Kötü amaçlı yazılımlar, sistemdeki çeşitli açık portları kullanarak uzak sunucularla iletişim kurabilir, veri sızdırabilir veya diğer zararlı işlemleri gerçekleştirebilir. Port izleme araçları, bu tür kötü amaçlı etkinlikleri tespit etmek ve sistemdeki açık portları yönetmek için kullanılır. İşte TCPView ve CurrPorts kullanarak port izleme süreci:
1. TCPView ile Port İzleme
TCPView (Sysinternals Suite'ten bir araç) Windows sistemindeki tüm TCP ve UDP uç noktalarını ayrıntılı olarak görüntüler. TCPView, Netstat komutunun grafiksel bir arayüzüdür ve bağlantı durumlarını gerçek zamanlı olarak izler.
TCPView Kullanım Adımları:
TCPView İndirme ve Kurulum:
TCPView'yi Microsoft'un Sysinternals web sitesinden indirin.
ZIP dosyasını çıkartın ve TCPView.exe dosyasını çalıştırın.
TCPView Arayüzü:
TCPView açıldığında, sistemdeki tüm TCP ve UDP bağlantılarını listeleyecektir.
Liste, her bir bağlantının yerel adresini, uzak adresini, bağlantı durumunu ve bağlantı türünü gösterir.
Portları ve Bağlantıları İzleme:
Yerel Adres ve Portlar: Kötü amaçlı yazılımın hangi portları kullandığını görmek için yerel adres ve portları inceleyin.
Uzak Adres ve Portlar: Uzak sunucularla iletişim kuran bağlantıları izleyin. Şüpheli IP adreslerini veya bilinmeyen uzak adresleri kontrol edin.
Durum: Bağlantı durumunu (örn. ESTABLISHED, LISTENING, TIME_WAIT) kontrol edin.
Kötü Amaçlı Faaliyetlerin Tespiti:
Bilinmeyen veya şüpheli bağlantı noktaları ve IP adresleri araştırılmalıdır.
Bağlantıların durumu ve portları kontrol ederek anormal etkinlikleri belirleyin.
2. CurrPorts ile Port İzleme
CurrPorts (NirSoft'tan bir araç) açık olan tüm TCP ve UDP portlarını ve bu portları açan işlemleri listeleyen bir ağ izleme yazılımıdır. CurrPorts, portlar ve bu portları kullanan işlemler hakkında detaylı bilgi sağlar.
CurrPorts Kullanım Adımları:
CurrPorts İndirme ve Kurulum:
CurrPorts'u NirSoft'un web sitesinden indirin.
ZIP dosyasını çıkartın ve cports.exe dosyasını çalıştırın.
CurrPorts Arayüzü:
CurrPorts açıldığında, açık olan tüm TCP/IP ve UDP portlarını ve bu portları kullanan işlemleri listeleyecektir.
Her port için işlem adı, tam yolu, sürüm bilgileri ve işlem oluşturulma zamanı gibi bilgiler gösterilir.
Portları ve İşlemleri İzleme:
Port Listesi: Portlar ve bu portları açan işlemler hakkında bilgi alın.
İşlem Bilgileri: Portları açan işlemlerin adını ve yolunu kontrol edin. Şüpheli veya bilinmeyen işlemleri belirleyin.
Port Kapatma ve İşlem Sonlandırma: İstenmeyen bağlantıları kapatabilir veya işlemleri sonlandırabilirsiniz.
Raporlama ve Kayıt:
Raporlama: Port bilgilerini HTML, XML veya sekmeyle ayrılmış metin dosyalarına kaydedin. Bu, analiz sonuçlarını belgelemek için faydalı olabilir.
Port İzleme Araçları ile İlgili Ekstra İpuçları:
Sürekli İzleme: TCPView ve CurrPorts’u düzenli aralıklarla çalıştırarak anormal etkinlikleri tespit edin.
Sistem Anlık Görüntüsü: Temellendirme aşamasında, sistemin anlık görüntüsünü almak için bu araçları kullanın. Kötü amaçlı yazılım çalıştırıldıktan sonra bu anlık görüntüleri karşılaştırarak değişiklikleri belirleyebilirsiniz.
Şüpheli Etkinlikler: Bilinmeyen IP adresleri, olağandışı port kullanımları veya bilinmeyen işlemler hakkında detaylı analiz yapın.
Bu araçları kullanarak, sistemdeki açık portları izleyebilir ve kötü amaçlı yazılımların kötüye kullanabileceği bağlantıları tespit edebilirsiniz.