トロイの木馬やルートキットに感染しているときにmonitorインターネットを利用するにはどうすればよいですか? どのアプリケーションを使用すればよいですか?traffic
答え1
感染した PC 内からはそれができない可能性があります。
ほとんどのトロイの木馬、そしてすべてのルートキットは、その存在と活動を詮索好きな目から隠すことができるほど洗練されています。TCPビューは、Mark Russinovich 氏によるツールで、その名前にもかかわらず、TCP と UDP の両方のオープン接続を表示します。これはかなり長い間更新されておらず、ルートキットが検出を回避するために使用する高度なテクニックを阻止できるかどうかは私にはわかりません。
あなたが提案していることは、途中で健全なノードからのトラフィックを傍受することで最も簡単に実現できます。たとえば、セキュリティの専門家は仮想マシンが感染することを許可し、感染していないホスト PC からの接続を監視します。または、標準ファームウェアよりも複雑なもの (DD-WRT、OpenWRT、Tomato ファームウェアなど) を使用するルーターがある場合は、ルーターにログオンして標準ツール (wireshark と tcpdump) にアクセスしてトラフィックを確認します。
また、トラフィックが暗号化される可能性(多くの場合暗号化されています)にも注意する必要があります。これは、セキュリティ専門家が適切な対抗策を考案するのを困難にするためです。それでも、このような場合でも、tcpdump/wireshark を使用すると、問題のトロイの木馬またはルートキットが制御されている IP アドレスのリスト、および/または可能性のあるターゲットのリスト、および/または他の感染した PC のリストなど、すべて貴重な情報が得られます。