Как вы можете определить, является ли машина Windows частью ботнета?

12

Есть ли «лучший» способ определить, является ли машина с Windows (предположительно XP) частью ботнета?

rob_dean
источник

Ответы:

9
ник
источник
6

Я бы порекомендовал три инструмента для определения, является ли ваша система частью ботнета. Набор инструментов sysinternals является обязательным для этого процесса. Ниже перечислены три инструмента, которые вы будете использовать для этого процесса.

Process Explorer, TCPView Filemon

Первым шагом является запуск TCPView, чтобы увидеть, если вы говорите с любыми странными адресами в сети. Вы должны быть в состоянии распознать все сайты, с которыми вы разговариваете. Если вы обнаружите сайт, доступ к которому вы не можете распознать, то сейчас самое время посмотреть, что происходит.

Вообще говоря, когда у вас есть ботнет на вашей машине, он через некоторое время будет выходить в Интернет, и когда он обязательно это заметит.

Как только вы определили неавторизованный трафик, вы обычно можете увидеть, какая программа пытается установить соединение. Здесь вы перейдете в проводник процессов и здесь вы попытаетесь собрать как можно больше полезной информации о процессе. Также не забудьте принять к сведению, когда вы прекращаете подозрительный процесс. Если вы получаете правильный процесс, несанкционированный обмен данными по проводам должен прекратиться.

Затем вы переходите к filemon, чтобы убедиться, что вредоносная программа не открыла другой файл в попытке сохранить себя.

Это циклический процесс, но когда вы удаляете программы по одной, вы обнаружите свою проблему, если она есть.

Axxmasterr
источник