Sitat av
Brukerguiden
Ser vel ut som du er inkompetent innen dette temaet, du er vel klar over at Wireshark loggfører det som skjer når du
ikke bruker maskinen også? Det loggfører alt av aktivitet på nettverket, og om du har en del bakgrunnskunnskaper innen dette vil vel dette gå utmerket fort.
Jeg støtter
Vazity, helt klart.
Du misforstår. Det jeg sier er at
ja den sender informasjon når maskinen nettop brukes. Jeg sier ikke at wireshark ikke ser den informasjonen, nei problemet er stikk motsatt! Du blir nødt til å lete gjennom enda mer informasjon for å finne virustraffikken, selv om du ikke gjør noe nettverksintensivt på maskinen. Spydigheter kan du spare deg for.
Gjerne loggfør 10 minutter med wireshark selv, og se hvor mye som kommer opp. Alt dette må du klare å luke ut for å finne de få pakkene som viruset sender.
Brukerguiden og Vazity, for å bedre vise hva jeg mener har jeg gjort et lite forsøk. Jeg skrudde på maskina, satte på wireshark og lot den stå i ca 10 minutter.
Resultater
Tid: 668 sek
Packets: 6617
Packets per sekund: 9,9
Bearbeiding, leting og analyse
6,6k packets (fra nå av "pakker") er ikke så alt for mye. Men her kommer den potensielle svakheten i deres strategi. Av de 6,6k pakkene, trengtes 14 filtre for å fjerne de mest repeterte. Filtrene bestod av en blanding av ekslusjon av ip-adresser (ff:ff:ff:ff:ff:ff, 192.168.10.119 etc.), og pakkeprotokoller som vanligvis ikke sender informasjonen dere leter etter (arp, ssdp, dns etc.). Med disse 14 filtrene, ble 1331 pakker stående igjen. Nå har du sjansen til å lete gjennom 1,3k pakker for å se om noe minner om en virus-host eller har mistenkelige pakkedata. Tror du TS klarer dette? Jeg tviler.
Okei, men hva om TS faktisk gjør det. Hva er det neste steget? Datapakker trenger ikke å inneholde hvilken applikasjon som sendte dem, og hvis du finner hvilken socket de lytter til, så vil ikke wireshark vise deg hvilket program som lyttet på den socketen til det tidspunktet. Hvorfor skal da TS bruke wireshark i det hele tatt? Hvorfor først gamble på at viruset har sendt trafikk i løpet av perioden han overvåket nettet, så filtrere og søke i pakker, og deretter sitte igjen like klok som han var fra starten av?
Mitt forslag til å finne programmet er ved, ikke å se på
hva som sendes ut av maskinen, men
hva som sender det. Her kommer applikasjoner med lignende funksjonalitet som
Netstat inn. Men hvorfor bruke netstat? Dette er 2014 og vi har både win7 og 8.1. Her kommer en potensielt enklere løsning: Windows' egen
Ressursovervåkning.
http://gyazo.com/6a906049edc584102aa7a4e7df1b16af.png
Hvorfor den? Fordi:
A: den viser hvilke program som sender nettverkstrafikk,
B: den viser hvilke porter og ip-adresser programmet sender til, og sist men ikke minst
C: den viser PID.
Med PID kan du finne programmet i f.eks. taskmanager, og vise kolonnen "Bildebane" der fila ligger.
Nå håper jeg TS klarte å løse problemet sitt, som for øvrig var for en måned siden, men jeg håper også at du ser problemet med å bruke wireshark. Føl deg fri til å rette meg hvis jeg har uttrykt meg feil om noe.
Sist endret av L33tenGutt; 3. februar 2014 kl. 22:52.
Grunn: Automatisk sammenslåing med etterfølgende innlegg.
)
