現在のシステムのネットトラフィックを実際に検出するにはどうすればよいですか?
一部のウイルスまたはトロイの木馬は、ルートキットまたはブートキットをインストールして、システムの通常の動作を変更できることを知っています。たとえば、AFAIKは、実行中のプロセスのクエリをフィルタリングしたり、アクティブなTCPポート)を非表示にしたりします。
私の質問は、C&Cセンターを備えた架空のウイルス/トロイの木馬がインストールされ、このマルウェアが送信ポートを隠すルートキットをインストールしたシステムについて考えてみます。このシステムのREALオープンポートを検出(プログラムを提案)したり、どのアプリケーションがデータを接続または送信しているのかを検出するにはどうすればよいですか?
できません。マシンがルートキット/ブートキットに感染すると、それはコンピュータではなくなります。マルウェアはすべてのシステムコールを制御しているため、なりすましの結果を特定する方法はありません。せいぜい、外部デバイスを使用して、ボックスに出入りするトラフィックを特定できます。
運がよければ、 tcpview のようなものは特定のTCPソケットをプロセスにトレースしますが、ルートキットがそのようなトレースをスプーフィングしているかどうかはわかりません。
これを調査する最良の方法は、サーバーのポートを別のポートにミラーリングし、Windowsボックスで wireshark のようなツールを使用して別のシステムでパケットキャプチャを実行するか、tcpdump/snoopの場合unix/linuxボックスでキャプチャを実行しています。次に、パケットキャプチャを調べて、何が起こっているのかを把握します。
または、システムをシャットダウンし、ハードドライブをプルして、ウイルススキャンを実行できる別のシステムのセカンダリドライブとして設定することもできます。ネットワーク上ではなくスタンドアロンであることを確認してください。スキャンしているドライブから感染する可能性があるため、重要なものを失うことなく完全にワイプできるものです。
これらの2つの方法のどちらも役に立たない可能性がありますが、問題は、システムがルート化されると、システムを復元することは本質的に不可能であるということです。また、実行に膨大な時間と労力がかかる可能性があり、結果として失敗する可能性があります。最善の方法は、重要なデータと構成ファイルをコピーして、システムを完全にワイプし、最初から再構築することです。これが唯一の確実な方法です。