Интересует теоретический вопрос:

Допустим, автор создал backdoor-troyan, встроил в него прокси, и работает.

Какими методами кроме firewall и "глазами в панели задач" жертва может обнаружить активность, если трафик через прокси заведомо мал?

Интересует теоретический вопрос:

Допустим, автор создал backdoor-troyan, встроил в него прокси, и работает.

Какими методами кроме firewall и "глазами в панели задач" жертва может обнаружить активность, если трафик через прокси заведомо мал?

1. Троян как-то должен попасть на ПК юзера. Следовательно, если на прокси есть анализаторы, то они сработают и поймают потенциально опасное деяние. У меня происходит именно так, эффективность очень велика - позволяет однозначо выделить действия троянов из трафика (при кол-ве юзеров около полутысячи);
2. На ПК может быть ProcessGuard или иная система слежения за процессами - которая сообщит о появлении левого процесса. Если такой системы нет, то плохо ...;
3. Системы эвристического поиска. Их пока особенно нет, но делаются. Пример - тот же AVZ - он при сканировании уже умеет анализировать список открытых портов (и связанных с ними процессов), и увидев непонятный порт такой анализатор начинает "думать", а что же за "зверь" его слушает. Аналогично получение списка процессов, которые могут работать с сетью - для анализа ... Надобность прослушивать порты для обмена является уязвимым местом backdoor. Он конечно может замаскироваться по RootKit технологии, но тот-же AVZ тогда найдет в системе RootKit и будет пытаться нейтрализовать его - а пользователь получит предупреждение.