Страница:
152 из 415
И вот — Адриан часто устанавливал «законные» RAT, которые антивирусные программы не могли обнаружить.
После того, как он успешно установил RAT на компьютере сотрудника @home, компьютер выполнил определенную последовательность команд, которая дала Адриану информацию об активных сетевых соединениях с другими компьютерными системами. Одна из таких команд «netstat» показала ему сетевую активность сотрудника, который в данный момент был соединен с внутренней сетью @home через dial-in и выявил тот компьютер во внутренней сети, на котором работал этот человек в данное время.
Чтобы показать образец данных, которые выдает программа netstat, я запустил ее на своей собственной машине; эта распечатка выглядела так:
С:/Documents and Settings/quest>netstat —a
Active connections
Proto Local Adress Foreign Address
State
TCP lockpicker:1411 64.12.26.50:5190
ESTABLISHED
TCP lockpicker:2842 catlow.cyberverse.com:22
ESTABLISHED
TCP lockpicker:2982 www.kevinmitnik.com:http
ESTABLISHED
В столбце «Local Adress» перечислены имена местных машин («lockpicker» — так тогда назывался мой компьютер) и номер порта той машины. В столбце «Foreign Adress» показано имя хоста (узла) или IP-адрес удаленного компьютера, с которым реализовано соединение. Например, первая линия распечатки показывает, что мой компьютер установил соединение с 64.12.26.50 через порт 5190. который обычно используется для передачи мгновенных сообщений (AOL Instant Messenger). Столбец «State» показывает состояние соединения — «Established», если соединение в данный момент активно, «Listening» — если компьютер ожидает соединения.
В следующей строке, начиная с «catlow.cyberverse.
|< Пред. 150 151 152 153 154 След. >|