TPI - Videotutorial nº 9 - Como identificar procesos que hacen conexiones sospechosas

Si alguna vez habéis tenido un firewall en vuestro ordenador, o simplemente, con el que trae Windows por defecto (algo más calladito), os habréis fijado que os pregunta por aplicaciones la primera vez que las ejecutáis, o se queja de que está constantemente lanzando peticiones al exterior, intentándose comunicar con algo o alguien.

En ocasiones, no sabemos qué aplicaciones son y sólo sabemos por el puerto por el que comunican, u otras, ni siquiera nos enteramos de estas conexiones....

A veces, mirando el administrador de procesos, vemos procesos sospechosos...

En este vídeo os voy a enseñar cómo identificar los procesos que se intentan conectar sospechosamente a algún destino...




No olvidéis de suscribiros en: 
No dejéis de participar y comentar, recordad que esto lo hacemos entre y para todos. 

Tengo una Pregunta Informática, lo hacéis vosotros :)

Recibid un cordial saludo,
Álvaro

TPI - Videotutorial nº 9 - Como identificar procesos que hacen conexiones sospechosas TPI - Videotutorial nº 9 - Como identificar procesos que hacen conexiones sospechosas Reviewed by Tengo una Pregunta Informatica on 19:10 Rating: 5

1 comentario:

  1. EDIT: si se publica varias veces mi comentario te pido disculpas, estoy teniendo problemas con mi red xD (borra los anteriores y disculpa).

    Buenas,

    Me gustaría añadir que se puede conseguir ver el proceso asociado a una conexión con más rapidez, para que lo tengas en cuenta.

    1) por un lado tenemos el parámetro "b" para netstat (requiere elevación)

    2) por otro lado, con el PID obtenido según netstat -ano, podríamos abrir una consola en paralelo y usando "tasklist" ver de forma bastante directa que el PID 576 se refiere a Svchost.exe.

    http://es.tinypic.com/view.php?pic=5ph2qh&s=9

    Personalmente, me gusta más la opción 1 por ser más directa y porque, además, especifica el módulo cargado para cada proceso. Por ejemplo, el PID 576 corresponde a svchost.exe y dentro de este, al módulo RpcSs (Remote procedure call server).

    Mucha suerte con tu canal!

    ResponderEliminar