Wie kann ich monitormein Internet trafficschützen, wenn es mit einem Trojaner oder Rootkit infiziert ist? Welche Anwendung sollte ich verwenden?
Antwort1
Dies ist auf dem infizierten PC möglicherweise nicht möglich.
Die meisten Trojaner und sicherlich alle Rootkits sind so ausgefeilt, dass sie ihre eigene Existenz und ihre Aktivitäten vor neugierigen Blicken verbergen können. Sie können versuchen,TCPView, ein Instrument von Mark Russinovich, das trotz seines Namens offene Verbindungen anzeigt, sowohl TCP als auch UDP. Es wurde schon seit einiger Zeit nicht mehr aktualisiert und mir ist nicht klar, ob es die ausgeklügelten Techniken durchkreuzen kann, mit denen Rootkits ihre Entdeckung verhindern wollen.
Was Sie vorhaben, lässt sich am einfachsten erreichen, indem Sie unterwegs den Datenverkehr von einem intakten Knoten abfangen. Sicherheitsexperten lassen beispielsweise zu, dass virtuelle Maschinen infiziert werden, und überwachen ihre Verbindungen vom nicht infizierten Host-PC aus. Oder wenn Sie einen Router haben, der etwas Ausgefeilteres als Standard-Firmware verwendet (wie beispielsweise DD-WRT-, OpenWRT- oder Tomato-Firmware), können Sie sich beim Router anmelden und Standardtools verwenden (Wireshark und TCPdump), um den Verkehr zu überprüfen.
Sie sollten sich auch darüber im Klaren sein, dass der Datenverkehr möglicherweise verschlüsselt ist (was häufig der Fall ist), um es Sicherheitsexperten zu erschweren, geeignete Gegenstrategien zu entwickeln. Selbst in diesen Fällen erhalten Sie durch die Verwendung von tcpdump/Wireshark zumindest eine Liste der IP-Adressen, von denen der betreffende Trojaner oder das Rootkit gesteuert wird, und/oder eine Liste der möglichen Ziele und/oder eine Liste anderer infizierter PCs – alles wertvolle Informationen.