间谍软件/病毒是否有可能无法被网络监控工具检测到(例如TCP查看器) 如果他们通过互联网发送信息/文件?
答案1
这实际上取决于您在哪里运行网络监控以及恶意软件的级别有多低。
从我的经验来看,您看到的大多数恶意软件都不够低级,无法重写网络堆栈,使本地监控工具无法看到流量。不过,这种情况可能会发生,因此总会有流量盲目通过的情况发生。当这种情况发生时,您会更多地陷入 rootkit 之类的东西中,而不是日常恶意软件中。
如果您在网关/路由器上运行网络监控,您将看到来自该机器的流量,无论恶意软件的级别有多低。这将向您显示来自网关上的主机的所有流量,无论流量如何伪装。