Как отследить траффик на своем пк?

Как тут уже написали, антивирусы могут это сделать. Смотри, например, crowdinspect и comodokillswitch.
По поводу передачи на сервера винды - список этих серверов есть в интернете, на хабре была статья, их можно вбить в hosts и запретить файерволом выход на них.
Ububntu тоже следит и передает на серверы, здесь уже про это писали.

Не имею пока уверенности что система может все же отправлять что-то в обход драйвера сетевой карты или хотя бы стека T*****/IP.

Шлюз не может видеть очень важную вещь - какое приложение на локальном компьютере инициирует то или иное соединение. Не может видеть в принципе. Это может видеть только что-то работающее на уровне сервиса, или как это в винде зовется, на самом компьютере.

> Не имею пока уверенности что система может все же отправлять что-то в обход драйвера сетевой карты или хотя бы стека T*****/IP.
Не может, если нет hardware бекдора (гугл badusb по теме). В системе есть один T*****/IP стек и чтобы слать что-то мимо него нужно релизовывать еще один (зачем, как, куда, когда?). Это все давно изучено и есть в открытом доступе.
Софт типа T*****View/netstat обходится из режима пользователя перехватом одной функции в ntdll (с учетом пост-эксплуатации).

> Шлюз не может видеть очень важную вещь - какое приложение на локальном компьютере
Приложение это очень субъективное понятие, как и понятие процесса, особенно в контексте каких-то закладок от разработчика. Не говоря уже о кернелмоде.

Задачу можно решить настройкой виртуальных машин, чтобы одна раздавала сеть остальным и на ней уже мониторить соединения.

Без объема знаний в системном программировании и понимания сетевой части ОС нет смысла рассуждать о подобных вещах и стоит пользоваться готовыми решениями в виде whonix-ов и прочего. Не говоря о том что в 99% средний пользователь будет Неуловимым Джо и не важно как он настроит openvpn, до тора или после.

Это уже факт, давно известный специалистам.

Это не нужно. Его задача предоставить закрытый выход тем программам, которые вручную настроены на него и отсечь остальные.
Вообще можно с помощью анализа трафика узнать кто ломится в сеть. Но особо безсмысленно.

> Это уже факт, давно известный специалистам.
Пруфы?

https://duckduckgo.com/?t=disconnect&x= … oft&ia=web

Zomba, должен уточнить, что сам по себе драйвер винда не обходит, само собой, попросту блокировка отправки не приносит эффекта. Установка стороннего драйвера так же не эффективна, она всёё равно пользуется своим встроенным.

Редактировался shaman44 (2017-01-03 18 ч.)

shaman44, 

>     Не имею пока уверенности что система может все же отправлять что то в обход драйвера сетевой карты или хотя бы стека T*****/IP.
> Это уже факт, давно известный специалистам.
> что сам по себе драйвер винда не обходит, попросту блокировка отправки не приносит эффекта
Взимоисключающие параграфы.
> Установка стороннего драйвера так же не эффективна, она всёё равно пользуется своим встроенным.
Дезинформация.

Zomba, рекомендую прочитать тему с начала и не выдёргивать цитаты, искажая смысл.

Впрочем доказывать простые вещи, с которыми имеют дела все не буду.

Сдаецца мне что ты и не можешь.

Zomba, ты тот самый зомба или нет? Как там бхц?

PS: бекдоры со своим t*****/ip стеком писали еще в 2006 году. Сейчас подобное вообще фонарно делается, бери lwip и прикручивай. Удобное место для подключения - после драйвера минипорта сетевухи, подменой указателей в NDIS_MINIPORT_BLOCK. Фаерволлы встраиваются в сетевой стек на двух уровнях: подменой NDIS_OPEN_BLOCK и установкой фильтра TDI. На новых виндах используют новый апи.

Редактировался Северус (2017-01-05 00 ч.)

Я представляю себе две ситуации.
Одна практическая работа с сетью. Сидит админ латает сеть, неважно как, через сервер или на рабочем месте. Так латает, то так латает. А она всё течёт, то скайп обошёл, то сама по себе винда полезла в сеть без разрешения. В конце концов плюёт на всё, ставит сервер линукс, глушит всё и пускает выборочно программы через шифрованный канал.
Вторая теоретические измышления здесь. Сейчас я разбиваюсь, нахожу кучу ссылок, теоретических выкладок, набор исследований разных. А мне в ответ вот у вас дескать сервиспак там не тот, а вот тут теоретически можно там подправить и будет всё как надо.
Нет уж. Пусть уж сами попробуют, шишек набьют побольше. Спасение утопающих, дело рук самих утопающих. Их убеждать только утверждать заблуждения в их головах.

Редактировался shaman44 (2017-01-05 08 ч.)

> бекдоры со своим t*****/ip стеком писали еще в 2006 году. Сейчас подобное вообще фонарно делается
Также делали и с минипортом диска, но это далеко не то что называют свой T*****/IP стек. Более такого такие манипуляции обнаружит любой антируткит. Вы путаете мягкое с теплым.

> Сейчас я разбиваюсь, нахожу кучу ссылок, теоретических выкладок, набор исследований разны
Пруфы все еще привестсвуются. Чтобы такое заявлять надо хотябы понимать чем IRP отличается от IRC

Не знаю как сейчас, а тогда не обнаруживал. Если сейчас обнаруживает - то и пофигу, где они, эти антируткиты. Главное чтобы топ5 популярных антивирусов не палили, если атака массовая. Ну или то что принято в конторе у жертвы - если целевая. В крайнем случае можно снимать хуки и прекращать любую активность при обнаружении запуска антируткита, тогда не спалит.

Бекдор уровня ОС не может подсоединяться ниже минипорта сетевого устройства, потому что это будет не универсально. Если же "заряженную" железку целенаправленно поставлять, то можно спрятать бекдор куда глубже.

Редактировался Северус (2017-01-05 14 ч.)

> палили, если атака массовая
Изначально речь шла о каких-то данных, которые ОС шлет мимо своего стека. Если же речь идет про атаки, то на 90% ПК сейчас нет прав админа и нет актуальных LPE эксплоитов. Medium integrity и права юзера дают сделать все что надо. Вам видимо эта тема ясна, а больше доставляют сообщения основанные на безграмотности.

Zomba, не желаешь написать что-нибудь в статьи? Здесь адекватным участникам всегда рады, а специалистам в какой-то теме тем более.

Слабо предсталяю как это поможет.
Тут больше дело опыта.
Вопрос вот в чём.
1. Есть ли закладки в системе от производителя? Соответсвенно кто ими пользуется?
2. Можно ли пробить систему человеку, не связанному с производителем?
Отвечаю из опыта, то есть из того, с чем сталкивался. Можно "пруфы" давать прям на меня.
1. Винда имеет закладки от производителя. Помню ещё с xp. Тогда то же говорили, что система полностью защищена. Потом вылезли случаи, как в публикациях, так и сам сталкивался, что винда тупо сливает некую информацию. Плюс куча дыр. Не напомнишь, сколько сотен дыр было на момент закрытия xp только в официальных сообщениях? Более поздние версии винды даже не скрывали, что сливают информацию.
Так же практически сталкивался, что органы пользуются дырами во всех виндах в полный рост. Не скажу сидят ли у них хорошие программисты или сам майкрософт сотрудничает, но факт остаётся фактом.
В линукс подобный скандал был с убунту, может с другими похожее то же было, не слежу давно. Были ещё дыры. Но всё что я видел на практике не работало.

2. Отсюда вытекает второй пункт, так же подтверждённый опытом, винду ломают на раз и два. Можно даже довольно дёшево заказать конкурента. Ничего не поможет.
С линуксом сложнее. Прямой взлом почти исключён, если правильно всё настроили. С другой стороны социальная инженерия и иголки под ногти творят чудеса.
Итого, что там конкретно ломают в системе мне без разницы, даже когда пишу эти строки я ни на секунду не интересуюсь этим вопросом. Есть закладка, она не видна, она даёт доступ в сеть и из сети, это факт.
Кстати, мы отвлеклись от темы. Могу только добавить, что трафик, которым винда сливает что то в сеть не виден в самой системе и не блокируется. Возможно что то сейчас и появилось для этого, но сомневаюсь, что это помешает винде шпионить, там таких закладок десятки про запас. Так что трафик только внешне контролировать.

Нет такого. Этот трафик виден и блокируется, это обычный трафик процессов. Закладки от производителя это не невидимый руткит который идет из коробки, они делаются совершенно иначе. Закладки от мс - это обычные уязвимости, по которым может быть доставлен произвольный код. Доказать что это закладки невозможно, но суть некоторых уязвимостей прямо кричит об этом (сложно так ошибиться не специально).

Еще есть Windows Update, в десятке принудительный. Штатная возможность доставить произвольный код с произвольным функционалом на произвольную систему. При желании это блокируется и шпионский функционал выпиливается, но ебал я в рот эту винду, ибо вся эта хуйня очень нездоровая. Мне дебиан больше нравится.

Редактировался Северус (2017-01-05 22 ч.)

А пруфы-то где?
Выскажусь здесь за розовый шаманский ник.
Этот цирк:

пора заканчивать.

+1, за розовый ник.