Windowsマシンがボットネットの一部であるかどうかをどのように確認できますか?


12

Windows(XPと想定)マシンがボットネットの一部であるかどうかを検出する「最良の」方法はありますか?

回答:



6

システムがボットネットの一部であるかどうかを判断するには、3つのツールをお勧めします。sysinternalsツールスイートは、このプロセスに不可欠です。次の3つのツールは、このプロセスで使用するツールです。

プロセスエクスプローラー、TCPView Filemon

最初のステップは、TCPViewを実行して、Web上の奇妙なアドレスと話しているかどうかを確認することです。話しているすべてのサイトを認識できるはずです。あなたが認識していないアクセスしているサイトを見つけた場合、これは何が起こっているかを詳しく調べる時間です。

一般的に言えば、マシンにボットネットがある場合、ある時点で、そして確実に気付くと、インターネット全体にボットネットが届きます。

不正なトラフィックを特定すると、通常、どのプログラムが接続を試みているかを確認できます。ここでプロセスエクスプローラーに移動し、ここでプロセスについて可能な限り多くの有用な情報を収集しようとします。また、疑わしいプロセスを終了するときは必ずメモしてください。適切なプロセスが得られれば、ネットワークを介した不正な通信は停止するはずです。

次に、filemonに移動して、マルウェアが自身を維持するために別のファイルを開いていないことを確認します。

これは周期的なプロセスですが、プログラムを一度に1つずつ削除すると、問題があればそれが見つかります。


弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.