Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Analyse des Netzwerktraffics... (https://www.trojaner-board.de/85608-analyse-netzwerktraffics.html)

floeins 03.05.2010 11:25
Analyse des Netzwerktraffics...
 
Hallo :)

mir ist aufgefallen, dass in vielen Foren, auch hier, bei der analyse potenziell infizierter PCs ein Aspekt völlig ausser acht gelassen wird, nämlich die Netzwerkverbindungen. Dabei kann man dort sehr viel sehen was nicht so ganz unwichtig ist. Ich würde mich auch bereiterklären dafür ne anleitung zu schreiben. Ein Programm, das das ganz gut kann und das vor allem als TEXT exportieren kann ist system explorer. leider sieht man da nicht die datenmenge pro verbindung. deshalb zwei fragen:

1) wäre ne anleitung ok?
2) kennt jemand ein progrtamm was eben auch noch die datenmenge pro verbindung aufschlüsselt? sonst mach ich die anleitung wenn gewünscht mit dem system explorer

achja, hier noch ein downloadlink zu dem programm:

hxxp://www.chip.de/downloads/System-Explorer_32436381.html

ansonsten kann das programm fast alles, was hijackthis auch kann, bloß eben grafisch. sinnvoll ist noch die snapshot-funktion, allerdings nur wenn es bereits nen sauberen snapshot gab :)

cosinus 03.05.2010 19:14
System Explorer? Ein Tool, bei dem 45% der Bewertungen negativ sind?
Ich würde eher zu den Tools von Sysinternals greifen... oder wenn man mal wirklich tiefgreifend nachschauen will mit Wireshark.

Zitat:
ein Aspekt völlig ausser acht gelassen wird, nämlich die Netzwerkverbindungen.
Wie stellst Du Dir das genau vor? An den Verbindungen selber kann man nicht unbedingt den Schädling sehen.

myrtille 04.05.2010 11:07
Hi,

Netzwerkverbindungen können irreleitend sein und in der regel wenig zielbringend bei der Analyse.

Die Verbindungen werden über legitime Windowsdateien hergestellt. Svchost.exe, spoolsv.exe, explorer.exe, iexplore.exe, etc... Es ist dann praktisch unmöglich mithilfe der Netzwerkverbindungen festzustellen welches Programm diese Aufforderung gegeben hat.
Hinzukommt, dass genau wie mit anderen Dateien und Einstellungen, derartige Dinge versteckt werden können und dann von der Netztrafficanalyse nicht berücksichtigt werden.

DAS Tool zur Analyse von Netzwerktraffic ist imho Wireshark. Ich würde aber wie gesagt nur einer Analyse trauen die von außerhalb des infizierten Rechners vorgenommen wird. Wireshark auf dem infizierten Rechner kann getäuscht werden.

lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131