web-dev-qa-db-ja.com

ルートキットについて心配する必要がありますか?

*注意:私の質問は私の状況にかなり固有のものです。そこに答えがあるかもしれませんが、私はそれを検索する方法がわかりません。 *

自宅のコンピューターのインターネット速度を最適化する方法について詳しく知りたいので、発信接続を確認し、現在どのアプリが動作しているかを確認します。これを行うのは、明示的に知らなかった自動更新やクラウドサービスが新しいソフトウェアに含まれないようにするためです。例Skypeは引き続きログインまたは更新を望んでいますが、誰かに連絡する唯一の手段である場合に備えて、そこに欲しいだけです。しかし、私は余談です。

これが私の主な質問につながります。ほんの少しの調査の後、私はルートキットと、誤った情報でシステムを「だます」能力があることを知りました。リソースモニターとタスクマネージャーの[パフォーマンス]タブの間の裁量に気づいたときに、これを調べました。これは、Win 10 Homeエディションであることに注意してください。とにかく、ResMonで受信する接続は、[パフォーマンス]タブに比べて非常に低いです。彼らが並んで立っていたので、私はこれら2つの写真を含めました。同時にスクリーンショット。

だから私の質問は、何か悪意のあることが起こっているのではないか、またはシステムがどのように機能するのかについての論理的な説明があるのですか?.

1

networkwindows-10rootkits
4
Nate

ルートキットおよびその他のバックドア

短い答え:

  • セキュリティや快適さを好むかどうかは、あなたの性格次第です。
  • 快適さを好む場合は、Windows用のいくつかの無料のウイルス対策プログラムをダウンロードするか、それらの一部にお金を払い、その報告を信じることができます。心配しないより。
  • セキュリティに関心がある場合、特定のルートキット/ウイルスがWindowsコンピューターで実行されている場合、それは非常に可能性が高く、少なくとも2つまたは3つの組み込みバックドアがあり、長期的な解決策はマイクロソフトやグーグルのような特定の会社を去ることになります。 Skype、Windows、またはよく知られているコンピューター/電話ブランドでは、セキュリティやプライバシーは期待できません。

長い答え:

  • この特定の状況では、Computraceがあるかどうかはわかりませんが、Winマシンでは、会社のサーバーに常に電話をかけ続けることがあり、これがネットトラフィックの原因である可能性があると聞きました。 rpcnet.exeなどを探します。 Winでcomputraceをブロックすることが本当に機能するかどうかはわかりません。あなたの状況に依存します。 Computraceは、ほとんどの最新のコンピューター用の組み込みのBIOSスパイウェア/バックドアであり、ドライブ全体のワイプなど、デバイスを監視および制御できます。中古のデバイスを購入した場合は、これを特に疑う必要があります。
  • 次にファームウェアスパイウェア/バックドアと言います。これらは、オーディオドライバー、サポートアプリ、および同様のフィッシングブロートウェアなど、コンピューターを制御する公式プログラムでもあります。
  • Skypeの場合もあるので、アンインストールしてみてください。クラッシュ、遅延、そしておそらくネットトラフィックも少なくなります。また、スパイウェアのように機能することもあります。
  • Firefoxが実行されている場合、トラフィックは最小限に抑えられます。他のアプリをインストールしている場合は、サーバーが時々呼び出されることもあります。
  • バックアップがない場合は、ここでそれを実行し、再インストールを実行して、新しいシステムと保存されたファイルでウイルスチェックを実行し、すべてを新しいパスワードで開始します。これは、Windowsで実行できる最も安全な方法です。

ヒント/ソリューション:

これらのほとんどはLinuxを使用することで解決でき、2017年にははるかに使いやすいディストリビューションがあります。

  • Skypeを使用する必要はありません。オープンソースのマルチプラットフォーム/プロトコルの安全なチャットプログラムがあります。
  • Linuxは人気が低く、ウイルスによる攻撃が困難です。
  • これはオープンソースであり、Microsoftとは異なり、バックドアの実装が困難です。
  • Linuxにはオープンソースのファームウェアがあるため、プリインストールされているスパイウェアは、ドライブをワイプすると削除され、デバイスの制御には必要ありません。
  • Linuxでcomputraceが機能しないようです。 BIOSから簡単に消去することはできませんが、実行できなくなります。
  • 限られたハードウェア上にはオープンソースのBIOSがありますが、通常はハードウェアレベルの知識が必要です。

遠慮なく尋ねてください。

5
TriloByte

他の人が持ち出したいくつかの良い説明があります。

  • ルートキット
  • OSのバックドア
  • 測定単位間の不一致(1 Mbsは1 MB/sと同じではなく、1 MB/sは8 Mbsです)
  • 他のユーザーからのトラフィックが表示されない可能性があります(管理者として実行していますか?)
  • 平均読み取り値と瞬間読み取り値

しかし、あなたの特定のケースで私が賭ける別の可能性もあります:

  • 非TCP/IPトラフィック

概念実証として、別のマシンからWindowsマシンにpingフラッドを実行しました。 Windowsでは、ネットワークインターフェイスで最大50 Mbsの受信があり、アプリケーションレベルでは0.1 Mbsしかありませんでした。どうやらアプリケーションリストにはTCP/UDP統計のみが表示されます。 pingはたまたまICMPですが、他にも数十の一般的なプロトコルがあります(GRE、AH、L2TPなどをいくつか挙げます)。

表示されているトラフィックが悪意のあるものかどうかは、さらに調査する必要があります。あなたが本当にそれの底に到達する方法はwiresharkを使うことです。特定の期間のトラフィックをキャプチャすると、その帯域幅の原因となっているプロトコルが正確にわかり、さらに、どのIPエンドポイントが関係しているかがわかります。

2
user3280964

データ転送速度(写真の左側)はごく短時間のものであり、「転送されたバイト数」(右側)との調整が困難です。

あなたが持っているのは、何かが正しくないという最初の兆候です。それはまだ喫煙銃ではありませんが、おそらく何かをチェックすることから始めます-何かが間違っているかどうかを確認するため。そして、それが何であるかです。ルートキットか何かかもしれません。

調査には多くのアプローチがありますが、これはネットワークトラフィックから始まっているため、ネットワークトラフィックをキャプチャすることをお勧めします。できれば、信頼性の低い別のデバイスを使用してください。 Security Onion のようなディストリビューションを使用して、監視システムをすばやく構築し、監視します。

MalwareBytes のようなものを使用してマルウェアをチェックすることを含む、他のより低い障壁のステップがあります。毎回検出することが完全に保証されているわけではありませんが、それは出発点です。

編集:セキュリティオニオンへのリンクを修正しました。

1
Sas3