Spesso vedo i keylogger malintenzionati pubblicizzati come dotati di funzionalità anit-wireshark. Significa che i loro dati non possono essere annusati. È possibile farlo? Come avrebbero fatto?
La mia ipotesi è che controllino solo se Wireshark è in esecuzione e non inviano i log se Wireshark è in esecuzione. Quindi, questo non funzionerebbe se state catturando pacchetti usando un router o un altro computer. Ho ragione?
Se un utente malintenzionato effettua il root di un sistema, è possibile installare driver che nascondano il traffico dannoso da sniffer come wirehark, strumenti come netstat o utility di processo come task manager o PS. Un utente malintenzionato potrebbe avere keylogger, bot di spam, strumenti ddos, qualsiasi cosa vogliano eseguire su un sistema e persino gli amministratori sarebbero completamente ignari se non eseguono uno sniffer esterno.
Meaning their data can't be sniffed. Is it possible to do so? How would they do it?
Un modo plausibile per realizzare ciò è crittografare i dati prima di inviarli. Nella prospettiva dello sniffer di pacchetti, i dati appariranno come un flusso crittografato senza sapere cosa viene effettivamente inviato. Il server che riceve il flusso di dati può quindi decodificare il flusso di dati per ottenere i dati effettivi inviati.
Detesto iniziare una risposta come questa, ma non so se la mia risposta sarà corretta al 100% perché ci sono molti modi in cui questo potrebbe essere fatto. Un modo potrebbe essere quello di agganciare una DLL a processi di sniffing predeterminati come wireshark e quindi apportare modifiche alla memoria del processo per non visualizzare alcun pacchetto inviato a uno specifico indirizzo IP (l'indirizzo IP che sta monitorando il keylogger).
Sono sicuro che ci sono altri modi, ma se stavo tentando di creare un programma anti-wireshark, è da lì che vorrei iniziare quanto a me ha senso fare.
Il programma dovrebbe semplicemente trovare l'indirizzo di memoria statica dove wireshark prepara le informazioni per la visualizzazione, intercettare i pacchetti prima di visualizzarli e quindi utilizzare un'istruzione condizionale per decidere se consentire loro di continuare nel loro modo di essere visualizzati o se impedisci che vengano visualizzati.
Tuttavia, potrebbe essere semplice come trovare il processo wireshark e quindi chiamare il comando console taskkill per terminare il processo (come hai detto tu).
Leggi altre domande sui tag malware wireshark forensics keyloggers