Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner: Traffic überwachen (https://www.trojaner-board.de/69757-trojaner-traffic-ueberwachen.html)

Cord 08.02.2009 13:02
Trojaner: Traffic überwachen
 
Hallo,

ich habe mal (ich glaube es war in einem Artikel auf Heise über das honeypot-Projekt) gelesen, dass ein Team dort bei einem PC mit Hilfe eines Programms alle aus und eingehenden Pakete überwacht hat.

Ich bin auf der Suche nach einem Programm mit dem ich überwachen kann, an welche Adressen mein PC Datenpakete schickt/verschicken will.

In dem Kontext frage ich mich auch ob der sogenannte Avira-"Webguard" dazu taugt ?

Ich hab das mal ausprobiert und den Rechner bei laufendem Programm ans Internet angeschloßen, woraufhin er folgendes angefangen hat zu protokollieren:

08.02.2009,12:09:21 [INFO] AntiVir WebGuard Version 8.0.15.0
08.02.2009,12:09:21 [INFO] Premium Security Suite Scanner Version 8.0.2.2
08.02.2009,12:09:21 [INFO] Premium Security Suite Engine Version 8.2.0.76
08.02.2009,12:09:21 [INFO] Virendefinitionsdatei : Version 7.1.1.239, Erstellungsdatum: 06.02.2009
08.02.2009,12:09:21 [INFO] Aktuelle Konfiguartion:
- Dateien mit diesem MIME Type auslassen:
- Dateien mit dieser Dateierweiterung auslassen:
- Dateien mit diesem MIME Type werden blockiert:
- Dateien mit dieser Dateierweiterung werden blockiert:
- Diese Webseiten auslassen:
- Standard-Aktion: 0
- Aktion bei Fund: 0
- Makrovirenheuristik ist aktiviert
- Win32 Dateiheuristik ist aktiviert im Modus: 2
- Web-Klassifizierer: 1
- Prozessschutz: 1
- Protokollierungsstufen: 3

08.02.2009,12:09:21 [INFO] WebGuard wurde aktiviert
08.02.2009,12:25:26 [INFO] [1] Remote Adresse 87.248.221.213:80; Prozess ID 1244
08.02.2009,12:25:26 [INFO] [1] Angeforderte URL: http://download.windowsupdate.com/v8...cab?0902081125
08.02.2009,12:25:28 [INFO] [2] Remote Adresse 65.55.184.61:80; Prozess ID 1244
08.02.2009,12:25:29 [INFO] [2] Angeforderte URL: http://update.microsoft.com/v8/windo...cab?0902081125
08.02.2009,12:25:29 [INFO] [1] Angeforderte URL: http://download.windowsupdate.com/v8...cab?0902081125
08.02.2009,12:25:29 [INFO] [1] Angeforderte URL: http://download.windowsupdate.com/v8...cab?0902081125
08.02.2009,12:25:29 [INFO] [1] Es wurde keine Malware gefunden
08.02.2009,12:25:32 [INFO] [1] Angeforderte URL: http://download.windowsupdate.com/v8...cab?0902081125
08.02.2009,12:25:37 [INFO] [1] Der entfernte Computer hat die Verbindung getrennt
08.02.2009,12:25:39 [INFO] [3] Remote Adresse 87.248.221.213:80; Prozess ID 1244
08.02.2009,12:25:39 [INFO] [3] Angeforderte URL: http://download.windowsupdate.com/v8...cab?0902081125


Das sieht ja ansich schonmal ganz gut aus, aber nehmen wir mal an ich hätte auf meinem PC einen Trojaner. Wenn der anfinge irgendetwas an einen Server hochzuladen. Würde ich das in dieser Logdatei mit Sicherheit aufgeführt werden ? (Falls Avira selbst unkomprommitiert ist) Oder könnte diese Auflistung lückenhaft sein ?
Und welche Programme gäbe es (noch) für diese Zwecke?

Danke schonmal.


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:31 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129