在研究木马和(RAT)远程访问木马的行为时,出现了这个问题。
攻击者是否可以创build一个可以欺骗操作系统或网卡隐藏与计算机的远程连接的木马,以便像Wireshark或Process黑客这样的工具可以查看诸如主动,监听,已build立连接之类的工具将无法看到远程连接到它,所以攻击者可以做一个隐形的后门?
我知道完成“隐身”的一种方法是使用IPsec对连接进行encryption,因此即使路由器仍然知道它来自哪里,整个数据包有效负载头将“隐藏”其身份,我想知道它是否是有可能build立一个“无形”的Wireshark分析。
我的攻击者已经破坏了你运行分析仪的机器,然后任何东西都可以从分析仪中隐藏起来。
如果分析仪运行在作为受害机器和远程机器之间的path上的路由器的单独计算机上,则不能从分析仪隐藏stream量。 沟通可以利用诸如秘密渠道或隐写技术来使你很难看到发生了什么事情。