Rastrear troyano como???

suche_antrax · 4 Octubre 2011, 02:30 AM

Que tal amigos, pues bien stoy entrando al mundo de los troyanos y puedo crearlos y funcionan bien, bueno si no es dificil pero para mi lo fue al principio... XD ahora quisiera aprender a rastrear un troyano como podria hacerlo??
Primero deberia obtener la ip verdad, pero como saberlo?? haciendo un netstat que deberia ver??

Gracias por la atencion
Salu2

2Fac3R · 4 Octubre 2011, 02:55 AM

Puedes ejecutar el server en una virtual, poner a escucha un sniffer y ver a que IP se conecta, lo demas depende de tu ingenio...
Zalu2

skapunky · 4 Octubre 2011, 11:18 AM

Podrías también abrir el ejecutable con un debugger para ver si hay strings que contengan la IP. Por lo general así es muy sencillo encontrarlas ya que este detalle los creadores de troyanos lo pasan por alto.

A veces la puedes encontrar cifrada, aunque con un tiempo puedes sacarla si el cifrado no es muy complejo.

Te recomiendo los dos siguientes debuggers: IDA o Ollydebug

WHK · 4 Octubre 2011, 11:22 AM

Puedes hacer que el troyano suba a alguna web la ip o te la mande por correo o haga conexión inversa.

madpitbull_99 · 4 Octubre 2011, 11:39 AM

Con un sniffer también puedes ver a que IP se conecta. De este modo identificarías la dirección IP o el dominio del atacante.

cark · 6 Noviembre 2011, 02:33 AM

si el server te busca a ti,(como cliente) hay una ip

[Zero] · 7 Noviembre 2011, 04:09 AM

Lo más rápido creo que sería abrir el archivo con Olly (desde una máquina virtual obviamente), poner un BP en la función connect y a partir de la estructura sockaddr obtener la IP y puerto

.

Saludos

[L]ord [R]NA · 2 Diciembre 2011, 05:39 AM

Joder... es que siempre me ignoran. No usen Olly, el Olly puede joderte todo por un TLS CallBack. Immunity Debugger o IDA