Просмотр полной версии : Время нахождения троояна.
Интересует теоретический вопрос:
Допустим, автор создал backdoor-troyan, встроил в него прокси, и работает.
Какими методами кроме firewall и "глазами в панели задач" жертва может обнаружить активность, если трафик через прокси заведомо мал?
Зайцев Олег
17.02.2005, 08:51
Интересует теоретический вопрос:
Допустим, автор создал backdoor-troyan, встроил в него прокси, и работает.
Какими методами кроме firewall и "глазами в панели задач" жертва может обнаружить активность, если трафик через прокси заведомо мал?
1. Троян как-то должен попасть на ПК юзера. Следовательно, если на прокси есть анализаторы, то они сработают и поймают потенциально опасное деяние. У меня происходит именно так, эффективность очень велика - позволяет однозначо выделить действия троянов из трафика (при кол-ве юзеров около полутысячи);
2. На ПК может быть ProcessGuard или иная система слежения за процессами - которая сообщит о появлении левого процесса. Если такой системы нет, то плохо ...;
3. Системы эвристического поиска. Их пока особенно нет, но делаются. Пример - тот же AVZ - он при сканировании уже умеет анализировать список открытых портов (и связанных с ними процессов), и увидев непонятный порт такой анализатор начинает "думать", а что же за "зверь" его слушает. Аналогично получение списка процессов, которые могут работать с сетью - для анализа ... Надобность прослушивать порты для обмена является уязвимым местом backdoor. Он конечно может замаскироваться по RootKit технологии, но тот-же AVZ тогда найдет в системе RootKit и будет пытаться нейтрализовать его - а пользователь получит предупреждение.
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot