Erkenne ich mit cmd Befehl netstat -b einen Trojaner?

[makke306]

Hallo, ich interessiere mich ein wenig für IT-Sicherheit. Wenn ich beispielsweiße einen Trojaner am PC habe und ich den cmd-Befehl netstat -b eigebe sehe ich da den Trojaner? Mit dem Befehl sehe ich ja alle geöffneten Netzwerkverbindungen. Ich kann da ja alle ausgeführten .exe Dateien mir ansehen und prüfen ob diese Ok oder Nicht OK sind. Ich habe mir die Frage gestellt ob hier auch ein Trojaner auffindbar wäre. Oder ist ein Trojaner so gut programmiert dass dieser sich auch in der cmd-Konsole sich tarnen kann? Also er wird dort einfach nicht angezeigt.

 

[CoMo]

Wenn der Trojaner eine Netzwerkverbindung aufbaut, wirst du ihn da wohl sehen können.

Viel eher wirst du ihn aber anhand der Prozessliste und der Autostarteinträge erkennen.

 

[xxMuahdibxx]

Gehen wir davon aus das ein Trojaner eine Windows System Datei infiziert...

Wie erkennst du, dass der Prozess von Windows kommt oder vom Trojaner her.

Natürlich hat die Datei meist eine andere Größe oder liegt wo anders auf dem Laufwerk.. aber erkennt man easy einen gut programmierten Trojaner so?

Prinzipiell steht sicher kein Prozess drinnen der sagt hallo ich bin der Virus hier

 

[CoMo]

Wie erkennst du, dass der Prozess von Windows kommt oder vom Trojaner her.

Indem man z.B. mit Process Explorer die Signaturen prüft.

Die meiste Malware nistet sich allerdings auf irgendeine Weise im Autostart ein. Mit Autoruns wird man da meist recht schnell fündig.

 

[xxMuahdibxx]

@CoMo mir ist das klar..

Aber ganz easy ist das nicht immer... Kommt auch auf den Trojaner drauf an und wie er die Datei umwandelt.

Habe ja angemerkt mit Speicherort und Größe.

 

[andy_m4]

Ich habe mir die Frage gestellt ob hier auch ein Trojaner auffindbar wäre. Oder ist ein Trojaner so gut programmiert dass dieser sich auch in der cmd-Konsole sich tarnen kann?

Ein gut programmierter Trojaner ist schwer aufzuspüren. Und schon gar nicht mit solch einfachen Mitteln.

ich interessiere mich ein wenig für IT-Sicherheit.

Am besten ist dann sich nicht die Detektionsseite anzugucken, sondern die Angreiferseite. Also was muss man als Malware tun, um ein System zu infiltrieren. Was muss man tun, um nicht aufzufallen usw.
Die Gegenmaßnahmen ergeben sich dann daraus.

 

[_RM_]

Wenn man null Plan hat, wonach man genau suchen muss, hilft es am meisten, den (früheren) Normalzustand/-verhalten eines Systems sehr gut zu kennen, um diesen dann mit dem neuen, möglicherweise verseuchten Zustand/Verhalten vergleichen zu können, und um schließlich mögliche Schadsoftware zu erkennen.
Ja, dafür kann auch netstat ein Tool sein, aber auch noch einige/viele andere.

Für den "normalen" PC-Anwender gesprochen: Wenn dir irgendwas verdächtig vorkommt, installier dein System neu.

Natürlich kann man immer haufenweise Sicherheitssoftware noch drüberlaufen lassen, aber wenn diese nichts findet, heißt es noch längst nicht, dass nicht doch was drauf ist.

 

[andy_m4]

Wenn man null Plan hat, wonach man genau suchen muss, hilft es am meisten, den (früheren) Normalzustand/-verhalten eines Systems sehr gut zu kennen, um diesen dann mit dem neuen, möglicherweise verseuchten Zustand/Verhalten vergleichen zu können, und um schließlich mögliche Schadsoftware zu erkennen.

Ja. Das ist durchaus ein Ansatz, den man fahren kann.
Hat dann aber im Detail doch ein paar Schwierigkeiten. Denn es wird so sein, das man dabei nicht alles erwischt. Um dann die Änderungen zu interpretieren (ob die nun harmlos und normal sind oder nicht), braucht man dann doch wieder Know-How.
Außerdem muss man das immer nachziehen, wenn man was am System verändert. Und Veränderungen sind schnell geschehen. Seien es nun Einstellungen, Softwareinstallation oder einfach Software updaten.

Für den "normalen" PC-Anwender gesprochen: Wenn dir irgendwas verdächtig vorkommt, installier dein System neu.

Ja. In der Tat. Man sollte nicht versuchen da irgendwie manuell was herum zu basteln.
Eine wichtige Sicherheitsmaßnahme sind neben Backups auch Vorkehrungen zu treffen, den Rechner schnell neu installieren zu müssen. Umso aufwändiger der Prozess des Neu installierens ist, umso eher versucht man das dann doch zu vermeiden. Wenn dagegen der Rechner in weniger als einer halben Stunde wieder fertig bist, machst Du es einfach und kommst gar nicht in die Versuchung zu sagen "Na wird schon nix sein".

Natürlich kann man immer haufenweise Sicherheitssoftware noch drüberlaufen lassen, aber wenn diese nichts findet, heißt es noch längst nicht, dass nicht doch was drauf ist.

Man kann das sogar runterbrechen auf ein Grundprinzip der Informatik. So kurz zusammengefasst:
Man kann prinzipbedingt(!) nicht nachweisen, das ein System keine Schadsoftware enthält.

Leider wird Sicherheitssoftware eher offensiv beworben. Die suggerieren immer sowas wie "100% Schutz für Sie und Ihre Familie". Ist natürlich totaler Quatsch und im Grunde völlig unseriös.

 

[xxMuahdibxx]

l:
Man kann prinzipbedingt(!) nicht nachweisen, das ein System keine Schadsoftware enthält.

Zumindest keines was Zugang zum Internet hat ..

 

[andy_m4]

Das ist ja zunächst unabhängig davon.
Ja. Internetzugang erhöht natürlich das Infektionsrisiko drastisch.
Aber im Prinzip kann ja Dein Gerät auch schon beim Kauf verseucht sein. Du kannst es halt nicht 100% sicher sagen.

 

[BloodRocks]

Wo befindet sich bei einem Remote Access Trojaner die Datei, mit welchem der Zielrechner infiziert wird? Ich will die Funktionsweise von Trojanern lernen, um mich besser schützen zu können.

 

[xxMuahdibxx]

Da musst aber schon einmal darüber nachdenken ob es nur einen Ort dafür gibt... Wie so oft eigentlich System32 Ordner in Windows.. aber auch jeder andere Ordner könnte einen Virus enthalten..oder das BIOS/uefi oder der Bootsektor ( damals sehr gängig bei Diskkette)

Und nur weil man den Ort kennt... So kennt man ja nicht einmal die Datei..

Oder meinst die heißt trojaner.abc hier bin ich ?

Schützen... Keinen Mailanhang öffnen von Absendern die man nicht kennt..

Keinen Anhang öffnen der eine ausführbare Datei ist .. exe com bat

Keine Programme von Seiten runterladen die nicht vom Urheber sind oder nicht anderweitig vertrauenswürdig.

Keine Programme nutzen welche Sachen runterladen ohne das man selbst etwas darüber entscheiden kann..

Aber ehrlich das kann man auf jeder Seite nachlesen auf was man achten soll...

Nur ob man später erkennt ob und wo ein Virus ist ... Hilft einem eh nicht mehr.

 

[BloodRocks]

Wie macht es ein Hacker, was muss er per Email-Anhang verschicken?

 

[xxMuahdibxx]

Eine Datei...

Wo du denkst ach kann nicht schaden draufzuklicken...

Mahnung.PDF.exe

Erkönntelängersein.zip

Diehatgrossexxx.jpg.exe.

Sei doch kreativ... Der Hacker ist das sicher.

Webseiten die einem sagen hey sie haben Viren auf ihrem System und gleich das perfekte Mittel dagegen anbieten können.. perfekt um wirklich Viren einzuschleusen.

 

[BloodRocks]

Woher hat er diese Datei?

 

[xxMuahdibxx]

Ehrlich Google ist bei dir defekt?

Woher haben Hacker ihre Viren ( was ja eigentlich auch Dateien sind)

Einige programmieren sogar selbst... Andere nutzen Tools...

Aber jetzt ist Schluss denn dein Wissen aufbauen heißt auch mal selbst suchen und lesen und es nicht vorgekaut zu bekommen.

 

[BloodRocks]

Woher haben Hacker ihre Viren ( was ja eigentlich auch Dateien sind)

Ich verstehe eigentlich nicht, wo man Trojaner downloaden kann. Weil ich habe im Net gesucht, aber fast nichts gefunden.

 

[xxMuahdibxx]

Der Begriff Darknet ist dir bekannt?

 

[redjack1000]

@xxMuahdibxx

Uiuuiuiuiuiu jetzt bringst du @BloodRocks auf ganz komische Pfade..........

CU
redjack

 

[BloodRocks]

Der Begriff Darknet ist dir bekannt?

Geht das auch im Lightnet? Muss man immer was bezahlen?