1. Përshëndetje dhe mirësevini në forumin e Itshqip.com
    Nëse akoma nuk jeni pjesë e IT komunitetit më të madhë Shqiptarë nga fusha e Teknologjisë Informative, ju ftojmë që të bëheni pjesë e këtij komuniteti që tani duke u regjistruar këtu - procedura është shumë e thjeshtë dhe e lehtë. Gjithashtu ju mund të regjistroheni edhe përmes rrjetit social Facebook, Twitter, Google+.

Dallo a je i infektuar nga RAT/Keylogger.

Tema tek 'Siguria në përgjithësi' e hapur nga DarKr0x, 21 Qershor 2016.

  1. DarKr0x

    DarKr0x Anëtar Legjendë

    Postimet:
    2,429
    Pëlqimet:
    541
    Pikë nga trofetë:
    358
    Pershendetje,
    Nese jeni infektuar ky tutorial ju jep mundesine te gjurmoni ratin ose keyloggerin.
    Zakonisht kur nje keylogger krijohet ai dergon informacioneve te viktimave ne intervale te caktuara.
    Ka dy menyra se si krijuesi i merr informacionet:
    1-Duke perdorur email.Zakonisht Gmail dhe pse ka nje limit prej 500 emailesh me informacione te derguara...
    2-FTP server.Krijuesi konfiguron nje FTP server dhe keyloggeri ose rat ben upload cdo here informacionet ne ate server.

    Nese monitorojme paketat qe dergohen nga PC jon atehere ne do te marrim emailin ose ftp server te personit qe ju ka infektuar.Disa persona qe jane ne hapat e pare mund te lejne emailin e tyre gjate konfigurimit te serverit ose ndonje ftp te nje websiti qe perdorin dhe kjo mund tju coje direkt tek ai.

    Wireshark eshte nje tool qe skanon network.Ai skanon te gjitha paketat qe vijne dhe dalin nga PC.
    Edhe nese dyshoni se jeni te infektuar ja vlene ta perdorni dhe te siguroheni.

    Hapat qe duhet te ndiqni:
    1.Shkarkoni Wireshark.Kerkoni ne google per te.Sigurohuni qe bashke me te te instalohet dhe Winpcap.
    2.Shkoni tek butoni 'Capture' dhe zgjidhni Ethernet ose WLAN.(Cilin Network Card perdorni)
    3.Programi do filloje te kapi paketat.Lereni te pakten 30 min per rezultate te mira dhe me pas ndalojeni.
    4.Tani shkoni ne filter box dhe shkruani FTP/SMTP.
    5.Nese krijuesi i keylogger/rat ka perdorur email do ju dalin te dhenat e email nese ka perdorur ftp do dalin te dhenat e ftp.

    Pra ju mund te shikoni nese jeni infektuar pasi te kryheni keto hapa.Me pas nese jeni i infektuar ju rekomandoj ta beni Format PC.
    PS: Me kete metode nuk keni 100% suksese sepse keyloggeri/rati mund te jete anti-wireshark.Gjithashtu dhe crypterat kane mundesi anti-wireshark.Por perseri ja vlen ta provoni.
    Nese krijuesi i virusit eshte ne fillimet e tij me shume mundesi nuk di fare rreth wireshark dhe ju mund ta gjurmoni...
    Pasi te merrni keto info mund ti fshijni filet, qe permbajne informacionet tuaja, ose dhe mund ta denonconi nese e gjeni indetitetin :)
     
  2. Jãşhť'Sşeriĕ

    Jãşhť'Sşeriĕ Anëtar me Përvoj

    Postimet:
    1,117
    Pëlqimet:
    252
    Pikë nga trofetë:
    128
    disa mund t`dallohen kollaj qe nga cmd.
    hap 1 cmd shkruj tasklist
    shfaqen tgjith processet qe jan hapur n'pc ate program qe nuk e njef apo tduket i dyshimt i mer PID
    dhe per ta mbyll tskill PID
    Skam provu naj her me rat, po kam provu me infektu veten me keylogger thjesht per tgjet menyrat si ta heq nga pc nese infektohem naj her. dhe mbasi kam bo ato qe thash m`siper. 1 antivirus i mir mbaron pun pa formatu pc.!
     
    DarKr0x pëlqen postimin.
  3. bi0

    bi0 Anëtar Aktiv

    Postimet:
    300
    Pëlqimet:
    199
    Pikë nga trofetë:
    53
    flm per mundin shoki po mos e komplikoni cmd > netstat -ano
    Code:
     Proto  Local Address          Foreign Address        State           PID
      TCP    127.0.0.1:5354         127.0.0.1:49668        ESTABLISHED     1932
    veq kqyrni cilla port cillir server esht i quditshem ose osht nonstop lidhur , merre PID esht id programit kerko me taskmenager apo process explorer edhe u kry :p
     
  4. Fannol Gashi

    Fannol Gashi Administrator Staff Member Administrator

    Postimet:
    2,948
    Pëlqimet:
    993
    Pikë nga trofetë:
    343
    @DarKr0x , Edhe nese jane te enkriptuar, ju mund ti shihni sesionet e rrjetit sepse ato nuk mund te fshihen. Normal enkriptohet DATA ose qysh njihet ndryhse ne terme te sigurise PayLoad, mund/duhet te enkriptohet por jo Header, pasi qe aty permbahen te dhenat se ku duhet te shkoj paketa dhe nese edhe ajo eshte e enkriptuar ateher paisjet e rrjetes do i bejne DROP ato paketa sepse sdijn per ku eshte desntinacioni i tyre. Dmth smunden me i dekriptu sepse nuk e kan qelsin Privat per dekriptim, sepse nese qelsi niset me gjithe pakete ateher cak eshte esenca e enkriptimit.

    Gjithashtu nuk dmth qe dergimi i te dhenave behet vetem duke perdor FTP/SMTP. Mund te perdor HTTP (Duke perdor POST metoden qe e permban HTTP), SMB, FTP/SMTP jo ne port standard 21/25, por cka nese e perdor nje port ndryshe nga ata standard psh pre FTP e perdor portin 2112, ateher wireshark nuk mundet me identifiku kete si ftp pasi qe eshte nje port krejt tjeter.

    Andaj, qe te largohen keto probleme te vogla po i permendi disa vegla tjera ketu, qe besoj do t'ju ndihmojn. Ka plot qe i dijn se sjon TopSecret por per ata qe si dijn.

    Info: Disa aplikacione qe jane pa pagese dhe jane extrem te mira, jane: SysInternals dhe mund ti gjeni ketu live.sysinternals.com e sidomos per troubleshooting me e pa arsyen pse po ndodh diqka. (Windows OS).

    taskkill komanda qe eshte nje taskmanager por CLI, nuk ti shfaq proceset qe jane hidden. Qe proceset qe jane malware zakonisht jane hidden.

    netstat komanda ti paraqet koneksionet e qastit, cka nese pas 2sec. eshte kriju nje session edhe eshte mbyll pas 5sec.


    Jo pse keto vegla qe i permendet nuk jane te mira, por duhet te gjindet vegla qe eshte e mire per nje pune te caktuar. Dhe ato te SysInternals jane fenomenale, por disa qe po i permendi jane: TCPView, Autoruns, ProcessExplorer, ProcMon.

    Ka mjaft vegla te mira qe jane me pagese, por FREE ato jane #1, duke ja bashkangjitur edhe ato qe i permendet, netstat, Wireshark,...

    Paqe.
     
    Last edited: 30 Gusht 2016
    ﴾.﴿ dhe DarKr0x pëlqejnë postimin.
  5. Slumerican

    Slumerican Anëtar Aktiv

    Postimet:
    108
    Pëlqimet:
    13
    Pikë nga trofetë:
    18
    Shume metode e mire, faleminderit qe e shperndave me ne!
     
  6. bi0

    bi0 Anëtar Aktiv

    Postimet:
    300
    Pëlqimet:
    199
    Pikë nga trofetë:
    53
    @Fannol Gashi , "netstat" veti si komand ta paraqet krejt trafikun aktual edhe qe do te zhvillohet ne process ... netstat -ano komplet nje list aktuale . me Process XP ose TCP view mund ta besh te njejten . Une e ceka netstat per ma thjesht per qdo user se nese te intereson ma shum SmartSniff ose Wireshark e gjem traffikun ose nese eshte me timed traffik qe komunikon qdo 1or ose 24or si kam pasur rastin me nje keyloger kur vetem me IDA mund ta gjesh kur krijon traffik .
     

Shpërndaje faqen

Loading...