Trazando un hacker

 

Tabla de contenidos cada vez

Introducción

¿Se le ha conectado a su ordenador cuando sucede algo extraño? Una unidad de CD se abre por sí mismo, sus ratón se mueve por sí mismo, los programas de cierre sin ningún error, o la impresora comienza a imprimir de la nada? Cuando esto sucede, uno de los primeros pensamientos que puedan surgir en la cabeza es que alguien ha hackeado su ordenador y está jugando con usted. A continuación, se comience a sentir la ira teñida con un poco de miedo, porque alguien está violando su espacio personal sin su permiso y potencialmente acceder a sus datos privados. En estos tiempos en lugar de entrar en pánico, este tutorial le mostrará qué hacer y cómo ayudar potencialmente a rastrear a los hackers y les informe a las autoridades.

Cuando el ordenador ha sido hackeado, un hacker normalmente instalará un troyano de acceso remoto, o RAT, que les permitirá acceder a él de nuevo en el futuro. Este troyano va a escuchar en un puerto TCP o UDP y esperar a que las conexiones desde el usuario remoto. Una vez que se conecta el usuario remoto que tendrán acceso completo a su ordenador y ser capaz de acceder a archivos, programas, capturas de pantalla, y posiblemente su cámara web.

Mientras que el hacker está conectado, sin embargo, son vulnerables porque podemos utilizar programas que nos permiten ver la dirección IP que el usuario se conecta desde. Esta dirección IP puede ser usado para encontrar su ubicación geográfica aproximada, posiblemente, nombres de usuario de su ordenador, y pistas de identidad de sus nombres de host. entonces podemos utilizar esta información para informar a las autoridades o por la policía. El primer paso es pasar a la sección siguiente, donde aprenderá cómo usar una herramienta llamada TCPView para examinar las conexiones entre el ordenador y uno remoto.

Usando TCPView en Windows para ver quién está conectado a su ordenador

TCPView es una poderosa herramienta para Windows que le permite ver todas las conexiones de red TCP / IP actual en el equipo. Como casi todos los cortes remotas se cometen a través de Internet, usted será capaz de utilizar TCPView para detectar rápidamente todos los equipos remotos que están conectados a su ordenador. Para utilizar TCPView puede descargarlo desde la siguiente ubicación y guardarlo en el escritorio:

TCPView Enlace de descarga

a encontrar un hacker que puede ser conectado al ordenador, ejecute TCPView y aceptar el contrato de licencia. Ahora se le mostrará una página que muestra todos los activos conexiones TCP / IP de su ordenador. Si hay un usuario remoto conectado a su equipo en este momento, entonces TCPView mostrará su conexión y la dirección IP que se conectan desde.

Al utilizar TCPView siempre asegúrese de desactivar la función de dirección determinación ya que queremos ver las direcciones IP conectadas. Para ello, cuando TCPView está abierto, haga clic en el menú Opciones y luego desmarque Direcciones Resolver . Ahora que TCPView está configurado correctamente, vamos a ver cómo funciona TCPView mirando una captura de pantalla de TCPView mostrando sólo las conexiones legítimas.

Como se puede ver en la imagen de arriba, los únicos programas que muestran una conexión establecida se relacionan con el proceso de Internet Explorer. Si Internet Explorer se usa sólo en los últimos 5-10 minutos, a continuación, estas conexiones son conexiones legítimas que se realizaron en diversos sitios web. Los procesos que se encuentran en un vistazo el estado de audición que hay programas legítimos de Windows, para que puedan ser ignorados también. Para estar seguro, sin embargo, usted debe comprobar siempre los caminos de todos los programas de escucha, haciendo doble clic sobre el nombre del programa. Esto abrirá un pequeño cuadro de diálogo que muestra la ruta al ejecutable. Si el programa se encuentra en el lugar adecuado, entonces usted ha confirmado que se trata de programas legítimos.

Ahora, digamos que estaba utilizando el ordenador y la unidad de CD expulsado por su propia cuenta. Ya que esto es un poco extraño que debe comenzar TCPView y mirar a sus conexiones.

puede detectar la extraña conexión en la pantalla de arriba? Vemos establecen las conexiones de Internet Explorer a una variedad de huéspedes, pero si recientemente utilizó entonces eso es normal. En la parte superior, sin embargo, es un proceso extraño llamado a.exe que tiene una conexión establecida a la dirección IP remota 67.83.7.212 y está escuchando en el número de puerto local 26666 . Si no reconoce el programa o la dirección remota, entonces debería convertirse inmediatamente en sospechoso. El siguiente paso es ver si hay algún programa legítimo que utiliza ese número de puerto. Mirando esta página Wikipedia vemos que no hay un programa legítimo asignado al número de puerto 26666. Si usted está preocupado de que está viendo una conexión sospechosa, que sin duda debe escribir el nombre del programa, su ubicación del archivo, y la dirección IP del usuario remoto para que lo tienes disponible más adelante. Usted también puede querer tomar capturas de pantalla en caso de que deba mostrarla a las autoridades. Por último, hacemos doble clic sobre el nombre del proceso para ver donde se encuentra y encontrará que se almacena directamente en la carpeta C: Archivos de programa. programas

ejecutables no deben ser almacenados directamente en el directorio C: carpeta Archivos de programa, por lo que pinta un caso más fuerte que esto no es un programa legítimo y que alguien estaba accediendo a su computadora sin su permiso. Para estar seguro, debe finalizar el proceso para que el hacker ya no está conectado al ordenador. Ahora que usted sabe que alguien ha tenido acceso a su computadora sin su permiso, debe continuar a la siguiente sección para aprender a utilizar la información que acaba reunidos para rastrearlos.

Utilizando nuestras pistas para rastrear el hacker

Ahora que ya conoce los posibles piratas dirección IP, se puede usar eso para rastrearlos. La primera cosa que quiero hacer es conseguir una ubicación geográfica general para el usuario. Esto se puede hacer usando el sitio GeoIPTool. Cuando usted está en ese sitio, introduzca la dirección IP para el usuario remoto que viste conectado a su ordenador. GeoIPTool continuación, se mostrará la ubicación general para esta dirección IP como se muestra a continuación.

como se puede ver en la imagen anterior, la dirección IP remota que conectado a su ordenador está supuestamente situado en Clifton, Nueva Jersey en los EE.UU..

Desafortunadamente, la información GeoIP no siempre es exacta, por lo que queremos utilizar otra herramienta llamada traceroute para corroborar lo que mostró el GeoIPTool. Traceroute es un programa que va a imprimir los nombres de host de todos los dispositivos entre el ordenador y el mando a distancia. A medida que los ISP suelen dar nombres de hosts para sus dispositivos que utilizan los nombres geográficos, podemos obtener más pistas sobre la localización de la dirección IP.

Para utilizar traceroute se puede ir a este sitio web: http://www.net.princeton.edu/traceroute.html. Una vez allí, entre la dirección IP hackers y haga clic en el botón Ir . Un proceso traceroute puede tomar un tiempo, por lo que puede hacer algo por 5-10 minutos y luego volver y comprobar los resultados. Cuando haya terminado, debería ver una salida similar a lo que se muestra a continuación.

Aviso el nombre de host del último dispositivo de la traceroute y la porción del que hablábamos. Con base en la información que recibimos de GeoIPTool, esto viene a reafirmar que la dirección IP más probable es que pertenece a alguien de Clifton, Nueva Jersey.

En un ejemplo real, sin embargo, no siempre será tan fácil de averiguar la ubicación de una dirección IP remota. En esas situaciones lo mejor es ponerse en contacto con el departamento de abuso por el ISP al que pertenece la dirección IP remota y hacerles saber lo que está pasando. Por lo general, emitir una alerta al hacker, que si no otra cosa, se asustar lo suficiente que tal vez no hará de nuevo. Para averiguar el nombre del proveedor de Internet que posee la dirección IP en particular, se puede ir a http://whois.arin.net e introduzca la dirección IP en el campo de búsqueda Whois en la parte superior derecha de la página principal. Esto mirar hacia arriba y la lista del proveedor de servicios de Internet que posee esa dirección IP en particular y por lo general contienen un correo electrónico puede ponerse en contacto. Si planea informar de este truco para las autoridades, se debe evitar el contacto con el ISP en este momento.

Finalmente, alguien acceder a su ordenador sin el permiso puede ser un delito federal, por lo que si usted está preocupado de verdad, puede recopilar toda esta información y ponerse en contacto con la división de delitos cibernéticos de su departamento de policía local. Si su departamento de policía no tiene esta división, entonces puede ponerse en contacto con la división del FBI delincuencia en el ciberespacio.

lo que debe hacer una vez que se sabe que ha sido hackeado

Una vez que sabe que ha sido hackeado debe endurecerse inmediatamente la seguridad de su ordenador de manera que no puede volver a ocurrir. Para hacer esto, por favor realice cada uno de estos pasos:

Una vez que haya completado todos estos pasos, el equipo será mucho más seguro.

Conclusión

Esperemos que la información en este tutorial le ayudará a obtener el control de su ordenador en caso de que alguien hacks de TI. Al revisar esta información, sin embargo, es importante no saltar a conclusiones y asumir cada conexión establecida desconocido es un hacker. En la mayoría de los casos, las conexiones que se ven en TCPView son todas legítimas y nada de que preocuparse. Si encuentra algo que parece sospechoso a usted, no dude en pedirnos en los foros de soporte técnico. Uno de nuestros miembros puede ayudarle a determinar si esta conexión es algo que realmente necesita preocuparse.