Como identificar invasores no Windows utilizando o Process Explorer
14:03
PCMasterbr
, Posted in
ataque-de-hacker
,
detectar-invasao
,
intrusos-rede-computadores
,
invasao-hacker
,
rede-windows
,
seguranca-de-redes
,
0 Comments
No tutorial de hoje ensinarei a verificar a presença de invasores (hackers) utilizando o famoso programa da Microsoft chamado Processo Explorer, antes de mais nada é necessário fazer o download através do seguinte site:
Após fazer o download e extrair o arquivo execute o Process Explorer.
 |
| Clique na imagem para ser direcionado ao site. |
Após fazer o download e extrair o arquivo execute o Process Explorer.
Existe um processo que está sobrecarregando o sistema no Svchost.exe com o PID 1032 como mostra a imagem abaixo.
taskkill /pid "número do pid" /f
Uma dica importante caso detecte uma invasão no Windows não mate o processo de imediato, tente verificar a fonte de onde vem esse processo e no caso de ser um processo do svchost.exe evite fazer o taskkill /im svchost.exe /f , pois isso pode gerar instabilidade no sistema e até forçar o Windows a reiniciar, mate sempre através do número do PID, tente ver o IP de onde vem essa invasão e bloquei em seu firewall, em última análise pode existir uma backdoor em seu sistema que está permitindo uma invasão.
Clico com o botão direito do mouse e vou em Properties para verificar as propriedades do executável que está gastando muita memória RAM.
Na aba TCP/IP identifico que o IP 134.170.58.189 (ip da Microsoft) está estabelecendo uma conexão com minha máquina utilizando como base o serviço wuauserv e na porta 49154 está sendo estabelecida uma escuta verificada pelo State LISTENING, pesquisando mais afundo descobri que existe uma falha no serviço do Windows Update no Windows 7 que pode ser corrigida através do KB resetando seus componentes:
Mas em outra hipótese poderia ser um alerta de invasão o consumo excessivo de RAM, mas de qualquer forma isso foi considerado uma falha de segurança grave do sistema, tentei reiniciar o processo através do MS-DOS como administrador:
net stop wuauserv
sc config wuauserv type= own
net start wuauserv
Em outros casos é necessário matar o processo através do comando
Você pode matar o processo também através da opção Kill do próprio Process Explorer
Uma dica importante caso detecte uma invasão no Windows não mate o processo de imediato, tente verificar a fonte de onde vem esse processo e no caso de ser um processo do svchost.exe evite fazer o taskkill /im svchost.exe /f , pois isso pode gerar instabilidade no sistema e até forçar o Windows a reiniciar, mate sempre através do número do PID, tente ver o IP de onde vem essa invasão e bloquei em seu firewall, em última análise pode existir uma backdoor em seu sistema que está permitindo uma invasão.
0 Resposta para "Como identificar invasores no Windows utilizando o Process Explorer"
Postar um comentário
Faça sua pergunta de forma concisa e direta, perguntas que não tem a ver com o tema serão consideradas spans.