Lukoba

El comando NETSTAT (debe ejecutarse en una consola de comandos: cmd.exe), (no voy a decir como se abre una consola de comandos, ya es cuestíón de saber iniciación a la informática, no de seguridad) y es un viejo compañeto del TCP/IP desde sus inicios y se encuentra en todos los sistemas operativos.

Podemos verlo en UNIX y en Windows, ejecutando sin parámetros:

[K:\\]netstat

Active Connections

Proto Local Address Foreign Address State
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
TCP PCxx1:1424 privatenews.microsoft.com:nntp ESTABLISHED

Al ser tecleado sin ningún parámetro nos informa de los puertos que en nuestra máquina tiene en un momento determinado una conexión \"ESTABLECIDA\" con una máquina remota, y por qué puerto.

Ejecutando por ejemplo: netstat -an
sabremos no solo los que están establecidos sino los que están a la escucha (LISTENING). Estos puertos son potencialemnte peligrosos porque pueden venir de un proceso malicioso: Un troyano.

Si usamos la tubería | filtramos solo para mostrar los de escucha:
netstat -an | find \"LISTENING\"

si queremos el PID (número de identificación del proceso del programa que lo ha lanzado, se ejecuta:
netstat -nao | find \"LISTENING\"

Esta información es imcompleta y tenemos que saber que el número de proceso identificarlo con el nombre del programa que lo ejecuta. En XP Profesional se hace con el comando:
tasklist.

o bien bajándose el programa gratuito \"pslist\" de sysinternals, que indicará el número de proceso (PID) y el programa asociado.

Con esta lección podremos determinar el troyano y el programa que lo ejecuta.

Más me preguntó yo: ¿Cómo se puede ayudar a la gente si no se sabe técnicamente ni responder?