¿Cómo registro el tráfico de 'ataque' saliente de una botnet en una máquina con Windows XP? El tráfico capturado estará en el registro del firewall de Windows XP.
Necesito configurar algún tipo de experimento donde pueda usar un registro de firewall de Win XP para un análisis posterior, con fines de investigación.
Si desea utilizar el registro de firewall de XP, simplemente habilítelo, funciona bastante bien.
Mejor será usar wireshark , que registrará los datos reales enviados desde la máquina
Esta publicación en Comenzando con el análisis básico de malware se creó casi para responder a esta pregunta.
El autor de la publicación del blog explica el uso de Remnux con DNS falso, servicios falsos, etc. como puerta de entrada a un malware infectado con Windows XP máquina. También menciona poner una instancia de Dionaea en la red para ver si el host infectado la ataca.