Tutorial - Local monitor

Tutorial - Local monitor

A principal função do Local Monitor é a identificação de intrusos em seu computador.  Trojans Backdoors serão facilmente identificados, pois monitorando suas conexões você saberá exatamente o que está acontecendo em sua maquina em relação a internet. O fato de eliminar conexões de Web Sites e estar constantemente varrendo as conexões ativas torna um Local Monitor um ótimo substituto ao “Netstat” do Windows.
O programa permite você à descobrir o IP de todas as conexões em tempo real.

Sobre o Radar

Para iniciar um scan  clique em  .
O radar irá mostrar em que pontos do mundo seu computador está conectado.



Ícones no radar

Seu computador Sua rede local Satélites Áreas não identificadas


Painel de conexões

Ao lado do radar temos um painel com as conexões em tempo real, o painel exibe:

Hora: Momento em que a conexões é iniciada
IP: IP do computador remoto (onde seu PC está se conectando)
Porta: Porta remota (porta do computador remoto, não a porta local de seu computador)
Processo: Processo envolvido na conexão
Local: País detectado (locais não detectados serão exibidos como NOID)



 
Cores do painel:
Verde claro: Conectado em website http ou https
Verde escuro: Desconectado de website http ou https

Cinza claro: Conectado em sua rede local ou em seu próprio computador
Cinza escuro: Desconectado de sua rede local ou de seu próprio computador

Vermelho claro: Conectado em outros servidores que não seja local e nem de websites.
Vermelho escuro: Desconectado de outros servidores que não seja local e nem de websites.


Logs Gerados

Ao término de um Scan é gerado um log com mais detalhes das conexões detectadas:
 


No log você terá as seguintes informações:
Horário do início da conexão.
Horário do término (Se a conexão for terminada durante o Scan)
DNS remoto (Nome do servidor remoto)
IP e porta de seu computador
IP e porta do computador remoto
Nome do processo
Executável envolvido na conexão

Temos 3 cores no arquivo de log:
Verde: http e https
Cinza: local
Vermelho: outras conexões


Configurações

Assim que o Local Monitor é instalado é definido um padrão para o Scan, mas pode ser alterado.

Configuração padrão:
 - O Scan durará apenas 4 loops
 - Websites http e https são ignorados (desta forma não serão exibidas conexões de sua navegação na web, assim aparecerão apenas conexões potencialmente suspeitas)
 - Conexões em seu próprio computador (Localhost)  são ignoradas, o navegador de web sempre estará conectado no Localhost
 - Conexões semelhantes serão filtradas
 - Não está definido nenhum país de partida para otimizar seu radar

Veja este quadro com as definições acima:

 

Alterando as configurações:

Duração do Scan:

Você pode definir a duração do scan escolhendo a quantidade de loops.
Se você quer apenas ver o que já está conectado em seu PC escolha 1 , 2 ou 4 loops.
Se você deseja monitorar ações de algum software escolha um numero maior, pois você pode manipular o software enquanto tudo está sendo monitorado.

 
Exibir conexões de Websites
 
Para exibir desmarque estas opções

Exibir conexões de Localhost
 
Para exibir desmarque esta opção.

Conexões de rede local:
 
Você pode escolher entre omitir ou exibir conexões realizadas dentro de sua rede local.

Filtro de conexões semelhantes

 O local monitor considera semelhantes, as conexões que estão no mesmo host remoto utilizando o mesmo processo e a mesma porta remota.
Um exemplo para uso deste filtro é quando você quer monitorar as conexões em um determinado website, o site pode ter vários links que carregam automaticamente outros servidores (banners, iframes, etc), mas também contem inúmeras imagens, scripts, etc. Com o filtro estas (imagens e scripts) serão filtrados e você terá bem menos conexões para analisar.

Exibir log após o Scan.
 
Você pode escolher a melhor opção dependendo de sua necessidade.
Se você irá fazer vários Scans em um curto período de tempo deixe esta opção desativada, assim a cada não irá ficar carregando automaticamente um arquivo de log em seu navegador.

Configuração do local de partida

Esta configuração serve apenas para otimizar as linhas de conexões que são exibidas no radar.
Veja o exemplo de conexões nos países: EUA, França e Japão partindo de seu País de origem.

OUTRO BRASIL PORTUGAL ANGOLA



Ferramentas

Temos algumas ferramentas que podem te auxiliar em seu scan.


 
Visualizar Logs

Abre o diretorio contendo todos os logs ja gerados pelo Local Monitor.

Visualizar IP Publico.
 
Você poderá visualizar seu IP público na internet.

Lista de proxys
 
Lista com os princiais proxys onlines.

Geolocalizar IP
 
Localização geografica de um determinado endereço IP.

CMD
 
Atalho para o prompt de comandos do Windows.


Exemplo de detecção de conexões suspeitas

Vamos testar o programa criando uma conexão com servidor do google utilizando o programa cliente de FTP do Windows.

Abra seu prompt de comando e digite:
ftp google.com


 
Veja que estamos conectado ao servidor, veja no Local monitor

 



 
Aguarde o termino do Scan ou tecle ESC para encerrar.
Veja o Log:


 
Temos todos os dados da conexão, inclusive o caminho do executável responsável pela conexão.

Nesta caso, foi uma conexão intencional, mas caso fosse um malware enviando algum tipo de dado ele seria detectado.

Qualquer detecção que aparece em vermelho é um malware?
A resposta para esta pergunta é “não”, o Local Monitor irá detectar qualquer programa em seu computador que esteja conectado na web ou em outro computador, poderá ser um Jogo online, em cliente FTP, compartilhador de arquivos, etc.
Lembre-se que você deve conhecer seu PC, saber o que está instalado para você pode julgar se é uma conexão potencialmente perigosa.
Além de malwares você pode detectar programas legítimos enviando informações através de portas estranhas sem seu consentimento.


Varreduras em Páginas Web

Para monitorar as conexões feitas em um website você precisa desmarcar as opções “omitir http e omitir https”
 


Em apenas uma visita em uma página poderá haver mais de 50 conexões, varias imagens, banners, iframes, etc poderão ser carregados, quando voce fazer um Scan em uma página, feche as outras para não sobrecarregar o software.

Abra o navegador e digite o site que você deseja monitorar,  neste exemplo vamos conectar o Google.


 

Veja o Local Monitor capturando as conexões realizadas com o servidor norte americano:

 

Observe o Log geradao.

Caso você queira mais detalhes, desmarque o opção “Filtrar conexões semelhantes”.


  • 11/10/2014

  • by Insecuritynet

Compartilhar

logo