Tweet
É muito importante você monitorar as portas de conexões de seu computador para identificação de Spywares, Keyloggers, Backdoors, etc.
O computador possui 65.536 portas e várias precisam estar abertas para o funcionamento de programas que utilizam a internet como Navegadores, Messenger. Resumindo, para existir conexões TCP/UDP é necessário uma porta de conexão. Portanto não adianta você identificar apenas uma porta aberta pois na maioria das vezes a porta realmente precisa estar abertas e conectadas, e são muitas. O ideal para você procurar portas abertas por arquivos mal intencionados é você associar a porta ao processo.
Vamos utilizar o Insecuritynet 3.X para isto:
Entre em:
Inicio -> Gerenciamento Local -> Gerenciar Portas -> Visualizar portas abertas
Observe:
CODIGO DE CORES:
(VERDE) Portas em estado de escuta (aguardando conexões)
(AZUL) Portas conectadas
(CINZA) Portas abertas para o localhost
Veja que temos a porta 666 conectada e o processo é nc.exe
Agora identificamos algo estranho o que fazer ?
Obtendo dados importantes da porta
Antes de cancelar a conexões, devemos obter dados.
Agora entre em:
iniciar -> defesa -> Port Info
Digite o numero da porta suspeita.
Observe que temos todos os dados:
IP do “Invasor”: Remote:192.168.137.1
Porta remota da “Invasor”: 50146
Processo ativo: nc.exe
Executável responsável pela conexão: C:\WINDOWS\nc.exe
Derrubando apenas a conexão suspeita:
Você pode derrubar apenas a conexão suspeita sem precisar se desconectar da internet.
Iniciar -> gerenciamento Local -> Fechar porta Local
(Digite a porta que você deseja fechar, em nosso caso a porta 666)
Cancelando o processo para poder excluir o executável.
Verifique se o processo está ativo, caso anda esteja, entre em:
Iniciar -> Gerenciamento Local -> Gerenciar Processos -> KILL -> Cancelar Processo
Digite o nome do processo “em nosso caso: nc.exe”
Agora você pode excluir o executável.
Já obtemos seu endereço anteriormente no “Port info”.
C:\WINDOWS\nc.exe
Importante:
Este exemplo foi com um processo simples e conhecido “nc.exe”
Vários vírus utilizam o mesmo nome dos processos do sistema, por isto se voce desconfiar de alguma coisa verifique o caminho do executável através do “Port Info”.
Existem vários métodos de esconder processos como DLL Injection, neste caso a identificação será apartir de endereços externos conectados. Resumindo, use seu conhecimento e sua criatividade para se defender. O software oferece exatamente isto, que você faça seus estudos, o programa tem as ferramentas mas a defesa é você quem faz.
O computador possui 65.536 portas e várias precisam estar abertas para o funcionamento de programas que utilizam a internet como Navegadores, Messenger. Resumindo, para existir conexões TCP/UDP é necessário uma porta de conexão. Portanto não adianta você identificar apenas uma porta aberta pois na maioria das vezes a porta realmente precisa estar abertas e conectadas, e são muitas. O ideal para você procurar portas abertas por arquivos mal intencionados é você associar a porta ao processo.
Vamos utilizar o Insecuritynet 3.X para isto:
Entre em:
Inicio -> Gerenciamento Local -> Gerenciar Portas -> Visualizar portas abertas
Observe:
CODIGO DE CORES:
(VERDE) Portas em estado de escuta (aguardando conexões)
(AZUL) Portas conectadas
(CINZA) Portas abertas para o localhost
Veja que temos a porta 666 conectada e o processo é nc.exe
Agora identificamos algo estranho o que fazer ?
Obtendo dados importantes da porta
Antes de cancelar a conexões, devemos obter dados.
Agora entre em:
iniciar -> defesa -> Port Info
Digite o numero da porta suspeita.
Observe que temos todos os dados:
IP do “Invasor”: Remote:192.168.137.1
Porta remota da “Invasor”: 50146
Processo ativo: nc.exe
Executável responsável pela conexão: C:\WINDOWS\nc.exe
Derrubando apenas a conexão suspeita:
Você pode derrubar apenas a conexão suspeita sem precisar se desconectar da internet.
Iniciar -> gerenciamento Local -> Fechar porta Local
(Digite a porta que você deseja fechar, em nosso caso a porta 666)
Cancelando o processo para poder excluir o executável.
Verifique se o processo está ativo, caso anda esteja, entre em:
Iniciar -> Gerenciamento Local -> Gerenciar Processos -> KILL -> Cancelar Processo
Digite o nome do processo “em nosso caso: nc.exe”
Agora você pode excluir o executável.
Já obtemos seu endereço anteriormente no “Port info”.
C:\WINDOWS\nc.exe
Importante:
Este exemplo foi com um processo simples e conhecido “nc.exe”
Vários vírus utilizam o mesmo nome dos processos do sistema, por isto se voce desconfiar de alguma coisa verifique o caminho do executável através do “Port Info”.
Existem vários métodos de esconder processos como DLL Injection, neste caso a identificação será apartir de endereços externos conectados. Resumindo, use seu conhecimento e sua criatividade para se defender. O software oferece exatamente isto, que você faça seus estudos, o programa tem as ferramentas mas a defesa é você quem faz.
Comment