在研究木马和(RAT)远程访问木马的行为时出现了这个问题。
攻击者能否创建一个木马,诱骗操作系统或 NIC 隐藏与计算机的远程连接,以便像Wireshark或者进程黑客可以查看诸如活动、侦听、已建立连接等内容的设备却无法看到与它的远程连接,因此攻击者可以制作类似隐形后门的东西吗?
我知道实现“隐身”的一种方法是使用 IPsec 加密连接,这样整个数据包有效负载+标头就会“隐藏”其身份,即使路由器仍然知道它来自哪里,我想知道是否有可能使已建立的连接对于 Wireshark 分析“不可见”。
答案1
如果攻击者已经破坏了您正在运行分析器的机器,那么任何东西都可以对分析器隐藏。
如果分析器在另一台计算机上运行,该计算机充当受感染计算机与远程计算机之间路径上的路由器,则无法对分析器隐藏通信。通信可以利用隐蔽通道或隐写术等技术,使您难以看到正在发生的事情。