Claudio ha scritto: > yattaman ha scritto:
>> ma se uno dà un ipconfig e si ritrova un tunnel aperto così (siamo in
>> quella merda di xp):
>> perdonate la domanda ingenua, ma insomma che cazzo vuol dire? che ho
>> un bel troian che si è aperto un tunnel verso terzi?
>
> non so come ti si possa aiutare, l'analisi di un sistema compromesso
> (perche' un windows xp senza conoscere ogni cosa che c'e', perche' c'e',
> e' plausibilmente compromesso :) e' un'operazione che si fa con molta
> piu' difficolta' che "copia incolla della stranezza".
>
> per cui, cerca i tool di sysinternals tra i quali:
>
> 1) process explorer, l'equivalente di ps(1) per windows
> 2) autoruns, roba che ti mostra cosa parte all'avvio, sia come driver
> che come software che registry che helper obj dei browser. insomma: e' utile
> 3) tcpview, cosi' usi un'utility completa che ti dia la visibilita' su
> quello che succede sulla rete
> 4) wireshark, l'unico modo che hai per appurare quello che viene
> visualizzato su tcpview sia vero
>
> se stai lavorando su una macchina troianizzata e' possibile che non
> venga visualizzato il processo ed il lavoro di I/O del trojan, quindi
> dovresti riuscire a lavorare in ambiente non infetto.
>
> questo naturalmente va contro la natura resistente dei trojan, le
> soluzioni sono 2:
>
> 1) usi un sistema di recovery che fa la differenza tra il sistema
> bootato da cd ed il sistema vivo (microsoft ne ha fatto uno ma non
> ricordo il nome)
>
> 2) ctrl+alt+del, "esegui ..." ed avvi i tool di analisi da li'. questo
> non e' risolutivo al 100% ma passare tramite winlogon e la sua
> CreateProcess impedisce ad un trojan che gira in userspace di farti
> avviare il software d'analisi da una CreateProcess troiana. magari anche
> ctlr+alt+del avvi cmd.exe e guardi nelle directory TEMP in quel modo. si
> scopre sempre qualcosa di nuovo nelle proprie dir temporanee ... :P
Claudio ma sei ancora sotto dalla vacanza in "Berlin"? :)
Spero di rivederti ripreso al piu' presto:) Antani sia con te e ti aiuti
nel cammino...:)
sgk
PS. "ormai" nelle TEMP non ci sta piu' niente di riconoscibile:)