Відповіді:
Я б рекомендував три інструменти для визначення того, чи є ваша система частиною ботнету. Набір інструментів sysinternals є обов'язковим для цього процесу. Три перелічені нижче інструменти - це ті, які ви будете використовувати для цього процесу.
Провідник процесів, TCPView Filemon
Перший крок - запустити TCPView, щоб побачити, чи спілкуєтесь ви з будь-якими дивними адресами в Інтернеті. Ви повинні мати можливість розпізнавати всі сайти, з якими ви спілкуєтесь. Якщо ви знайдете сайт, який ви переходите на сайт, який ви не впізнаєте, тоді саме час ознайомитися ближче з тим, що відбувається.
Взагалі кажучи, коли на вашій машині у вас є ботнет, він в якийсь момент вийде через Інтернет, і коли це обов'язково помітите.
Виявивши несанкціонований трафік, зазвичай можна побачити, яка програма намагається встановити з'єднання. Тут ви переходите до провідника процесорів, і тут ви спробуєте отримати якомога більше корисної інформації про процес. Також не забудьте взяти до уваги, коли ви припиняєте підозрілий процес. Якщо ви отримаєте правильний процес, несанкціоноване спілкування через провід має припинитися.
Далі переходите до filemon, щоб переконатися, що зловмисне програмне забезпечення не відкрило ще один файл, намагаючись зберегти життя.
Це циклічний процес, але коли ви усуваєте програми по черзі, ви знайдете свою проблему, якщо вона є.
Вчора відбулася поглиблена дискусія щодо заливки на Slashdot - Як я можу сказати, чи мій комп'ютер є частиною Botnet?