Sto cercando di rilevare uno spyware sul mio pc tramite l'analisi del traffico. Sono collegato a un vps (lo sniffer) da una VPN e selezionerò tutti i dati inviati tramite il metodo post. È corretto ? Voglio dire, l'unico modo per inviare i dati è attraverso il metodo POST? (tralasciando CONNECT)
Ci sono innumerevoli modi in cui lo spyware può estrarre informazioni, incluso, ma non limitato a:
HTTP utilizzando un metodo come GET, POST, PUT, ecc.
Contenuto del carico utile TCP o UDP grezzo
Nascosto in TCP o anche intestazioni IP (ad esempio contrabbandato nel puntatore URG).
Contenuti del payload ICMP, che sono normalmente nascosti.
Il controllo di dati sensibili inviati tramite HTTP POST non aiuta a rilevare lo spyware in quanto vi sono tanti altri modi per estrapolare le informazioni da un server compromesso. Sfortunatamente, dovrai sapere cosa stai cercando per rilevare il traffico di spyware. Tuttavia, se lo spyware non è particolarmente avanzato, esistono molti strumenti specifici del sistema operativo che è possibile utilizzare e che indicano quali processi stanno comunicando con la rete. Questo ovviamente presuppone che lo spyware non sia in esecuzione come utente privilegiato, altrimenti potrebbe nascondersi da tali strumenti.
I mean the only way to send data out is through the POST method ? (leaving out CONNECT)
No. Puoi anche codificare i dati nell'URL. E forse nemmeno usa HTTP. È inoltre possibile codificare i dati in cookie inviati tramite una richiesta GET. L'idea che solo il POST sia in grado di inviare dati è un malinteso comune. I moduli HTML non sono nemmeno limitati per usare il POST; puoi specificare un metodo.
Se usa HTTP allora la soluzione migliore è cercare le richieste HTTP che non hai fatto. Quindi scansiona questo elenco e controllali perché probabilmente ci sono molti software / servizi di background che fanno anche ogni sorta di richieste HTTP (come il controllo degli aggiornamenti disponibili e quant'altro).