Тогда пишем драйвер, реализующий какой-то низкоуровневый протокол с поддержкой шифрования и использования в P2P-сетях. И траффик ходит по тем путям, о которых просто никто не догадывается.
А какая разница, до или после загрузки происходит отсылка? Наблюдение за сетью-то ведется совсем другим оборудованием, которое от работы этой конкретной машины не зависит. Тем подозрительней будет сетевая активность от еще не до конца загрузившейся машины.
Можно, но чем сложней система, тем выше вероятность ее обнаружения. Чем больше такой лабиринт, тем больше какого-то непонятного траффика будет кружиться в сети, что может скомпрометировать всю систему.
ICMP, либо какой-то самописный низкоуровневый протокол. Ну возможно, но как вы сами же и отметили, нет гарантии, что логи не ведутся, на еще более низком уровне.
Ну допустим, мы можем создать невинный траффик. Но как мы донесем его до нашей машины? Нужно учитывать же, что информация должна попасть не на ya.ru, а на машину хакера.
Логично. Это как колесо в вакууме — будет крутиться бесконечно, если однократно придать ему импульс, но толку абсолютно ноль, т.к. при малейшей попытке поехать возникнет трение и все остановится.
Вспоминается статья о квантовом шифровании. Проще говоря, о том, что наблюдение за траффиком будет искажать информацию. Тем самым мы видим, что какая-то информация идет, но т.к. она исказится, как только мы ее увидим, то доказать причастность трояна к этой информации не представляется возможным.
А обработку входящих сообщений можно как-нибудь настроить? Ткните в ман, если можно. Сделать такое извращенное удаленное управление, с ограниченным набором команд…
Единственное, что мне жутко в Buzz'е не хватает — так это его интеграции с Jabber. Но ресурс все равно интересный.