问检测比特币挖掘

EN

你可以寻找交通模式等等，但在比特币开采人群、知道Tor运作方式的人群和保护隐私的人群之间存在着重大的交叉。这意味着:网络上的检测并不那么可靠。它不需要很大的带宽，这使得它变得特别困难。

他们可能无法隐藏的是CPU和GPU的使用。如果您可以通过SNMP访问计算机，则可以远程监视CPU峰值，也可以使用获取过程 PowerShell cmdlet针对网络上的计算机查找运行CPU时间的内容。对于GPU时间来说，除非你能以某种方式监控功率绘制，否则你不太可能真正地发现它的使用。

不幸的是，由于您允许人们安装他们想要的任意路径的软件，所以您不太可能想出一个可靠的、可重复的方法--您正在寻找的人员可以更改矿工、更改路径等来更改他们的签名。

数据包检查：盖茨功是主要的、官方的挖掘协议。您可以创建一个l7滤波器模式来标记数据包并丢弃它们。如果像沙蔓这样的带宽管理设备能够检测到getwork，我也不会感到惊讶。

然而，大多数采矿都是池式的。看来，实现这一目标的方式是多种多样的。一些池甚至有自己的自定义客户端。他们可能使用各种不同的网络协议。

此外，挖掘恶意软件可以通过SSH、TOR等来绕过这种策略。

AV:根据我的经验，AV产品至少要努力维护不同挖掘软件的签名：示例

1. 寻找与比特币服务器的连接。应用程序必须打电话回家，寻找与服务器的连接，源IP将引导您找到运行该软件的系统。
2. 列出比特币矿工的可执行名称列表，并对这些名称进行扫描系统。