Этот вопрос возник при изучении поведения троянов и (RAT) троянцев удаленного доступа.
Может ли злоумышленник создать троян, который может обманом заставить ОС или сетевой адаптер скрыть удаленное соединение с компьютером, чтобы такие инструменты, как Wireshark или Хакер процессов который может смотреть на такие вещи, как активное, прослушивающее, установленное соединение, не сможет увидеть удаленное соединение с ним, чтобы злоумышленник мог сделать что-то вроде невидимого бэкдора?
Я знаю, что одним из способов достижения «невидимости» было бы зашифровать соединение с помощью IPsec, чтобы вся полезная нагрузка + заголовок пакета «скрывала» свою личность, даже если маршрутизатор все равно знал бы, откуда он пришел, я хотел бы знать, действительно ли это можно сделать установленное соединение «невидимым» для анализа Wireshark.
Если злоумышленник скомпрометировал машину, на которой вы запускаете анализатор, то от анализатора можно скрыть все, что угодно.
Если анализатор работает на отдельном компьютере, действующем как маршрутизатор на пути между скомпрометированной машиной и удаленной машиной, то трафик не может быть скрыт от анализатора. В общении могут использоваться такие методы, как скрытые каналы или стеганография, чтобы вам было трудно увидеть, что происходит.