Indentificando possíveis invasões/conexões suspeitas no computador em Python

Eu estava a um tempinho sem postar nenhum gambscript né rs

 

 

o script tem a função de ficar monitorando as conexões do computador, com o objetivo de identificar conexões com URLs suspeitas

 

 

É um firewall? NÃO, ele apenas monitora as conexões, não faz bloqueio de porta nem nada do tipo

 

É um IDS/IPS? NÃO, embora alguns IDS/IPS assim como alguns firewalls analisem tbm o endereço da URL, o script não é um programa desse tipo, pois além de ter menos recursos, ele não faz qualquer tipo de bloqueio, apenas avisa sobre uma URL suspeita

 

E claro, não existe uma lista de URLs boas e ruins, isso vc que tem que ver que quais conexões são aceitáveis na sua rede, por exemplo.. se vc não tem nenhum serviço de DDNS, nem nenhum aplicativo "amador", é estranho um processo se conectar a um endereço como noip, que é algo bem genérico, ou ainda ter conexões pra endereços como .ru se vc nem acessa esse tipo de site ou tem programa legítimo que acessa, etc..

 

 

 

então fica a cargo de cada um determinar URLs que são relevantes, na internet existem listas tbm de URLs que normalmente são usadas por malwares, como esta

 

 

http://www.malwaredomainlist.com/hostslist/hosts.txt

que foi atualizada dia 11-04

 

 

 

 

 

 

 

bom, vc vai pegar as URLs q vc considera suspeita, vai por num arquivo de texto e iniciar o script, o script vai monitorar de tempos em tempos(por padrão a cada 10segundos)as conexões do computador e logar caso tenha uma conexão suspeita, informando:

 

 

• nome do processo
  
• protocolo
  
• PID
  
• horário
  
• endereço
  

 

 

 

 

 

USO:

 

1° vc precisa baixar o TCPVCON, que vc baixa do próprio site da microsoft # pros mais paranoicos que eu ainda, é um utilitário de linha de comando pra verificar as conexões do computador

 

2° Baixar o script, obviamente

 

3° ter o python 3.4 instalado(https://www.python.org/downloads/)

 

# caso vc ja tenha outra versão do python instalada, na hora de executar o script vc vai digitar

 

<caminho do python3> <caminho do script> <opções do script>

 

EX:

 

C:\python34\python.exe C:\script.py --link url.txt --tempo 20

 

 

 

 

 

Opções:

 

--link(obrigatório) = caminho do arquivo de texto onde vc salvou as URLs suspeitas

 

--tempo(opcioanl) = intervalo de tempo em segundos em que o script vai verificar as conexões, caso vc não use, o intervalo vai ser de 10segundos

 

-v(opcioanl) = modo verbose, vai mostrar todas as conexões do computador e não só as suspeitas

 

 

 

Script:

 

Nossa muito bom, curto seus topicos, so coisa foda.