2 votos

¿Es posible detectar una puerta trasera o rootkit usando este método?

¿Es posible detectar una puerta trasera o rootkit usando este método?

1 - Hago una copia del sistema operativo actual en la maquina virtual (VirtualBox).

2 - Configuro la red de la maquina virtual.

3 - Desde el sistema operativo que fue copiado, ejecuto y olfateo el tráfico de la IP asignada por la maquina virtual con un Sniffer.

¿Podría ser indetectable la puerta trasera usando esta metodología? ¿Podría un rootkit ocultar la detección de la conexión?

2voto

aFrost Puntos 200

Si que deberías poder detectar llamadas extrañas de esta manera, además no te hace falta hacer sniffing a la IP, VirtualBox tiene una funcionalidad para escuchar el tráfico de una máquina virtual, pero ten cuidado con ella porque lo guarda todo en el disco duro y te lo puede saturar. Puedes habilitarla haciendo:

# VBoxManage modifyvm [your-vm] --nictrace[adapter-number] on --nictracefile[adapter-number] file.pcap
# VirtualBox -startvm [your-vm]

Por ejemplo:

# VBoxManage modifyvm "ubuntu" --nictrace1 on --nictracefile1 file.pcap
# VirtualBox -startvm "ubuntu"

Fuente: https://www.virtualbox.org/wiki/Network_tips

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X