트로이 목마나 루트킷에 감염된 동안 monitor인터넷을 어떻게 사용할 수 있나요 ? traffic어떤 응용 프로그램을 사용해야 합니까?
답변1
감염된 PC 내에서는 그렇게 하는 것이 불가능할 수도 있습니다.
대부분의 트로이 목마와 모든 루트킷은 자신의 존재와 활동을 엿보는 눈으로부터 숨길 수 있을 만큼 정교합니다. 당신은 사용해 볼 수 있습니다TCP보기, 이름에도 불구하고 TCP와 UDP 모두 열린 연결을 표시하는 Mark Russinovich의 도구입니다. 꽤 오랜 시간 동안 업데이트되지 않았으며 루트킷이 탐지를 회피하기 위해 사용하는 정교한 기술을 무력화할 수 있는지 여부가 확실하지 않습니다.
귀하가 제안하는 작업은 도중에 정상적인 노드의 트래픽을 가로채서 가장 쉽게 수행할 수 있습니다. 예를 들어 보안 전문가는 가상 머신이 감염되도록 허용하고 감염되지 않은 호스트 PC의 연결을 모니터링합니다. 또는 표준 펌웨어(예: DD-WRT, OpenWRT 또는 Tomato 펌웨어)보다 더 정교한 것을 사용하는 라우터가 있는 경우 라우터에 로그인하고 표준 도구(와이어샤크와 tcpdump) 교통 상황을 확인하세요.
또한 보안 전문가가 적절한 대응 전략을 고안하기 어렵게 만들기 위해 트래픽이 암호화될 가능성(종종 암호화됨)도 인지해야 합니다. 그럼에도 불구하고 이러한 경우에도 tcpdump/wireshark를 사용하면 최소한 문제의 트로이 목마나 루트킷이 제어되는 IP 주소 목록 및/또는 가능한 대상 목록 및/또는 기타 목록이 제공됩니다. 감염된 PC, 모든 귀중한 정보.