感染木馬或 Rootkit 後如何monitor上網?traffic我應該使用哪個應用程式?
答案1
從受感染的電腦內部可能無法做到這一點。
大多數木馬,當然還有所有 Rootkit 都足夠複雜,能夠隱藏自己的存在和活動,以免被窺探。您可以嘗試使用TCP視圖是 Mark Russinovich 開發的一種工具,儘管它的名稱如此,但它顯示開啟的連接(TCP 和 UDP)。它已經有一段時間沒有更新了,我不清楚它是否能夠挫敗 Rootkit 用來逃避檢測的複雜技術。
您建議要做的事情最容易透過攔截沿途健康節點的流量來完成。例如,安全專家允許虛擬機器受到感染,並且從未受感染的主機監控虛擬機器的連線。或者,如果您的路由器使用比標準韌體更複雜的東西(例如 DD-WRT、OpenWRT 或 Tomato 韌體),您可以登入路由器並使用標準工具(Wireshark 和 tcpdump)來檢查流量。
您還應該意識到流量被加密的可能性(通常是這樣),這正是為了讓安全專家更難設計出合適的對策。儘管如此,即使在這些情況下,使用 tcpdump/wireshark 至少也會為您提供控制相關木馬或 rootkit 的 IP 位址列表,和/或可能的目標列表,和/或其他目標列表。有價值的資訊。