Как определить, является ли машина с Windows частью ботнета?

743
rob_dean

Есть ли «лучший» способ определить, является ли машина с Windows (предположительно XP) частью ботнета?

12

3 ответа на вопрос

9
nik
6
Axxmasterr

Я бы порекомендовал три инструмента для определения, является ли ваша система частью ботнета. Набор инструментов sysinternals является обязательным для этого процесса. Ниже перечислены три инструмента, которые вы будете использовать для этого процесса.

Process Explorer, TCPView Filemon

Первым шагом является запуск TCPView, чтобы увидеть, если вы говорите с любыми странными адресами в сети. Вы должны быть в состоянии распознать все сайты, с которыми вы разговариваете. Если вы обнаружите сайт, доступ к которому вы не знаете, тогда самое время посмотреть, что происходит.

Вообще говоря, когда у вас есть ботнет на вашей машине, он через некоторое время будет выходить через Интернет, и когда он обязательно это заметит.

Как только вы определили неавторизованный трафик, вы обычно можете увидеть, какая программа пытается установить соединение. Это то место, куда вы переходите в проводник процессов, и здесь вы попытаетесь собрать как можно больше полезной информации о процессе. Также не забудьте принять к сведению, когда вы прекращаете подозрительный процесс. Если вы получаете правильный процесс, несанкционированный обмен данными по проводам должен прекратиться.

Далее вы переходите к filemon, чтобы убедиться, что вредоносная программа не открыла другой файл в попытке сохранить себя.

Это циклический процесс, но когда вы удаляете программы по одной, вы найдете свою проблему, если она есть.

3
Vdex

Вчера в Slashdot состоялось углубленное обсуждение топинга - как узнать, является ли мой компьютер частью ботнета?