A menudo veo que los keyloggers maliciosos se anuncian con la función anit-wireshark. Lo que significa que sus datos no pueden ser rastreados. ¿Es posible hacerlo? ¿Cómo lo harían?
Mi conjetura es que simplemente comprueban si Wireshark se está ejecutando y no envían registros si Wireshark se está ejecutando. Por lo tanto, esto no funcionaría si está capturando paquetes usando un enrutador u otra computadora. Estoy en lo correcto?
Si un atacante arraiga un sistema, pueden instalar controladores que ocultarán el tráfico malicioso de rastreadores como wirehark, herramientas como netstat o utilidades de proceso como el administrador de tareas o PS. Un atacante podría tener keyloggers, robots de spam, herramientas de ddos, cualquier cosa que les guste ejecutar en un sistema e incluso los administradores serían completamente ajenos a menos que ejecutaran un rastreador externo.
Significa que sus datos no pueden ser rastreados. ¿Es posible hacerlo? ¿Cómo lo harían?
Una forma plausible de lograr esto es cifrando los datos antes de enviarlos. Para la perspectiva del rastreador de paquetes, los datos aparecerán como un flujo cifrado sin saber qué se está enviando realmente. El servidor que recibe el flujo de datos puede descifrar el flujo de datos para obtener los datos reales que se envían.
Odio comenzar una respuesta como esta, pero no sé si mi respuesta será correcta al 100% porque hay muchas maneras en que esto podría hacerse. Una forma podría ser conectar una DLL a procesos de rastreo predeterminados, como wireshark, y luego realizar modificaciones en la memoria del proceso para no mostrar ningún paquete que se envíe a una dirección IP específica (la dirección IP que monitorea al keylogger).
Estoy seguro de que hay otras formas, pero si estuviera intentando crear un programa anti-wireshark, ahí es donde empezaría, para mí tiene sentido hacerlo.
El programa simplemente tendría que encontrar la dirección de memoria estática en la que Wirehark prepara la información para mostrarla, interceptar los paquetes antes de que aparezcan y luego usar una declaración condicional para decidir si les permite continuar su camino para ser mostrados o si deben evitar que se muestren.
Sin embargo, podría ser tan simple como encontrar el proceso de Wirehark y luego llamar al comando de consola taskkill para finalizar el proceso (como dijiste).
Lea otras preguntas en las etiquetas malware forensics keyloggers wireshark