¿Cómo detectar prácticamente el tráfico de red actual del sistema?

3

Sé que algunos virus o troyanos pueden instalar rootkits o bootkits para cambiar el comportamiento normal del sistema; AFAIK, por ejemplo, consultas de filtro para ejecutar procesos o incluso ocultar puertos TCP activos.

Mi pregunta es considerar un sistema en el que se instale un virus / troyano imaginario que tenga un centro C & C y este malware haya instalado un rootkit que oculta su puerto de transmisión. ¿Cómo puedo detectar (sugiera un programa) los puertos abiertos REAL en este sistema o detectar qué aplicaciones se conectan o transmiten datos?

    
pregunta wiki 11.09.2012 - 10:28
fuente

2 respuestas

2

No puedes. Una vez que su máquina está infectada con un rootkit / bootkit, ya no es su computadora. El malware tiene el control de todas las llamadas al sistema, por lo que no tiene forma de identificar resultados falsos. En el mejor de los casos, puede usar un dispositivo externo para identificar qué tráfico entra / sale de la caja.

Si tiene suerte, algo como tcpview rastreará sockets TCP particulares hasta un proceso, pero no es posible saber si un rootkit está falsificando dichos rastros.

    
respondido por el Polynomial 11.09.2012 - 10:34
fuente
0

La mejor manera de investigar esto es reflejar el puerto en el que está el servidor en un puerto diferente y ejecutar una captura de paquetes en un sistema diferente usando una herramienta como wireshark en un cuadro de windows, o tcpdump / snoop si está haciendo la captura en un cuadro de unix / linux. Luego puede examinar la captura de paquetes para intentar averiguar qué está pasando.

Como alternativa, puede apagar el sistema, extraer el disco duro y configurarlo como unidad secundaria en un sistema diferente desde el que puede ejecutar un análisis de virus. Asegúrese de que sea independiente, no en la red, y es algo que puede borrar por completo sin perder nada importante, ya que podría infectarse con la unidad que está escaneando.

Es probable que ninguno de estos dos métodos lo ayude, el problema es que una vez que el sistema está rooteado, es esencialmente imposible restaurar su sistema, incluso si de alguna manera logra que funcione, nunca estará seguro de que la infección esté ido. También puede llevar mucho tiempo y esfuerzo hacer, con el fracaso como el resultado probable. Lo mejor que puede hacer es copiar los datos esenciales y los archivos de configuración, borrar completamente el sistema y reconstruirlo desde cero, ya que es la única manera de estar seguro.

    
respondido por el GdD 11.09.2012 - 11:08
fuente

Lea otras preguntas en las etiquetas