感染木马或 rootkit 后我该如何monitor
上网?我应该使用哪个应用程序?traffic
答案1
在受感染的电脑内,可能无法做到这一点。
大多数木马,当然所有的 rootkit 都足够复杂,能够隐藏自己的存在和活动,不被窥探。你可以尝试使用TCP查看器,这是 Mark Russinovich 开发的一种工具,尽管名字如此,但它可以显示开放的连接,包括 TCP 和 UDP。它已经很久没有更新了,我不清楚它是否能够挫败 rootkit 用来逃避检测的复杂技术。
您所提议的操作最容易实现的方式是拦截沿途健康节点的流量。例如,安全专家允许虚拟机受到感染,然后从未受感染的主机 PC 监控其连接。或者,如果您的路由器使用比标准固件更复杂的固件(例如 DD-WRT、OpenWRT 或 Tomato 固件),您可以登录路由器并使用标准工具(wireshark 和 tcpdump)检查交通情况。
您还应该意识到流量可能被加密(通常都是这样),这恰恰使安全专家更难制定合适的反制策略。不过,即使在这些情况下,使用 tcpdump/wireshark 至少会为您提供控制相关木马或 rootkit 的 IP 地址列表、可能的目标列表和/或其他受感染 PC 的列表,这些都是有价值的信息。