[jerrison]

moin,
mal wieder eine frage: zeigt netstat alle offene verbindungen nach draussen an oder können trojaner auch das umgehen?
sprich: wenn ich nicht korrekt angezeigt bekomme welche verbindung bestehen, wie kann ich feststellen wer dann wohin kommuniziert? ist tcpview da verlässlicher?
danke vorab!

[Xci7e]

Zum schnell anzeigen, kannst TCPView von sysinternals nutzen, glaub das ist, was du suchst. Was das mit dem "verbergen" angeht, glaub ich nicht, das Trojaner/Viren sich da verstecken können...

Edit: Ich hatte vor längerer Zeit mal Infektion durch den SDBot und mit TCPview sah ich dessen Verbindung ins IRC...demnach denke ich, das TCPView und Netstat auch diese Verbindungen anzeigen.

Edit2: zum ersten, sorry hab wohl verpennt, das hattest ja selber schon probiert, wie scheint

Dieser Beitrag wurde von Xci7e bearbeitet: 10. Juni 2005 - 10:07

[jerrison]

hmm...sonst niemand?
dann können geschickte trojaner also erkennung fast gänzlich verhindern, oder?

[björn]

Moin,
es gibt sogenannte "RootKits", diese verankern sich so tief im System, dass sie selbst virenscanner und andere Systeme nicht mehr entdecken...

Diese Rootkits können u.a. die Anzeigen von offenen Verbindungen manipulieren,
sodass diese nicht mehr angezeigt werden.
Abhilfe schafft da nur ein Scan von auserhalb zu machen und mit dem eigenen zu Vergleichen, bei Abweichungen sollte man sich Gedanken machen...
dies ist nur eine von vielen Möglichen "Features" eines RootKits...

Gruß