PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : RAT Sniffen?



0nk3lz
17.05.2009, 21:50
Hey Leute, sry wenn ich in die falsche Section poste, aber ich denke, dass passt hier rein...
Das VTuT zu dem Thema ist leider down, von Ersteller kommt auch keine Antwort ;)

Meine Frage ist nun, wonach genau muss ich Ausschau halten, wenn ich mit Wireshark einen RAT-Server sniffen will...?
Bei nem Stealer ist das ja ganz einfach mit dem FTP Protokoll, aber wie findet man dann den RAT in dem wirren haufen von Verbindungen? :D

c1ox
17.05.2009, 21:52
Bei nem server könntest dus ja auch auf anubis hochladen und auf die verbindungen schauen - mit wireshark weiß ichs leider net :>

Jaro
17.05.2009, 22:10
Du kannst zum Beispiel die "Standart" Ports der RAT's checken, Bifrost 81, Shark 666, usw. ..

VeN0m
17.05.2009, 22:16
Die Ports wären schonmal eine gute Idee. Du kannst diese auch direkt filtern bei Wireshark. Anderes wird dann garnicht erst gelogged. Oder Du schließt wirklich alle Programme, die eine Verbindung herstellen könnte: Firefox, Internet Explorer, Opera, Thunderbird, ICQ, MSN etc. und führst dann die Datei aus, die Du sniffen möchtest. Und dann schaust Du nach Verbindungen, die Dir komisch vorkommen. Ungewöhnliche Portnummern etc.