Merhaba arkadaşlar bugün sizlere hepimizin korkulu rüyası olan server yada keylogger'ın kişisel bilgisayarımızda var olup olmadıgını anlatacagım.... Öncelikle TCPView Microsoft yazılımıdır. Sisteminizdeki tüm TCP ve UDP portları gösterir. Hangi uygulamanın hangi portları kullandığını, portun aktifliğini, o port üzerinden alınan ve gönderilen paket sayısını ve lokal ve uzak bağlantı adresini gösterir. 
Trojanlar ters bağlantı dediğimiz yöntemle genellikle dns yoluyla ve belli bir port üzerinden sürekli kurban ve hacker pc arasında bağlantıda olurlar.
Bizde bu dns ve port üzerinden yola çıkarak tespit edeceğiz. Bakmamız gereken State durumu ESTABLISHED veya SYN_SENT olan uygulamalar.
ESTABLISHED bağlantı sağlandığı,
SYN_SENT bağlanmaya çalışıldığı anlamına gelir. Peki zararlı bağlantıları nasıl tespit ederiz?
81, 82, 83, 1453, 1604, 3460, 15963 bu portlar başlıca trojanlar tarafından kullanılan portlardır.
Yüksek risk taşıyan uzak adresler(dns) ise:
no-ip.biz
no-ip.info
no-ip.org
3utilities.com
bounceme.net
hopto.org
myftp.biz
myftp.org
myvnc.com
redirectme.net
servebeer.com
serveblog.net
servecounterstrike.com
serveftp.com
servegame.com
servehalflife.com
servehttp.com
servemp3.com
servepics.com
servequake.com
sytes.net
zapto.org
Örneğin: Remote Address ******.no-ip.biz yazan veya Remote Port 15963 olan uygulama zararlıdır. Peki biz bu durumdan nasıl kurtulabiliriz şimdide onu anlatayım...
Nasıl kurtuluyoruz?
Sağ tık -> Process Properties tıklatarak, Path değerini bir yere not ettikten sonra ESC ye basarak ufak pencereyi kapatın.
Tekrar uygulamaya sağ tık yaparak "End Process" seçin ve uygulamayı sonlandırın.
Not ettiğimiz path değeri zararlının yoludur şimdi tek yapmamız gereken bulunduğu klasöre giderek silmek :)
Programı İndirmek İçin Tıklayınız |
SAVAŞ KIRÇOVALI
ÖZEL BÜRO HACK TİMİ
[publicize twitter]
[publicize facebook]
[category teknoloji]
[tags HACKER DOSYASI, Kişisel, PC, Trojan Tespiti, HACKER]
Hiç yorum yok:
Yorum Gönder