Hola:
Quería preguntar que si en caso de que mi ordenador tuviese un troyano, llevándolo a la policía/informático sería posible saber desde que ordenador se originó la infección por medio de la MAC, dirección IP que tenía en ese momento, etc. o no es posible llevar a cabo este procedimiento?
La duda es sobre el ordenador en sí, no sobre localizar la red desde donde se mandó y donde tuvo origen toda la infección.
Un saludo!
La policia dudo que te haga mucho caso, y si lo llevas a un informático lo más seguro es que te diga de formatear.
En principio si se puede, usando ingeniería inversa puedes ver a que IP te conectas en caso de que sea conexión inversa o en caso de que sea conexión directa puedes analizar el tráfico con wireshark y ver quién es el que está al otro lado del troyano.
Te dejo un post que hice relacionado con esto que puede que te sirva, en la prueba que yo hice el malware era un keylogger.
https://underc0de.org/foro/malware/analisis-de-malware-por-trafico-de-datos/msg99074/#msg99074
Saludos.
Bueno, suponiendo que el troyano se conecte a una ip privada(de tu propia red) si, seria posible saber la MAC del pc volcando la tabla arp y viendo cual es la MAC de la ip a la que se conecta, si no es imposible, solo tendrias una ip publica
Enviado desde mi Orange Hi 4G mediante Tapatalk
Analizando se puede deshilar y llegar a saber, cómo y cuándo se produjo la infección. Con respecto a ver las conexiones con un simple netstat -ano se visualizarán las conexiones que están en el momento de tipear el comando.
Pero lamentablemente si es un usuario medio, habrá puesto el RAT detrás de un vpn de pago, porque si no es así tiene las posaderas vendidas,
Cuando tipeas netstat -ano puede ser el caso que vieras algo como no.ip, dns-dyn o algo parecido entonces realizando un ping resolverás la ip que puede ser real o falsa como anteriormente he indicado.
Y por supuesto si te han infectado con un Rat que es antiguo, existen exploits para atacar a tu atacante por ejemplo Darkcomet tiene vulnerabilidades explotables.
Saludos y suerte en tu aprendizaje.
Como te han comentado arriba es algo relativamente facil de hacer, te vale con capturar el trafico de tu pc y analizarlo, si es conexion directa tendras su ip, si la conexion es inversa que es lo mas comun tendras que obtener la ip a la que apunta el DNS, haciendo ping mismamente, eso en el hipotetico caso de que el atacante no se este protegiendo con una VPN, en ese caso no tienes mucho quehacer. Otra opcion es es localizar el payload y hacerle ingenieria inversa para sacar la configuracion, aunque podrias acabar en la misma situacion.
Un saludo
Dadas las buenas propuestas por los compañeros, doy el tema por solucionado.