E 'possibile rilevare se un trojan o un programma invia informazioni sniffando la rete di una VM

Naviga le tue risposte
1

Spiegando meglio, stavo consultando su come posso garantire che i programmi di un sistema operativo non svolgano attività sospette con le mie informazioni, e mi è stato detto che i dispositivi elettronici vengono a monitorare la rete e sanno cosa succede in essa .

Pensando a un'alternativa, ho pensato che avrei potuto clonare il sistema attuale ed eseguirlo in virtualbox e annusare il traffico di rete della macchina virtuale.

Potrebbe essere efficace quanto il dispositivo elettronico per la rilevazione di backdoor o programmi che possono inviare le nostre informazioni?

Please consider editing my question if it is poorly written in your language because I am native Spanish. Thank you.

    
posta MarianoM 04.11.2018 - 02:23
fonte

1 risposta

1

Sì, l'analisi del traffico viene comunemente utilizzata durante la valutazione dei programmi e la loro interazione con il loro ambiente.

Ci sono alcuni avvertimenti da considerare

  1. Traffico crittografato (TLS / SSL) - A meno che non si installi un certificato di root sulla VM e si attivi attivamente un uomo nell'attacco intermedio per sostituire il certificato inviato dall'host remoto, non sarà possibile ispezionare il traffico crittografato. Questo può essere rilevabile dal programma se sta usando il blocco dei certificati, potrebbe addirittura impedire il corretto funzionamento del programma se il blocco viene applicato con rigore. Se vengono utilizzati certificati bidirezionali, anche il server ne sarà a conoscenza.
  2. Molti programmi e malware sono in grado di rilevare che vengono eseguiti in un ambiente virtuale a causa dell'emulazione hardware. Cose semplici come l'indirizzo MAC per un venditore virtuale o complicate come peculiarità dell'hardware emulato (CPU, memoria, ecc.). Un programma può alterare il suo comportamento per non agire maliziosamente in questo scenario. Ciò può anche essere sfruttato a tuo vantaggio, dato che alcune impostazioni tentano attivamente di far apparire i loro sistemi come una macchina virtuale nelle speranze che il malware non eseguirà.
risposta data 04.11.2018 - 02:43
fonte

Leggi altre domande sui tag

Invio di un eseguibile che usa LD_PRELOAD per modificare fopen e creare una backdoor Perché la necessità dell'ID utente nel ticket AND authenticator (Kerberos)?