Si sabe que hay una puerta trasera instalada, entonces solo necesita encontrar dónde está almacenada y demostrar que efectivamente es un programa extranjero (presumiblemente con intención maliciosa).
La informática forense puede ser difícil. ¿Cómo sabemos que algo se ha hecho en una computadora? En general, utilizamos archivos de registro, pero si una máquina se ha visto comprometida por completo, entonces un hacker tendría acceso a esos registros (suponiendo que no estén almacenados en otra … máquina no pirateada). Tal vez podría verificar la marca de fecha / hora en el archivo de registro, pero eso también se puede falsificar. Tal vez el programa de puerta trasera instaló un rootkit que oculta su existencia del sistema operativo, en cuyo caso deberá iniciar la máquina en una instancia de sistema operativo diferente (usando una unidad USB de arranque o algo así) para analizar los archivos.
Al igual que probar que alguien irrumpió en su casa depende completamente de cómo entraron, probar que una computadora ha sido pirateada depende completamente de cómo fue pirateada. Si el pirata informático fue inteligente y el único rastro del pirateo está en la memoria, que se eliminará una vez que la computadora se reinicie, entonces tendrá dificultades. Si el pirata informático era tonto y dejó un archivo llamado HackerBackdoor.exe en C: \ Windows, entonces probar que ha sido pirateado es bastante simple.
- ¿Cuáles son algunos hechos poco conocidos sobre la seguridad de TI?
- ¿Cómo se piratea a los VIP si RSA-2048 es seguro e ininterrumpido?
- ¿Qué es el terrorismo cibernético?
- ¿De qué manera los principales motores de búsqueda mantienen en secreto su algoritmo de clasificación?
- ¿Cuál es la mejor manera de almacenar una contraseña en un archivo de texto sin formato para que no sea legible por humanos?
Por lo general, necesitará algunos registros detallados (red y sistema) para correlacionar las causas con los efectos. No se puede confiar absolutamente en los registros en sistemas potencialmente comprometidos.