Есть ли «лучший» способ определить, является ли машина с Windows (предположительно XP) частью ботнета?
Я бы порекомендовал три инструмента для определения, является ли ваша система частью ботнета. Набор инструментов sysinternals является обязательным для этого процесса. Ниже перечислены три инструмента, которые вы будете использовать для этого процесса.
Process Explorer, TCPView Filemon
Первым шагом является запуск TCPView, чтобы увидеть, если вы говорите с любыми странными адресами в сети. Вы должны быть в состоянии распознать все сайты, с которыми вы разговариваете. Если вы обнаружите сайт, доступ к которому вы не можете распознать, то сейчас самое время посмотреть, что происходит.
Вообще говоря, когда у вас есть ботнет на вашей машине, он через некоторое время будет выходить в Интернет, и когда он обязательно это заметит.
Как только вы определили неавторизованный трафик, вы обычно можете увидеть, какая программа пытается установить соединение. Здесь вы перейдете в проводник процессов и здесь вы попытаетесь собрать как можно больше полезной информации о процессе. Также не забудьте принять к сведению, когда вы прекращаете подозрительный процесс. Если вы получаете правильный процесс, несанкционированный обмен данными по проводам должен прекратиться.
Затем вы переходите к filemon, чтобы убедиться, что вредоносная программа не открыла другой файл в попытке сохранить себя.
Это циклический процесс, но когда вы удаляете программы по одной, вы обнаружите свою проблему, если она есть.
Вчера в Slashdot была проведена глубокая дискуссия о топпинге. Как узнать, является ли мой компьютер частью ботнета?