Conexiones que hace un archivo exe

Iniciado por Neekiinh0, Diciembre 04, 2018, 09:48:03 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Buen día, hay manera de saber que conexiones hace un archivo exe sin tener que ejecutarlo?, por ejemplo un "server" de un rat.. yo tomo ese exe y sin abrirlo saber hacia que dns o ip se conecta?

Muchas gracias!

Si el programa esta hecho en .net puedes usar DotPeek para convertir el .exe a código C# y así inspeccionarlo.
En otro caso es posible que puedas verlo con un editor hexadecimal si no esta encriptado, aunque no tengo muchos conocimientos sobre esto último, pero seguramente alguien pueda ayudarte.
De otro modo podrías usar un buen firewall de esos que te dicen que el programa está intentando acceder a internet y permitirle o denegarle el acceso.
También podrías ejecutarlo en una VM y chequear con netstat -na si está realizando alguna conexion permanente.

Saludos,

Crea un ambiente aislado (alguna virtual sin conexion al host) y ejecuta el .exe viendo en el Administrador los procesos que inicia y las conexiones del mismo.

Saludos.
El talento se parece al tirador que da en un blanco que los demás no pueden alcanzar; el genio se parece al tirador que da en un blanco que los demás no pueden ver.


Este tipo de analisis se suelen hacer en maquinas virtuales.

En la bd de malwares tenemos varios softs de análisis de ejecutables: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos,
ANTRAX


@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Instalar una máquina virtual, incluso usarla en un computador externo, analizarlo con antivirus, puedes usar un antivirus local o los servicios como virus total, nodistribute, etc, usar el comando netstat, usar Wireshark para ver qué paquetes envía el ejecutable, hacer un volcado, posteriormente leer ese volcado en un editor de texto hexadecimal y ver su código fuente, verificar las rutas temporales dependiendo que usuario es y con que privilegios esta siendo ejecutado.

Es cuestión de ir probando, tambien puedes leer información de informática forense para que te ayude un poco mas en este tema.
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF