キーロガーはどのようにWiresharkスニッフィングをバイパスしますか？

攻撃者がシステムをルート化すると、wiresharkなどのスニファ、netstatなどのツール、またはタスクマネージャやPSなどのプロセスユーティリティから悪意のあるトラフィックを隠すドライバをインストールできます。攻撃者は、キーロガー、スパムボット、ddosツールなど、システム上で実行したいあらゆるものを使用でき、管理者でさえ、外部のスニファを実行しない限り完全に気付かない可能性があります。

つまり、データを盗聴することはできません。そうすることは可能ですか？彼らはどのようにそれをしますか？

これを実現するもっともらしい方法の1つは、送信前にデータを暗号化することです。パケットスニファの観点から見ると、データは実際に何が送信されているかを知らなくても、暗号化されたストリームとして表示されます。データストリームを受信するサーバーは、データストリームを復号化して、送信されている実際のデータを取得できます。

一部の Googling は、少なくとも一部の「アンチワイヤーシャーク」対策が、「ワイヤーシャーク」という名前のシステムで実行中のプロセスを探してシャットダウンすることを示唆しています。

私はこのような答えを始めるのは嫌いですが、これができる多くの方法があるため、私の答えが100％正しいかどうかはわかりません。 1つの方法は、DLLをWiresharkなどの所定のスニッフィングプロセスにフックし、プロセスメモリを変更して、特定のIPアドレス（監視しているIPアドレス）に送信されているパケットを表示しないようにすることです。キーロガー）。

他の方法もあると思いますが、Wireshark対策プログラムを作成しようとした場合、そこから始めるのが理にかなっています。

プログラムは、wiresharkが表示用の情報を準備する静的メモリアドレスを見つけ、表示する前にパケットをインターセプトし、条件付きステートメントを使用して、表示する途中で続行するか、停止するかを決定する必要があります。表示されています。

ただし、wiresharkプロセスを見つけて、コンソールコマンドtaskkillを呼び出してプロセスを終了する（言ったように）のと同じくらい簡単です。