Dies ist möglicherweise nicht vom infizierten PC aus möglich.
Die meisten Trojaner und sicherlich alle Rootkits sind hoch entwickelt, um ihre eigene Existenz und ihre Aktivitäten vor neugierigen Blicken zu verbergen. Sie können versuchen, TCPView zu verwenden, ein Instrument von Mark Russinovich, das trotz seines Namens offene Verbindungen sowohl TCP als auch UDP anzeigt. Es wurde seit geraumer Zeit nicht aktualisiert, und es ist mir nicht klar, ob es in der Lage ist, die ausgeklügelten Techniken zu umgehen, die Rootkits einsetzen, um der Erkennung zu entgehen.
Was Sie vorschlagen, ist am einfachsten zu erreichen, indem Sie den Verkehr von einem gesunden Knoten auf dem Weg abfangen. Sicherheitsfachleute lassen beispielsweise zu, dass virtuelle Maschinen infiziert werden, und sie überwachen ihre Verbindungen vom nicht infizierten Host-PC. Wenn Sie über einen Router verfügen, der etwas aufwändiger als Standard-Firmware verwendet (z. B. DD-WRT-, OpenWRT- oder Tomato-Firmware), können Sie sich am Router anmelden und zur Überprüfung des Datenverkehrs Standardprogramme ( Wireshark und Tcpdump ) verwenden.
Sie sollten sich auch der Möglichkeit bewusst sein, dass der Datenverkehr verschlüsselt wird (was häufig der Fall ist), um Sicherheitsexperten die Erstellung geeigneter Gegenstrategien zu erschweren. Selbst in diesen Fällen erhalten Sie bei Verwendung von tcpdump / wireshark zumindest eine Liste von IP-Adressen, von denen aus der betreffende Trojaner oder Rootkit gesteuert wird, und / oder die Liste möglicher Ziele und / oder eine Liste anderer infizierte PCs, alle wertvollen Informationen.