Показано с 1 по 2 из 2.

Время нахождения троояна.

  1. #1
    Guest

    Время нахождения троояна.

    Интересует теоретический вопрос:

    Допустим, автор создал backdoor-troyan, встроил в него прокси, и работает.

    Какими методами кроме firewall и "глазами в панели задач" жертва может обнаружить активность, если трафик через прокси заведомо мал?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390

    Re:Время нахождения троояна.

    Цитата Сообщение от Wolf
    Интересует теоретический вопрос:

    Допустим, автор создал backdoor-troyan, встроил в него прокси, и работает.

    Какими методами кроме firewall и "глазами в панели задач" жертва может обнаружить активность, если трафик через прокси заведомо мал?
    1. Троян как-то должен попасть на ПК юзера. Следовательно, если на прокси есть анализаторы, то они сработают и поймают потенциально опасное деяние. У меня происходит именно так, эффективность очень велика - позволяет однозначо выделить действия троянов из трафика (при кол-ве юзеров около полутысячи);
    2. На ПК может быть ProcessGuard или иная система слежения за процессами - которая сообщит о появлении левого процесса. Если такой системы нет, то плохо ...;
    3. Системы эвристического поиска. Их пока особенно нет, но делаются. Пример - тот же AVZ - он при сканировании уже умеет анализировать список открытых портов (и связанных с ними процессов), и увидев непонятный порт такой анализатор начинает "думать", а что же за "зверь" его слушает. Аналогично получение списка процессов, которые могут работать с сетью - для анализа ... Надобность прослушивать порты для обмена является уязвимым местом backdoor. Он конечно может замаскироваться по RootKit технологии, но тот-же AVZ тогда найдет в системе RootKit и будет пытаться нейтрализовать его - а пользователь получит предупреждение.

Похожие темы

  1. Ответов: 5
    Последнее сообщение: 23.02.2012, 10:07
  2. Ответов: 1
    Последнее сообщение: 22.07.2011, 10:43
  3. Ответов: 4
    Последнее сообщение: 11.05.2011, 17:08
  4. Во время работы постоянно меняется время
    От NightStranger в разделе Помогите!
    Ответов: 20
    Последнее сообщение: 30.12.2009, 08:54
  5. Ответов: 3
    Последнее сообщение: 06.10.2009, 16:42

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00644 seconds with 16 queries