Heimnetzwerke - WIFI, LAN, Router und Co 16.516 Themen, 81.098 Beiträge

Schadsoftware auf dem Weg ins Internet erkennen

username_deleted / 15 Antworten / Flachansicht Nickles

Hi werte Gemeinde,

habe noch eine Frage zu meinem Rechner mit zwei Netzwerkkarten.

Leider konnte mir bei der anderen Frage http://www.nickles.de/forum/netzwerke-lan-wlan/2010/traffic-local-umleiten-538751361.html keiner helfen.

Ich leite durch den Rechner mit den zwei Netzwerkkarten (Netzwerkbrücke) die Anfragen ans Netz von einem beliebigen Rechner.
Diesen schliese ich dafür an den WRT54GL, der an der einen Netzwerkkarte hängt.

Wenn ich nun an dem Rechner mit der Netzwerkbrücke Wireshark anwerfe, dann sehe ich was alles, vom Rechner hinter dem WRT54GL ins I-Net will.
Das ist hervorragend, um eventuelle Schadsoftware aufzuspüren, die sich sehr gut versteckt hat.

Meine Frage:

Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den überwachenden Rechner bzw. die Netzwerkbrücke manipulieren, so das auch diese Methode nicht sicher ist?

Für mich ist das im Moment eine Analysemethode um auch eventuelle Rootkitaktivitäten zu erkennen.

Nützt mir natürlich wenig, wenn der überwachende Rechner, bzw. die Netzwerkbrücke etwa von einem installierten Rootkit manipuliert werden kann, wie er schon das System manipuliert.

Grüsse
Epi

bei Antwort benachrichtigen
username_deleted UselessUser „Hallo Epigenese, ich kann den Ärger verstehen, wenn man einen Thread startet...“
Optionen

Hi UselessUser

danke dir für deinen Beitrag

Was spricht dagegen, nach allem was über Stuxnet & Co
dagegen spräche, dass das analysesystem nur den datenstrom liest, ohne dass die daten ausführende (im sinne von systemverändernde wirkung) wirkung haben.

du hast sicher auch schon eine festplatte (z.b. xp mit verdacht auf viren) ausgebaut und an ein linuxsystem zur analyse gehängt bzw. mit bootcds gearbeitet um zu verhindern, dass rootkits ihr funktionen nutzen und sich im system verstecken.
da könnte ich dir z.b. brief und siegel geben, dass zumindest die daten auf der cd nicht verändert zurückgeschrieben werden ;)
manche dinge weis man, bei anderen fragt man mal in die runde

so ist derzeit meine vorgehensweise bezüglich der netzwerkaktivität.

zu stuxnet ist es ähnlich. kaspersky u.a. analysieren den code und das verhalten des virus auch. ich denke dass die eben umgebungen schaffen, die der virus nicht gänzlich kontrollieren kann.

meine thread hier soll eben mein horizont erweiteren. es gibt hier denke ich genug it netzwerkspezialisten, die täglich in firmen mit analyse und ähnlichen problemen konfrontiert sind und deshalb gute hinweise haben.

100% gibt es nicht aber bekannte und hier gepostete fehler kann ich bei der analyse vermeiden.

Grüsse
Epi

bei Antwort benachrichtigen
Nur in Kürze, ... Soulmann63