恶意软件是否可以隐藏真实的通知图标,放置虚假图标来指示没有发生数据传输,而实际上当时正在发生数据传输?
可以调用什么样的 API 或使用软件工具在低于常见恶意软件感染的较低级别上显示网络连接的真实状态?
有时我甚至不知道是否可以相信网卡 LED。
答案1
确定实际网络通信状态的最安全方法是使用连接到同一网络的第二台计算机上的数据包检查器。使用 Wireshark 等工具,您可以过滤可疑机器 IP 地址的所有通信,然后实时或通过日志分析查看任何给定时间发生的通信类型。
由于此设置涉及第二台机器,因此几乎不可能隐藏可疑机器的实际网络通信。
不过,你应该问的一个更大的问题是,为什么有人会入侵你的计算机?
如果您的计算机上确实存在通过网络接口进行通信的恶意工具,并且使用各种方法来隐藏该通信,那么更有可能的是,您只是感染了某种垃圾邮件机器人或蠕虫软件,这些软件不是由黑客安装的,而是通过更普通、更常见的恶意软件感染形式安装的:打开错误的文件、下载错误的文件、访问受感染服务器上的站点等。
答案2
我确信在某些版本的 Windows(我认为是 Vista 和 7)中,Atheros 驱动程序甚至不会显示有可用的网络连接。
基本上,您不应该依赖动画和图标来判断是否存在网络连接或数据传输。
在某些情况下,甚至连 LED 也无法正确显示正在发生的事情。
解决问题的最佳方法是使用网络分析仪,例如Wireshark它将准确地向您显示什么是输入,什么是输出。