programma) REAL porte aperte su questo sistema o rilevare quali applicazioni stanno collegando o trasmettendo dati?

    
posta wiki 11.09.2012 - 10:28
fonte

2 risposte

2

Non puoi. Una volta che la tua macchina è stata infettata da un rootkit / bootkit, non è più il tuo computer. Il malware ha il controllo di tutte le chiamate di sistema, quindi non hai modo di identificare i risultati falsificati. Nella migliore delle ipotesi, puoi utilizzare un dispositivo esterno per identificare il traffico in entrata e in uscita.

Se sei fortunato, qualcosa come tcpview traccerà particolari socket TCP in un processo, ma non è possibile sapere se un rootkit sta spoofing tali tracce.

    
risposta data 11.09.2012 - 10:34
fonte
0

Il modo migliore per indagare su questo è il mirror della porta su cui il server si trova su una porta diversa ed eseguire un'acquisizione di pacchetti su un sistema diverso usando uno strumento come wireshark su una finestra di windows, o tcpdump / snoop se stai facendo l'acquisizione su un box unix / linux. È quindi possibile esaminare l'acquisizione del pacchetto per cercare di capire cosa sta succedendo.

In alternativa è possibile spegnere il sistema, estrarre il disco rigido e configurarlo come unità secondaria su un sistema diverso da cui è possibile eseguire una scansione anti-virus. Assicurati che sia indipendente, non sulla rete, ed è qualcosa che puoi cancellare completamente senza perdere nulla di importante è che potrebbe essere infettato dall'unità che stai scannerizzando.

Tuttavia, nessuno di questi due metodi è in grado di aiutarti, il problema è che una volta che un sistema è stato rootato è essenzialmente impossibile ripristinare il sistema, anche se in qualche modo riesci a farlo funzionare non sarai mai certo che l'infezione sia andato. Può anche richiedere enormi quantità di tempo e sforzi per fare, con il fallimento come il risultato probabile. La cosa migliore che puoi fare è copiare i dati essenziali e i file di configurazione, cancellare completamente il sistema e ricostruirlo da zero in quanto è l'unico modo per essere sicuro.

    
risposta data 11.09.2012 - 11:08
fonte

Leggi altre domande sui tag