Monitore as portas de seu computador.

Ver o tópico anterior Ver o tópico seguinte Ir em baixo

Monitore as portas de seu computador.

Mensagem  Administrador em Qua Ago 25, 2010 10:41 am

É muito importante você monitorar as portas de conexões de seu computador para identificação de Spywares, Keyloggers, Backdoors, etc.
O computador possui 65.536 portas e várias precisam estar abertas para o funcionamento de programas que utilizam a internet como Navegadores, Messenger. Resumindo, para existir conexões TCP/UDP é necessário uma porta de conexão. Portanto não adianta você identificar apenas uma porta aberta pois na maioria das vezes a porta realmente precisa estar abertas e conectadas, e são muitas. O ideal para você procurar portas abertas por arquivos mal intencionados é você associar a porta ao processo.

Vamos utilizar o Insecuritynet 3.X para isto:

Caso voce não possua o programa baixe no site da empresa que desenvolve o software:
www.insecuritynet.com.br

Entre em:
Inicio -> Gerenciamento Local -> Gerenciar Portas -> Visualizar portas abertas

Observe:



CODIGO DE CORES:

(VERDE) Portas em estado de escuta (aguardando conexões)
(AZUL) Portas conectadas
(CINZA) Portas abertas para o localhost

Veja que temos a porta 666 conectada e o processo é nc.exe

Agora identificamos algo estranho o que fazer ?

Obtendo dados importante da porta

Antes de cancelar a conexões, devemos obter dados.
Agora entre em:
iniciar -> defesa -> Port Info
Digite o numero da porta suspeita.



Observe que temos todos os dados:
IP do “Invasor”: Remote:192.168.137.1
Porta remota da “Invasor”: 50146
Processo ativo: nc.exe
Executável responsável pela conexão: C:\WINDOWS\nc.exe

Derrubando apenas a conexão suspeita:


Você pode derrubar apenas a conexão suspeita sem precisar se desconectar da internet.
Iniciar -> gerenciamento Local -> Fechar porta Local
(Digite a porta que você deseja fechar, em nosso caso a porta 666)



Cancelando o processo para poder excluir o executável.

Verifique se o processo está ativo, caso anda esteja, entre em:
Iniciar -> Gerenciamento Local -> Gerenciar Processos -> KILL -> Cancelar Processo
Digite o nome do processo “em nosso caso: nc.exe”



Agora você pode excluir o executável.
Já obtemos seu endereço anteriormente no “Port info”.
C:\WINDOWS\nc.exe



Importante:

Este exemplo foi com um processo simples e conhecido “nc.exe”
Vários vírus utilizam o mesmo nome dos processos do sistema, por isto se voce desconfiar de alguma coisa verifique o caminho do executável através do “Port Info”.
Existem vários métodos de esconder processos como DLL Injection, neste caso a identificação será apartir de endereços externos conectados. Resumindo, use seu conhecimento e sua criatividade para se defender. O software oferece exatamente isto, que você faça seus estudos, o programa tem as ferramentas mas a defesa é você quem faz.

Participe do curso online sobre Segurança Digital (ASCD)
Saiba mais, clique aqui

Sobre o insecuritynet
O insecuritynet é uma ferramenta muito versátil, o software foi desenvolvido para ser um laboratório virtual para estudos de segurança. Usando sua criatividade você pode utilizá-lo para diversas situações usando as ferramentas do software em conjunto.

Administrador
Admin

Mensagens : 61
Data de inscrição : 28/07/2009

Ver perfil do usuário http://foruminsecuritynet.forumeiros.com

Voltar ao Topo Ir em baixo

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo

- Tópicos similares

 
Permissão deste fórum:
Você não pode responder aos tópicos neste fórum