Цитата |
---|
2 Маленькая Синичка: сканировать зараженный хост на наличие открытых портов. Может что и попадется. А дальше в зависимости от того что нашли и действовать. При этом активно юзать гугл, т.к. бывает что у бота оказывается открытым порт, который характерен для определенного вида троянов. Раз так, то можно подключиться и по "общаться" с этим ботом. Либо может это будет открытый всем кому ни попадя Remote Admin Server или что-то еще. Короче от ситуации зависит. По крайней мере когда атакует много хостов можно из чего выбрать, быстро отсекая варианты хостов на которых все глухо в плане быстрого взлома. |
Скорее всё перечисленное здесь относится к серии обнаружения активности бота в сети.
Цитата |
---|
При этом активно юзать гугл, т.к. бывает что у бота оказывается открытым порт, который характерен для определенного вида троянов. |
Очень редко, так как современное вредоносное ПО создаётся ввиде билда с нестандартным портом для бекконекта. Конечно, он может совпасть по своему номеру в упомянутом Вами листе соответствий, но, увы, "животное" будет иметь совершенно другие характеристики и имя.
Цитата |
---|
Либо может это будет открытый всем кому ни попадя Remote Admin Server или что-то еще. |
Не понял
Сабж про DDOS и соответствующих ботов. Оно конечно и может стоять, в качестве сервера для удалённого администрирования, порой даже без пароля, и что? Или Вы таким образом хотите отлов устраивать?)
Цитата |
---|
Не, то это понятно. Меня интересует как технически можно взломать бота. |
Отловить на Malware Honeypot, если бот имеет "червя" в качестве распространителя - это достаточно лёгко организовывается, другой вопрос когда заражение машин происходит с помощью выгрузки на трафик. Здесь, собственно, важно найти источник распространения, по скриптовому ПО эксплоитов постараться определить путь к прогрузке вредоносного .exe, который затем предстоит реверсить
В этом плане, стоит обратить своё внимание в сторону реверс инженеринга и крекинг-тематике.