Come verificare se un host tenta di connettersi al mio eseguibile (applicazione)?

0

Il mese scorso ho scaricato alcuni strumenti di hacking !!! Dopodiché ho la netta sensazione che alcuni host provino a riconnettersi all'applicazione (non so se sono stato monitorato o meno). C'è un modo per verificarlo.

    
posta MS Guy 05.05.2016 - 07:47
fonte

1 risposta

1

Il modo più semplice e veloce sarebbe quello di verificare se ci sono processi che tengono aperto un socket per l'ascolto.

Hai bisogno di un'utilità come netstat (Unix, Mac e Windows). Ci sono anche utility GUI - Mi sembra di ricordare tcpstat e wintcp per Windows. Anche Process Explorer di SysInternals e TCPView.

Queste utilità forniranno le porte aperte utilizzate e l'ID di processo del processo proprietario. Devi quindi verificare se il processo è legittimo o meno e puoi cercare il numero di porta su Google.

Inoltre, puoi eseguire una scansione antivirus / antimalware per vedere se ci sono minacce conosciute attive.

E puoi fare qualcosa di veloce e sporco come la scansione del sistema per i file di modifiche recenti (ce ne saranno molti), riesaminando le modifiche per determinare se sono legittime o meno.

Su, ad esempio, un sistema Windows, i file creati di recente con estensioni eseguibili (.exe, .scr, .com, .dll, .pif, .lnk, .bat, .cmd, .ps1) sono il principale sospetto a meno che sai che sono innocui. File come .htm, .html e .js al di fuori della directory del browser sono anch'essi inaffidabili (a meno che tu non sia uno sviluppatore Web e questi siano i tuoi file). Recentemente anche i file modificati con le stesse caratteristiche sono sospetti: un virus sufficientemente avanzato può facilmente nascondere all'interno di un altro eseguibile ( e probabilmente ripristinerebbero anche la sua modifica ora e data in modo da non notare nulla, quindi mentre una modifica è sospetta, non rilevare alcuna modifica è non una garanzia a meno che tu non abbia almeno un set di file attendibili firme in anticipo, conservate in un luogo attendibile e un modo fidato di controllarle, ad esempio il CD di avvio di Tripwire o la chiave USB. In alcuni casi, alcuni sistemi di difesa vengono forniti dal sistema operativo, ad esempio Windows ha SFC e Linux ha AppArmor, ma sono lontani da un proiettile d'argento).

Finalmente puoi monitorare le modifiche del sistema con la loro data (chiavi di registro, script di inizializzazione e attività).

Si tratta di un approccio rapido, relativamente facile e semplice e probabilmente non rileverà minacce più avanzate come i rootkit e i virus "stealth". In tal caso, sono presenti anche utilità di rilevamento dei rootkit (entrambe da società antivirus come ESET e fonti ben note come Rootkit Revealer o rkhunter).

Ancora più minacce avanzate - i pacchetti che conoscono e cercano attivamente di eludere le strategie di rilevamento dei rootkit - esistono, non sono probabili come un drico "open socket" e si annidano "drop-in" richiede una notevole conoscenza per operare.

-

E questo è il motivo per cui non scarichi e esegui "applicazioni di hacking" su una macchina non monouso senza sapere esattamente esattamente ciò che stai facendo e / o come monitorare la macchina, oppure pronto a spazzarlo via dall'orbita in seguito, pulendolo e reinstallando tutto (e anche questo ha una probabilità incredibilmente piccola - lo stesso di aver infastidito la NSA, il Mossad o anche i tipi più disinvolti - di non è sufficiente. Dovrebbe essere un attacco su misura, ma esistono).

    
risposta data 05.05.2016 - 08:13
fonte

Leggi altre domande sui tag