Как мне использовать monitorинтернет traffic, если я заражен трояном или руткитом? Какое приложение мне использовать?
решение1
Сделать это с зараженного компьютера может оказаться невозможным.
Большинство троянов, и, конечно, все руткиты достаточно сложны, чтобы скрыть свое существование и свою деятельность от посторонних глаз. Вы можете попробовать использоватьTCPПросмотр, инструмент Марка Руссиновича, который, несмотря на свое название, отображает открытые соединения, как TCP, так и UDP. Он не обновлялся довольно давно, и мне не ясно, способен ли он помешать сложным методам, используемым руткитами для обхода обнаружения.
То, что вы предлагаете сделать, проще всего осуществить, перехватив трафик с исправного узла по пути. Например, эксперты по безопасности позволяют заражать виртуальные машины и отслеживают их соединения с незараженного хост-компьютера. Или, если у вас есть маршрутизатор, который использует что-то более сложное, чем стандартная прошивка (например, DD-WRT, OpenWRT или прошивка Tomato), вы можете войти на маршрутизатор и использовать стандартные инструменты (wireshark и tcpdump) для проверки трафика.
Вам также следует знать о возможности того, что трафик может быть зашифрован (часто так и есть), именно для того, чтобы экспертам по безопасности было сложнее разработать подходящие контрстратегии. Тем не менее, даже в этих случаях использование tcpdump/wireshark по крайней мере даст вам список IP-адресов, с которых управляется рассматриваемый троян или руткит, и/или список возможных целей, и/или список других зараженных ПК, все это ценная информация.