Как можно проанализировать трафик на присутствие зловредов?
Простой пример. Решил я войти в личный кабинет Ростелекома по адресу lk.rt.ru, мисскликнул и ввёл lkrt.ru, произошёл редирект на домен apycomm.com, затем на tickets.ru с реферальной ссылкой. Какие есть способы убедиться, что в процессе этой переадресации на комп ничего не попало? Как можно проанализировать выбранный домен, трафик? Вообще обязательно ли скачивание файла на компьютер, для того чтобы на компьютер попал зловред?
Если у вас есть способ проверить трафик, проходящий после ввода lkrt.ru, буду признателен за результаты антивирусной диагностики!
трафик можно проанализировать на предмет активности вредоносов. т.е. запросы\ответы к\от командного центра ботнета, от репозиториев откуда будут вкачиваться модули и т.п. в общем искать в источниках, назначениях неожидаемые адреса и пытаться исследовать тело пакета (это в 99% случаях бесполезно, т.к. тело зашифровано).
Это сейчас про ручной метод, который очень неэффективный.
Есть всякие IDS/IPS в том числе HIDS/HIPS, которые детектят на основе сигнатур и(или) эвристики, тут эффективность больше.
А вообще, чтобы проанализировать что на комп ничего не попало, одного мониторинга сетевой активности мало, нужно ещё в сторону АВПО смотреть.
Простой
