Monitore as portas de seu computador

Monitore as portas de seu computador
É muito importante você monitorar as portas de conexões de seu computador para identificação de Spywares, Keyloggers, Backdoors, etc.
O computador possui 65.536 portas e várias precisam estar abertas para o funcionamento de programas que utilizam a internet como Navegadores, Messenger. Resumindo, para existir conexões TCP/UDP é necessário uma porta de conexão. Portanto não adianta você identificar apenas uma porta aberta pois na maioria das vezes a porta realmente precisa estar abertas e conectadas, e são muitas. O ideal para você procurar portas abertas por arquivos mal intencionados é você associar a porta ao processo.

Vamos utilizar o Insecuritynet 3.X para isto:

Entre em:
Inicio -> Gerenciamento Local -> Gerenciar Portas -> Visualizar portas abertas

Observe:



CÓDIGO DE CORES:

(VERDE) Portas em estado de escuta (aguardando conexões)
(AZUL) Portas conectadas
(CINZA) Portas abertas para o localhost

Veja que temos a porta 666 conectada e o processo é nc.exe

Agora identificamos algo estranho o que fazer?

Obtendo dados importante da porta

Antes de cancelar a conexões, devemos obter dados.
Agora entre em:
iniciar -> defesa -> Port Info
Digite o número da porta suspeita.



Observe que temos todos os dados:
IP do “Invasor”: Remote:192.168.137.1
Porta remota da “Invasor”: 50146
Processo ativo: nc.exe
Executável responsável pela conexão: C:\WINDOWS\nc.exe

Derrubando apenas a conexão suspeita:

Você pode derrubar apenas a conexão suspeita sem precisar se desconectar da internet.
Iniciar -> gerenciamento Local -> Fechar porta Local
(Digite a porta que você deseja fechar, em nosso caso a porta 666)




Cancelando o processo para poder excluir o executável.

Verifique se o processo está ativo, caso anda esteja, entre em:
Iniciar -> Gerenciamento Local -> Gerenciar Processos -> KILL -> Cancelar Processo
Digite o nome do processo “em nosso caso: nc.exe”



Agora você pode excluir o executável.
Já obtemos seu endereço anteriormente no “Port info”.
C:\WINDOWS\nc.exe




Importante:

Este exemplo foi com um processo simples e conhecido “nc.exe”
Vários vírus utilizam o mesmo nome dos processos do sistema, por isto se você desconfiar de alguma coisa verifique o caminho do executável através do “Port Info”.
Existem vários métodos de esconder processos como DLL Injection, neste caso a identificação será a partir de endereços externos conectados. Resumindo, use seu conhecimento e sua criatividade para se defender. O software oferece exatamente isto, que você faça seus estudos, o programa tem as ferramentas mas a defesa é você quem faz.

Participe do curso online sobre Segurança Digital (ASCD)

Sobre o insecuritynet
O insecuritynet é uma ferramenta muito versátil, o software foi desenvolvido para ser um laboratório virtual para estudos de segurança. Usando sua criatividade você pode utilizá-lo para diversas situações usando as ferramentas do software em conjunto.
  • 26/07/2010

  • by Insecuritynet

Compartilhar

logo