Bredonosec>> вариантов дохрена и трошки.
JackSmith> у всех этих вариантов одно слабое место - сеть. Данные нужно куда-то отправлять. Значит, берем снифер + анализатор трафика, и если даже шифрованные данные не посмотреть, маршруты, логи, характер активности может многое сказать. И если появятся вопросы, люди же в пределах досягаемости.
Про то, какие именно люди в пределах досягаемости - не в курсе, но вот буквально сегодня утром мне приятель звонил с интересным случаем: Комп (наверно, можно сказать серв - на нем крутится бухгалтерия фирмы, к которой подключены юзвери на клиентах), на компе антивирь присутствует. Вроде он говорил, каспер, но не уверен. При запуске - начинаются попытки переименовать файлы и папки. Каспер запрещает, потому тилибонькает комп как музыкальная шкатулка.
Проверял он его всякими сканерами - вроде что-то вычистило, более ничего не находит, в спокойном состоянии комп ведет себя прилично. Но если начать работать в сети - через непредсказуемое время - час, два, пять - хз - начинает опять те же концерты. То есть, что-то лезет в сеть исключительно во время толстой активности в сети, что-то оттуда скачивает, и пытается гадить.
Учитывая, что сейчас банально страница какой-нибудь тырнет-газеты будет иметь порядка 600 разных трекеров и скриптов с разных ресурсов, анализировать. который из ресурсов левый - достаточно унылое и занудное занятие. А зловред в спокойное время показываться отказывается. Только при толстой активности.
Вот и вылавливай его в логах
я конечно подкинул пару идеек, но не знаю, насколько оказалось результативно..
JackSmith> хз, я китайское барахло с али проверяю на предмет, не шлет ли он чего лишнего в китай.
А яфоновское барахло, не шлет ли оно чего в сша, турцию, мексику, и где там еще сервера, не проверяешь? )) А оно шлёт, презентации были ))