Najprostszą metodą wykrycia tego typu oprogramowania jest użycie programu antywirusowego. Niestety, programy hakerskie powstają bez przerwy, przez co producenci programów antywirusowych nie mogą nas zabezpieczyć przed wszystkimi ich odmianami.
Na początek jednak powinniśmy być pewni, że mamy zainstalowanego konia trojańskiego. Jeśli taki program posiadamy, to z pewnością zauważymy spadek wydajności naszego komputera. Możemy sprawdzić, np. za pomocą Managera Procesów jakie aplikacje działają w tle. Jeśli będzie na liście program, który nie powinien się tam znaleźć, to możemy go wyłączyć.
Istnieje też druga technika wykrywania trojanów. Wystarczy skorzystać z wiedzy, jaką posiadamy o trojanach. Tak więc każdy trojan musi czekać na rozkazy na jakimś porcie komputera. Do sprawdzenia, które porty komputera są aktywne, możemy użyć polecenia: NETSTAT z parametrem -A. Polecenie będzie wyglądało więc tak: netstat -a. A jego rezultat przeprowadzony na komputerze z zainstalowanym koniem trojańskim prezentował się na przykład będzie następująco:
C:\netstat -a
Aktywne połączenia
| |||
Protokół Adres lokalny
|
Obey adres
|
Stan
| |
TCP
|
unknown:1298
|
0.0.0.0:0
|
LISTENING
|
TCP
|
unknown:1299
|
0.0.0.0:0
|
LISTENING
|
TCP
|
unknown:31887
|
0.0.0.0:0
|
LISTENING
|
| TCP
|
unknown:31889
|
0.0.0.0:0
|
LISTENING
|
TCP
|
unknown:1292
|
127.0.0.1:31887
|
TIME WAIT
|
TCP
|
unknown:1294
|
127.0.0.1:31887
|
TIME WAIT
|
TCP
|
unknown:1296
|
127.0.0.1:31887
|
TIME WAIT
|
TCP'
|
unknown:1299
|
127.0.0.1:31889
|
ESTABLISHED
|
| TCP
|
unknown:31889
|
127.0.0.1:1299
|
ESTABLISHED
|
Zwróć uwagę na oznaczone wiersze zwrócone przez program Netstat. W wierszu nr 7 jest wyraźnie napisane, że jakiś program w naszym komputerze nasłuchuje rozkazów na porcie nr 31889. Jest to najprawdopodobniej port konia trojańskiego. Szereg zer w rubryce obcy adres oznacza, że aktualnie nikt nie korzysta z tylnego wejścia w systemie. W wykazie tym często występuje słowo UNKNOWN. Jest to nazwa komputera, na którym uruchamiamy program. U każdego użytkownika może to być inna nazwa.
Kolejnym ciekawym miejscem jest drugi zaznaczony wiersz. Tym razem w rubryce obcy adres pojawia się tajemniczy numer IP. Jest to numer osoby, która próbuje się włamać do naszego komputera. Mając numer IP, możemy jednoznacznie zidentyfikować osobę naruszającą bezpieczeństwo naszego systemu. Hakerzy łączący się przez numer dostępowy TP S.A. mogą czuć się prawie bezkarni ze względu na fakt posiadania dynamicznego IP. Hakerzy najczęściej posiadają jednak stały dostęp do sieci, więc ich namierzenie nie powinno być trudne. Niestety, tak nie jest. Ludzie związani z podziemiem (ang. underground) wypracowali wiele sposobów ataku uniemożliwiających ich wykrycie. Do sposobów takich należą:
- łączenie się przez serwery proxy,
- wykonywanie pętelki poprzez liczne darmowe serwery internetowe,
- używanie programów do zmiany adresu IP.
Brak komentarzy:
Prześlij komentarz