Tengo dos máquinas:
- Windows 7 (víctima)
- kali (atacante)
He creado un archivo PE malicioso (exe) y lo abrí en Win7 para obtener acceso desde una sesión en Kali. por ejemplo: "HACK.exe"
Como quiero ser invisible, usé la migración de procesos para ocultarme detrás de aplicaciones abiertas simples en Win7 como: CALC o notepad (mientras estaban abiertas)
Mientras tanto, estoy registrando el comportamiento de Win7 a través de python (por la biblioteca psutil).
hack.exe tiene una conexión abierta ya que está conectado a Kali a través de la sesión abierta. (Puedo verlo en el archivo registrado)
Migré a calc y notepad porque nunca tienen conexión abierta (en casos normales).
Cuando migré "hack.exe" a "calc.exe" o "notepad.exe", todos los detalles se trasladaron a calc o notepad, como: uso de memoria, cantidad de subprocesos, byte de lectura / escritura (todo) , sin embargo, el número de conexión no se agregó al proceso hospedado, ¡el número de conexión en calc o en el bloc de notas aún es 0!
¿Alguien sabe por qué, después de la migración, todos los detalles se trasladaron al nuevo proceso, excepto el número de conexión!
En Kali todavía veo la sesión abierta! El proceso migró con éxito! PERO el número de conexión no se agrega al proceso del host (cálculo o bloc de notas).
¿Cuál es la razón?
(Nota: también registro el número total de conexiones en Win7, ¡no cambió! antes de la migración, era 75 después de la migración también 75)