Heimnetzwerke - WIFI, LAN, Router und Co 16.517 Themen, 81.100 Beiträge

Schadsoftware auf dem Weg ins Internet erkennen

username_deleted / 15 Antworten / Flachansicht Nickles

Hi werte Gemeinde,

habe noch eine Frage zu meinem Rechner mit zwei Netzwerkkarten.

Leider konnte mir bei der anderen Frage http://www.nickles.de/forum/netzwerke-lan-wlan/2010/traffic-local-umleiten-538751361.html keiner helfen.

Ich leite durch den Rechner mit den zwei Netzwerkkarten (Netzwerkbrücke) die Anfragen ans Netz von einem beliebigen Rechner.
Diesen schliese ich dafür an den WRT54GL, der an der einen Netzwerkkarte hängt.

Wenn ich nun an dem Rechner mit der Netzwerkbrücke Wireshark anwerfe, dann sehe ich was alles, vom Rechner hinter dem WRT54GL ins I-Net will.
Das ist hervorragend, um eventuelle Schadsoftware aufzuspüren, die sich sehr gut versteckt hat.

Meine Frage:

Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den überwachenden Rechner bzw. die Netzwerkbrücke manipulieren, so das auch diese Methode nicht sicher ist?

Für mich ist das im Moment eine Analysemethode um auch eventuelle Rootkitaktivitäten zu erkennen.

Nützt mir natürlich wenig, wenn der überwachende Rechner, bzw. die Netzwerkbrücke etwa von einem installierten Rootkit manipuliert werden kann, wie er schon das System manipuliert.

Grüsse
Epi

bei Antwort benachrichtigen
username_deleted UselessUser „Hallo Epigenese! Damit wir uns richtig verstehen: Ich wüßte keine Möglichkeit...“
Optionen

Hi UU

auf jeden fall will ich das oder die analyseprogramme auf einem getrennten system bzw rechner oder router lassen.

zumal es rechner zur analyse gibt, wo nichts verändert werden sollte.

in wie weit per abfragen im netz erkannt werden kann was an soft- oder hardware läuft wäre interessant zu erfahren, bzw. ob wireshark anhand eines ports erkannt werden kann, so wie telnet oder ftp.

je aufwändiger die netzwerkschnittstelle eines trojaners programmiert ist, umso mehr kann er eben an informationen holen.

das schöne ist, dass wenn ich von euch tipps bekomme wie ich die analysekiste dicht bekomme, ich es direkt umsetzen kann.

ich habe den router WRT54GL hinter dem analyserechner und erst dort wir ein PC oder laptop zur untersuchung angeschlossen. der WRT54GL vergibt ip adressen per dhcp die sich von denen im restlichen netz unterscheiden.

wenn ich auf einem rechner im normalen netzt arp -a eingebe, habe ich meinen router und wenn ich auf einem rechner hinter dem WRT54GL arp -a eingebe, habe ich den WRT54GL als angebliches gateway.

Genau so will ich es habe, dass der zu analysierende rechner möglichst wenig über die infrastruktur erfahren kann, in der er sich befindet.
In dem angesprochenen beispiel geht das mit arp -a aber mit tracert www.nickles.de, "sieht" der analyserechner eben doch die verschachtelung :(

und die virenautoren schlafen ja auch nicht
neulich kam die meldung, dass ein trojaner langsame rechner verschmäht
http://www.heise.de/newsticker/meldung/Trojaner-verschmaeht-lahme-Rechner-Update-1142162.html

also für weitere tipps und hinweise auch wenn es hinweise gibt, dass die analysemethode nicht gut ist, bin ich dankbar.

grüsse
Epi

bei Antwort benachrichtigen
Nur in Kürze, ... Soulmann63