Como detectar Backdoors Oculto, Cavalos de Tróia e Rootkit Tools

Como detectar Backdoors Oculto, Cavalos de Tróia e Rootkit Tools

http://img695.imageshack.us/img695/7545/logoskynethacker.jpg

Anteriormente eu já postei Azure AIO Keylogger e Star Tools Keylogger hackear MSN, Hotmail, Yahoo, Gmail ou qualquer senha de conta de e-mail. Neste artigo eu vou mostrar para você como para detectar uma backdoor em uma ferramenta.
http://img693.imageshack.us/img693/4610/backdoor.png
O que é um BackDoor?
Uma backdoor em um sistema de computador (ou cryptosystem ou algoritmo) é um método de contornar a autenticação normal, garantindo o acesso remoto a um computador, ter acesso a texto simples, e assim por diante, enquanto tenta permanecer indetectado, o backdoor pode assumir a forma de um programa instalado, ou pode ser uma modificação de um programa existente ou dispositivo de hardware. Ele se esconde no computador, verifica lacunas existentes, abre as portas correspondentes, bem como modifica os arquivos de registro do sistema.
Backdoor não irá duplicar ou ativamente espalhar-se. É só abrir uma determinada porta através da qual um computador remoto na rede pode controlar o computador infectado. Geralmente, o backdoor não vai influenciar a comunicação normal da rede, de modo firewalls ou IDS dificilmente pode detectar a sua existência.
É a minha rede infectada com um backdoor?
Segundo as estatísticas, a maioria dos backdoors trabalhar em porta 31337, 31335, 27444, 27665, 20034, 9704, 6063, 5999, 5910, 5432, 2049, 1433, 444 e 137-139. Então, se há comunicação através destas portas na rede determina se a rede está infectado com um backdoor.
Como detectar uma invasão em uma ferramenta?
1. Botão direito do mouse, se você tem winrar instalado e você vê "abrir com winrar", então isso significa que foi binded com winrar tão def backdoored
2. Abra-o com um editor de recursos, tais como
Resource Hacker/Restorator/Pe Explorer
e verificar a seção RCDATA. Se existe 1 e 2 entradas então sua binded.
3. Abra-o com um editor hexadecimal. No início de um cabeçalho PE há sempre essa linha "Este programa não pode ser executado em modo DOS". Procure por ele, se existe mais de uma vez, então pode ser binded
depende da aplicação específica, por exemplo, que não é incomum para classificadores / crypters ter o mínimo arquivo anexado em recursos. Também procurar. Exe e inspecionar os resultados, um arquivo binded
gotas os arquivos para uma pasta temporária antes de executá-los, então se você encontrar algo como isto:%. temp%. \. xx exe .. ou então a sua def file1.exe/file2.exe binded
4. Execute-o em sandboxie. Quando um arquivo é ran'd em sandboxie seu acesso cant isolada (arquivos / Registro). Primeiro, clique no ícone da bandeja sandboxie para abrir sua janela, em seguida, clique direito no arquivo e clique em "run com sandboxie". Se você ver um outro nome do processo no sandboxie janela, provavelmente a sua backdoored (isto não inclui rpcss sandboxie / processos lançamento dcom, essas são legítimos e necessários para alguns programas). Isso não é tudo, o arquivo pode soltar outra quando um dos botões no programa GUI é clicado ou depois de fechá-lo, então clique em todos os botões e feche-o apenas para ter certeza. Se você ver outros processos, em seguida, clique no arquivo immdiatly -> encerrar todos os processos a partir do menu Sandboxie. Se um arquivo se recusar a executar em sandboxie ou seu suposto ser um programa e ele executa sem GUI, então provavelmente seria melhor suprimi-lo.
Espero que este tutorial foi útil para você.
Postagem anterior
Próxima postagem

postagem escrita por:

1 Comentário:

priscila cordeiro disse...

meu deus explique-me direito como detectar