No se porque sera, pero la mayoria de los antivirus me detectan 'trojan' en el cliente... asi que paso de ejecutarlo

ACCESO / DENEGACION FIREWALL



Este proceso hará que en el momento de que se inicie el server, a nuestra victima le aparezca un mensaje en caso de que use firewall que le diga lo siguiente:



Pero en lugar del puerto 1863, le debe aparecer el puerto 2087 que es el que hemos configurado el server. Así pues cuando nuestra victima autorice al firewall, automáticamente el cliente conectará con el server y ya tendremos el dominio sobre la otra maquina....

Si en lugar de usar conexión inversa, usáramos la conexión directa, aparecería un mensaje del firewall solicitando permiso para que el server enviara la notificación de la IP y del puerto al cliente, algo así:



Para este ejemplo he tomado la conexión directa del server del NCR. Esto significa que cuando infectamos a alguien con conexión directa y tiene firewall, le da el aviso de que el proceso Logon32.exe esta intentando acceder a internet por el puerto 80. Por lo tanto a poco que nuestra víctima sea inteligente le denegara el acceso y no enviara la información al correo, por lo tanto no tendrás los datos de tu  victima. Aunque siempre los podrás obtener si lo tienes agregado al mesenger, le pasas un archivo y mientras te vas a la consola de MS-DOS, tal y como vimos al principio y en el momento que le estés pasando el archivo o él a ti, tecleas y ejecutas el siguiente comando: C:\> netstat –an  y (Enter) a continuación te mostrara todas las conexiones que tu pc tiene establecidas. Para esto es aconsejable que tengas cerradas todas las ventanas que puedas con acceso a la red y por supuesto el emule u otro programa P2P, ya que mostraría infinidad de conexiones.... simplemente localizas la conexión establecida por el puerto del mesenger y esa será la IP de tu victima.

Bueno, ya hemos visto las diferentes posibilidades que tenemos de notificación por parte de nuestras victimas, tanto por conexión directa como inversa. Aclarado esto, podemos deducir, que si nuestras victimas no autorizan los procesos salientes para que nos llegue la notificación por conexión directa, NO PODREMOS CONECTAR a no ser que conozcamos su IP, ya que no nos llegara la notificación. Esto no es aplicable a la conexión inversa, ya que el server es el que esta a la escucha para conectar con el cliente y si la victima no autoriza la salida, el server no conectara con el cliente.


DETECCION DE UN CLIENTE TROYANIZADO O UN EDITOR (NOCIONES MUY BASICAS)



Bueno ahora vamos a ver que pasa cuando el cliente de un troyano lleva un “backdoor” y al ejecutarse envía una notificación al su autor o a la persona que lo contamino....

Voy a juntar un server de NCR junto con el cliente de este, para que en el momento que ejecutemos el cliente, el server nos infecte. Así pues veremos que el firewall nos volverá a dar el aviso tal y como ya lo hizo anteriormente.



Como vemos al ejecutar el cliente nos aparece la ventana del firewall y seguido nos aparecerá el cliente que hemos ejecutado para conectar con nuestra victima,



Bueno pues con esto ya tenemos claro cuando el cliente de una aplicación esta “backdoorizado”, esto es aplicable a los editores y otros ejecutables que no sean el servidor.

¿Podemos saber quien ha sido el gracioso que nos quiere controlar? Pues si, solo tenemos que hacer lo siguiente:

Abrimos la consola de MS-DOS, y tecleamos el mismo comando que pusimos antes para ver la IP de nuestra victima a través del msn, osea C:\>netstat –an  y si cogemos como ejemplo el server del NCR que hemos configurado anteriormente, y cerramos todas las ventanas activas de internet y cualquier programa que este conectado a la red, el comando netstat nos debe mostrar nuestra IP local, la IP de nuestro “amigo” que troyanizó el cliente / editor.... y el puerto de conexión. Así pues ya sabemos detrás de que IP se esconde la persona que “backdoorizó” el troyano.

Con esto, creo que queda bastante claro para los más nuevos como funciona sobre todo la conexión inversa, como abrir los puertos de nuestro router, como gestionarlo, crear una cuenta no-ip, usar el IP-DUC, configurar el server para la conexión inversa, porque no podemos conectar con las victimas si ellos han ejecutado el server, y algunas cosilla mas que siempre vienen bien para los mas nuevos....