Como posso manter monitorminha internet trafficinfectada com trojan ou rootkit? Qual aplicativo devo usar?
Responder1
Pode não ser possível fazer isso dentro do computador infectado.
A maioria dos trojans, e certamente todos os rootkits, são sofisticados o suficiente para serem capazes de esconder sua própria existência e suas atividades de olhares indiscretos. Você pode tentar usarVisualização TCP, um instrumento de Mark Russinovich que exibe, apesar do nome, conexões abertas, tanto TCP quanto UDP. Ele não é atualizado há algum tempo e não está claro para mim se é capaz de frustrar as técnicas sofisticadas empregadas pelos rootkits para evitar a detecção.
O que você está propondo fazer é mais facilmente realizado interceptando o tráfego de um nó íntegro ao longo do caminho. Por exemplo, especialistas em segurança permitem que máquinas virtuais sejam infectadas e monitoram suas conexões a partir do computador host não infectado. Ou, se você tiver um roteador que usa algo mais elaborado do que o firmware padrão (como, por exemplo, firmware DD-WRT, OpenWRT ou Tomato), você pode fazer login no roteador e usar ferramentas padrão (wirehark e tcpdump) para verificar o trânsito.
Você também deve estar ciente da possibilidade de o tráfego ser criptografado (muitas vezes é), exatamente para tornar mais difícil para os especialistas em segurança elaborarem contra-estratégias adequadas. Ainda assim, mesmo nestes casos, o uso do tcpdump/wireshark fornecerá pelo menos uma lista de endereços IP a partir dos quais o trojan ou rootkit em questão está sendo controlado, e/ou a lista de possíveis alvos, e/ou uma lista de outros PCs infectados, todas as informações valiosas.
Responder2
AmbosWiresharkouViolinistapode mostrar o tráfego de rede de um PC.