Ho due macchine:
- windows 7 (vittima)
- kali (attaccante)
Ho creato un file PE dannoso (exe) e lo apro in Win7 per ottenere l'accesso da una sessione in Kali. ad esempio: "HACK.exe"
Dato che voglio essere invisibile, ho usato la migrazione dei processi per nascondermi dietro semplici applicazioni aperte su Win7 come: CALC o blocco note (mentre erano aperti)
Nel frattempo sto registrando il comportamento di Win7 tramite python (dalla libreria di psutil).
hack.exe ha una connessione aperta poiché è collegata a Kali attraverso la sessione aperta. (Posso vederlo nel file registrato)
Sono migrato a calc e notepad poiché non hanno mai avuto una connessione aperta (in casi normali).
Quando ho eseguito la migrazione di "hack.exe" a "calc.exe" o "notepad.exe", tutti i dettagli sono stati spostati su calc o notepad come: utilizzo della memoria, numero di thread, byte di lettura / scrittura (tutto) , tuttavia il numero di connessione non è stato aggiunto al processo in hosting, il numero di connessione in calc o notepad è ancora 0!
Qualcuno sa perché dopo la migrazione ogni dettaglio è passato al nuovo processo tranne il numero di connessione!
In Kali vedo ancora la sessione aperta! Il processo è stato migrato correttamente! MA il numero di connessione non viene aggiunto al processo host (calc o notepad).
Qual è il motivo?
(Nota: registro anche il numero totale di connessioni in Win7, non è cambiato! prima della migrazione era 75 dopo la migrazione anche 75)