|
Título: Como saber Si tiene un server Publicado por: ANTRUCK en 9 Agosto 2011, 01:32 am Bueno he bajado unos cuantos RAT del mismo pero diferente paginas el "ProSpy" herramienta de pago, la cosa es como saber que no esta infectado por un server, ya que todo esto programas son detectado por los antivirus ?
Título: Re: Como saber Si tiene un server Publicado por: $Edu$ en 9 Agosto 2011, 01:45 am Analisando en una maquina virtual las cosas que hace al ejecutar el cliente que es lo que trae regalito xD
Me dijieron buenas herramientas hace unos dias, bajatelas: -Moo0 FileMonitor 1.05 -Moo0 ConnectionWatcher 1.50 -Regshot 1.8.2 Con eso en una maquina virtual para mas seguridad ejecutas un regshot con el programa mismo, luego el filemonitor y el conection watcher. Luego ejecutas el cliente.exe del rat y te fijas en los otros 2 programas a ver que hace ese cliente.exe, si crea otro archivo para copiarse o si se crea una conexion que no tendria que crear. Si ves que se crea otro archivo.exe y se guardo en una carpeta pues es sospechoso eso y ya sabras donde se guardo. Luego cierras el filemonitor y el watcher y el regshot que seguia abierto le das a otro regshot mas asi te saldra una opcion para comparar el primer regshot con el q hiciste luego de q se ejecuto el cliente.exe, si este venia infectado veras que las modiicaciones nuevas son entradas al registro para q se inicie con windows o cosas asi. Pero se puede hacer de muchas otras formas xD Título: Re: Como saber Si tiene un server Publicado por: ANTRUCK en 9 Agosto 2011, 02:11 am Analisando en una maquina virtual las cosas que hace al ejecutar el cliente que es lo que trae regalito xD Me dijieron buenas herramientas hace unos dias, bajatelas: -Moo0 FileMonitor 1.05 -Moo0 ConnectionWatcher 1.50 -Regshot 1.8.2 Con eso en una maquina virtual para mas seguridad ejecutas un regshot con el programa mismo, luego el filemonitor y el conection watcher. Luego ejecutas el cliente.exe del rat y te fijas en los otros 2 programas a ver que hace ese cliente.exe, si crea otro archivo para copiarse o si se crea una conexion que no tendria que crear. Si ves que se crea otro archivo.exe y se guardo en una carpeta pues es sospechoso eso y ya sabras donde se guardo. Luego cierras el filemonitor y el watcher y el regshot que seguia abierto le das a otro regshot mas asi te saldra una opcion para comparar el primer regshot con el q hiciste luego de q se ejecuto el cliente.exe, si este venia infectado veras que las modiicaciones nuevas son entradas al registro para q se inicie con windows o cosas asi. Pero se puede hacer de muchas otras formas xD Gracias uff siempre se me olvida que existe la maquina virtual y la tengo en el escritorio :xD |