В любой сети всегда есть трафик. Любой хост всегда отсылает какие-либо штатные пакеты. Кто мешает добавлять к пакетам, неважно каким образом, немного своей информации. Хотя бы пару бит на пакет. Таким образом, по трафику никакой лишней активности видно не будет. Для изменения пакетов необходим модифицированный драйвер сетевой карты. Ну а тут для маскировки отправителя масса возможностей. Например, троян прикидывается браузером и отсылает запрос, запрос является командой и данными для драйвера, откуда данные уже уходят в совершенно легитимных пакетах. Для получения драйвер слушает сеть в рав режиме и снифит все пакеты. Собрав полностью данные для трояна, их можно передать на более высокие уровни обработки как никогда не проходивший по сети пакет на нужный порт.
И того, для подтверждения обмена данными, нам понадобятся не только логи сети (всех пакетов), но и полные логи того что приходило драйверу сетевой карты от приложений.
И того, для подтверждения обмена данными, нам понадобятся не только логи сети (всех пакетов), но и полные логи того что приходило драйверу сетевой карты от приложений.