Trao đổi với tôi

www.hdphim.info OR www.chepphimhdtv.com

10/31/09

[Hacking] Các Bước Hack Server

Các Bước Hack Server

Download tại :

http://files.myopera.com/giadinhhuykieun/Hacker/Cac.buoc.hack.server.rar

10/30/09

[Reverse] Tìm hiểu Armadillo

Author: NamCr

Bài viết này nhằm giới thiệu với anh em 1 Protecter rất nổi tiếng: Armadillo, các kĩ thuật bảo vệ được sử dụng, điểm mạnh cũng như điểm yếu của chương trình này.

Pro thì chẳng lạ gì, chinh chiến sa trường không ít thì nhiều cũng đã đụng độ, thậm chí unpack ầm ầm, nhưng cũng có những Pro nhìn thấy em này là ngao ngán sự đời, lôi tool ra unpack cho khỏe. Nói như vậy là để cảnh báo anh em newbie mới vào chưa biết, tưởng Armadillo là ngôn ngữ lập trình nữa thì tiêu, nói các lão newbie đừng buồn chứ peid scan ra mà đã báo Armadillo thì các bác lên mạng tìm tool đi là vừa, tool mà bó tay nữa thì các bác quăng nó đi cho rảnh nợ, arm không phải là mục tiêu dùng để bắt đầu sự nghiệp cho các newbie.

Giới thiệu em này 1 chút cho anh em:

Armadillo là 1 trình Protecter, kiêm 2 nhiệm vụ:
NV1. Cái này là nhiệm vụ của packer: nén file (nhằm thu nhỏ dung lượng), cũng như Winrar hay Winzip chương trình cũng có các mức nén khác nhau từ thấp cho đến cao.
NV2. Đây mới là nhiệm vụ chính: bảo vệ file trước sự dòm ngó của cracker, với đủ kiểu kĩ thuật tà đạo, Arm đã khiến không ít cao thủ dừng chân ngay từ bước scan bằng Peid.
Armadillo có thể thao tác trên các định dạng file EXE, SCR, DLL, OCX

Các kiểu bảo vệ của Arm:

Standard protections (hoặc Minimum protections)
Bản chất 2 kiểu bảo vệ này không khác nhau là mấy, kĩ thuật duy nhất mà chương trình sử dụng trong kiểu bảo vệ này là Magic Call (ngày xưa là Magic Jump). Với kĩ thuật này 1 số hàm API sẽ được di dời nhà ở khỏi file được bảo vệ, bỏ lại 1 bảng IAT thủng lỗ chỗ, không cần nói thì các lão cũng tưởng tượng ra, với 1 IAT thiếu sót như vậy và arm là người duy nhất biết địa chỉ di dời (để khi soft cần đến thì còn gọi API ra mà làm việc chớ) thì tiêu diệt arm đồng thời cũng là tiêu diệt soft luôn, arm xuống mồ thì nó cũng mang theo bí mật về hững hàm API còn thiếu, còn chúng ta thì chỉ biết ngậm ngùi đứng khóc.
Tuy nhiên kĩ thuật này tỏ vẻ vô dụng đối với các Unpackme, đơn giản là vì Unpackme sử dụng quá ít các hàm API, Unpacker sẽ không mất quá nhiều thời gian để vá lại các chỗ còn thiếu. Còn đối với Soft sử dụng hàm trăm API thì vá bằng tay những gì còn thiếu không điên thì cũng quá là dư sức.

Phương pháp xử lí kiểu Protect này rất đơn giản: Diệt Magic Call là xong
Standard protections là kiểu bảo vệ mặc định cho các dự án mới khi khởi tạo bảo vệ.
Lưu ý: Dù sử dụng kiểu Protect nào đi nữa thì Magic call luôn được dử dụng (có 1 vài ngoại lệ không nhiều lắm)

Debugger-Blocker:
Kĩ thuật này tạo ra 2 Process trong bộ nhớ (1 cha và 1 con), nếu bạn bật Task Manager lên và thấy soft đang chạy với 2 Process có cùng tên mặc dù không đảm bảo 100% nhưng Arm chính là thứ cần nghi ngờ đầu tiên.
Với kĩ thuật này Process cha sẽ tạo ra, chăm nom và bảo vệ thằng con khỏi các Debugger tấn công (và chỉ lo có ngần đó việc mà thôi), trong khi đó thằng con sẽ thi hành chức năng của soft như bình thường. Kĩ thuật này hạn chế Debugger ở chỗ không thể nào can thiệp vào quá trình hoạt động của thằng con khi mà 2 "cha con" vẫn còn liên hệ với nhau.

Phương pháp tiêu diệt: rất đơn giản, xài tools, bạn có thể dùng tay nếu thích, tuy nhiên dùng tay mất rất nhiều thời gian và hay hư hỏng, không an toàn như dùng soft. Tuy nhiên dùng tay hay dùng soft cũng có nguyên lý làm việc như nhau: Patch thằng con tại EP (lệnh EB FE) để nó "chạy tại chỗ", trong khi đó thì ngắt kết nối cha-con, sau khi ngắt thì thằng con không còn được bảo kê nữa, ta có thể mần thịt.

Strategic Code Splicing: Chiêu này gọi là chiêu ăn trộm, Armadillo sẽ chôm chỉa 1 vài đoạn code của chương trình, đá văng đoạn code này sang 1 vùng nhớ bất trì trong bộ nhớ, sau đó thay vào vị trí đoạn code bị chôm 1 lệnh nhảy hoặc hàm call gọi đến đoạn code đã bị di dời. Chiêu này có 2 lợi thế, 1 là chương trình vẫn hoặt động bình thường (do đoạn lệnh di dời vẫn được thực thi qua lệnh Jump hoặc hàm call gọi tới), thứ 2 là nó chống được việc chúng ta dump. Khi dump file như bình thường thì chúng ta chỉ dump được hàm call hay lệnh jump nhảy tới mà thôi, đoạn code đã nằm ở 1 vùng nhớ khác và không được dump xuống --> như vậy là soft thiếu code sẽ không chạy bình thường được

Fix: có 2 cách xử lý em này
Cách 1: tìm vùng nhớ nơi mà đám code lạc đàn đang cư ngụ, dump thêm chúng xuống, nối nó vào file dump của soft, Fix IAT sau đó vá lại các hàm call và lệnh jump cho khớp nữa là xong.
Cách 2: Xài tool, chúng ta cung cấp các thông tin cần thiết và tool sẽ mang những đoạn code trở về chỗ cũ, như vậy chương trình sẽ quay về dạng ban đầu trước khi được bảo vệ, cách làm này thường nhanh và ít thiếu sót hơn.

Import Table Elimination:
Có tác dụng tương tự như Strategic Code Splicing, nhưng thằng này thao tác với API thay vì code. Cách hoạt động cũng tương tự, đá văng các hàm API đi khắp nơi khiến chúng ta không tìm được bản IAT đầy đủ, không fix được file dump. Tuy nhiên không như Strategic Code Splicing chỉ đưa các đoạn code vào 1 vùng nhớ, Import Table Elimination đưa các API đi khắp nơi trong bộ nhớ, số lượng các API cũng quá nhiều, do vậy cách fix như cách 1 của Strategic Code Splicing không thể áp dụng ở đây, chỉ còn cách 2 đó là đưa các API trở về chỗ cũ, với lượng API quá lớn xài tool là điều không tránh khỏi.

Công nghệ Anti-dumping protections: Không phải chống chúng ta Dump xuống đâu, nó vẫn cho ta dump, nhưng dump xuống 1 đống ....rác
Bao gồm các kiểu bảo vệ sau:


CopyMem-II:
Chỉ có thể áp dụng khi có Debug Blocker, dường như nhận thấy Debug Blocker hơi sơ sài, Arm tăng cường thêm công nghệ

CopyMem II, thằng này trang bị cho Process cha, nó sẽ phá nát OEP của Process con, thay vào đó 1 đống code chẳng đâu vào đâu nhằm tránh việc Dump file, và dĩ nhiên chỉ có Process cha mới biết cách mã hóa trở lại như cũ, điều này thực sự khó chịu vì cho dù có mò được đến OEP của Process con thì nó cũng đã bị phá nát, dump xuống cũng chỉ là 1 đống rác mà thôi.

Tiêu diệt: cái này có rắc rối hơn 1 chút, căn bản là thế này:
[B]Bước 1:/[B] dùng tool để loại bỏ CopyMem (dùng tay cũng được tuy nhiên khá vất vả), chúng ta sẽ đứng ngay tại OEP của process con, 1 OEP nguyên vẹn, nhưng IAT đã bị phá nát (do Magic call và có thể kèm theo các kĩ thuật sắp nói bên dưới)
Bước 2: vẫn dùng tool, nhưng chỉ tiêu diệt Debug Blocker,sau đí lần lượt xử lí Magic call, kill các kĩ thuật khác nếu có, lần tới OEP, dĩ nhiên OEP đã tòe loe dưới tác dụng của Copymem, tuy nhiên chúng ta lại có bảng IAT nguyên vẹn.
Bước 3: Vá IAT nguyên vẹn ở bước 2 vào OEP nguyên vẹn ở bước 1, chúng ta có 1 chương trình ngon lành. hehe

Nanomites:Vẫn phải đi kèm Debug Blocker tuy nhiên CopyMem có hay không gì cũng được, được hãng dùng dưới cái tên: Enable Selected Code Encryption (Nanomites), trong tài liệu đi kèm không thấy nhắc nhỏm gì nhiều tới em này (chắc là muốn giấu ). Theo tui được biết Nano là tuyến phòng ngự cuối cùng của Armadillo, bất chấp các kiểu kĩ thuật khác đã bị vô hiệu hóa, file được Nano bảo kê cho dù đã được fix IAT và OEP ngon lành vẫn không tài nào chạy được, nếu load trong Olly sẽ nhìn thấy rất nhiều các lệnh ngắt INT3 khiến soft chết đứng ngay tại những câu lệnh đầu tiên( có hàng ngàn cái INT3 như vậy rải rác khắp nơi trong chương trình).

Phần tiêu diệt: Tui chưa thấy ai vá Nano bằng tay hết, thường là xài tool. Lý thuyết khá lằng nhằng, bản thân tui cũng không biết phải dịch ra sao cho đúng ý nữa.

Các kiểu bảo vệ đi kèm:

Memory-Patching Protections: chống patch trong bộ nhớ, Loader mà gặp em này coi như tiêu
Random PE Section Names: cái tên nói lên tất cả rồi, kĩ thuật này gây khó chịu trong Unpack nhiều hơn là có chức năng bảo vệ
SoftICE Detection: phát hiện SoftIce, chúng ta xài olly không cần sợ

Nhược điểm cơ bản của Armadillo:

Đầu tiên, nếu tui là giám đốc công ty này tui sẽ đuổi hết mấy thằng cha lo vụ antidebug, arm có cơ chế antidebugger quá đơn giản, chỉ cần 1 bản mod olly, 1 vài plugin là qua mặt ngon lành. Két sắt có tốt tới mấy mà cứ mở rộng cửa cho trộm thử phá thì kiểu gì cũng thua, vấn đề là bao lâu thôi.

Thứ 2: Arm có các kiểu bảo vệ rất tốt, nhưng cái giá phải trả chính là tốc độ thực thi của chương trình, Debug Blocker, copymem, Strategic Code Splicing, Import Table Elimination, Nanomites đều là những sát thủ tốc độ cực tốt, soft được bảo vệ với tất cả tùy chọncủa Arm sẽ "bò" chứ không chạy, quá trình khởi động rất lâu, quá trình hoạt động cũng rất chậm, vì vậy mà các hãng phần mềm chẳng ai dại mà chọn hết kiểu bảo vệ cho soft của mình cả, điều này làm arm mạnh nhưng không phát huy hết được sức mạnh của mình

Thứ 3: File được pack có dung lượng quá lớn, nhiều khi còn lớn hơn cả file gốc, điều này là do mức nén thấp trong khi đó arm lại thêm khá nhiều mã lệnh vào soft để thực hiện chức năng Protect của mình

Link:http://cin1team.biz/showthread.php?t=123

10/29/09

[Anti Virus] Dùng System Explorer để Quan sát - Diệt Malware triệt để hơn.










System Explorer
(Download)
Quan Sát và Diệt Malware triệt để hơn.
--------

Các tính năng:

_ Quản lý Process tương tự Task Manager


_ “Hide All Microsoft Entries” (ẩn các process “an toàn” của Windows) giúp kiểm tra Process lạ dễ dàng hơn.


_ Autorun – StartUp : giúp kiểm tra các ứng dụng khởi động cùng Windows.


_ Monitoring - Modules : xem những file *.dll đã đang được Load. Từ đây mình có thể "nghi ngờ" những file dll lạ, hoặc đôi khi có thể dựa vào nội dung của 2 cột (Product Name & Company Name) (thường nên nghi ngờ những dll nào trống 2 cột này).


_ Monitoring - Connections : liệt kê các cổng kết nối internet.



*** Monitoring - SnapShot : Chức năng quan trọng nhất của System Explorer trong việc quan sát Malware.

--------------

Các bước quan sát Malware bằng SnapShot của System Explorer:

Bước chuẩn bị) Nên tắt hết các chương trình khác nhằm tăng tốc độ quan sát và giảm bớt kết quả, sẽ tiện hơn khi đọc Log file.
Tắt hết như thế này càng tốt.
Trong quá trình quan sát, nên hạn chế mở thêm bất kì chương trình ứng dụng nào, điều này cũng nhằm mục đích nêu trên.
Đương nhiên là phải tiến hành trên máy sạch rồi. (hãy cân nhắc trước khi cho dính Malware vào máy nhé)

Bước 1) Chụp tấm ảnh thứ 1 về thông tin File & Registry toàn máy tính:


Bước 2) Tiến hành cho dính Malware vào máy tính.
Malware khi được kích hoạt, sẽ tạo - xóa - sửa các Files - Folders - Registry.
Tùy vào mỗi loại Malware mà chúng sẽ tạo - xóa - sửa những gì trong những khoảng thời gian nào.

Bước 3) Tiếp tục chụp tấm ảnh thứ 2 về thông tin File & Registry toàn máy tính:

Lưu ý: Vì mỗi Malware có mỗi kiểu tạo - xóa - sửa các Files - Folders - Registry khác nhau trong những khoảng thời gian khác nhau, nên ta sẽ không rõ được Malware có làm liền hết công việc của nó ngay khi dính vào máy ta. Bởi thế cần có một khoảng thời gian chờ để Malware có thể làm hoàn tất các công việc tạo - xóa - sửa rồi mới tiến hành chụp tiếp tấm ảnh thứ 2 này.
Nếu thực sự muốn chắc chắn hơn về việc Malware có làm gì thêm sau đó hay không. Ta lại tiến hành chụp tấm ảnh thứ 3 ....



Bước 4) So sánh 2 tấm ảnh đã chụp với nhau: (dưới đây mình cho dính thử malware Phimnguoilon.exe)
This image has been resized. Click this bar to view the full image. The original image is sized 939x744.


Bước 5) Đã nắm thông tin Malware tạo - xóa - sửa các Files - Folders - Registry chỗ nào, ta bắt đầu:
_ Tiến hành tắt tiến trình (process) của Malware.
_ Xóa các File - Folder - Registry Key do Malware tạo.
_ Hồi phục lại các File - Folder - Registry Key bị Malware xóa (hoặc thay đổi).

*** Chú ý: Nếu gặp loại Malware nào khó có thể xóa trong Windows. Ta tiến hành Boot vào Dos hoặc NC để xóa (dựa trên các thông tin lấy được từ Snapshots).
Đây chỉ là công cụ hỗ trợ diệt Malware bằng tay. Và nên nhớ rằng, Malware nào lây file thì khó có thể giải quyết bằng tay được.

--------------
+ Định nghĩa thêm về 2 từ "Malware":
Đó là từ gọi chung, là "Phần mềm độc hại".
Nó bao gồm : Virus (PE lây file), Worm, Trojan, gộp luôn Spyware, Adware ...

Link: http://flobg88.blogspot.com/2009/08/tut-dung-system-explorer-e-quan-sat.html

[Virus] 10 loại malware điển hình

Hiện nay, ngày càng có nhiều loại malware mới tinh vi hơn, độc hại hơn xuất hiện. Ai cũng có thể biết đến những tác hại mà malware gây ra, nhưng không phải ai cũng biết đến cách thức hoạt động của chúng. Bài viết này sẽ điểm ra 10 loại malware được cho là nguy hiểm nhất từ trước tới nay.

Dưới đây là một số thuật ngữ được sử dung jtrong bài viết:
  • Malware: là một phần mềm độc hại được viết ra chuyên để xâm nhập và phá hủy hệ thống máy tính mà người dùngkhông hề hay biết.
  • Malcode: là một mã lập trình độc hại được giới thiệu trong suốt giai đoạn phát triển của một ứng dụng phần mềm và thường liên quan tới số lượng malware.
  • Anti-malware: Bao gồm những chương trình chống lại malware, giúp bảo vệ, phát hiện và gở bỏ malware. Ứng dụng antivirus, anti-spyware và ứng dụng phát hiện malware là những ví dụ của anti-malware.
1. Virus

Virus máy tính là một malware có thể lây nhiễm nhưng phải dựa vào những phương tiện khác để phát tán. Một loại virus thật sự có thể lan tràn từ những máy tính bị nhiễm tới một máy tính chưa nhiễm bằng cách đính một mã vào file thực thi được truyền qua nhau. Ví dụ, một virus có thể ẩn trong một file PDF được đính vào một email. Hầu hết virus đều gồm có 3 thành phần sau:
  • Replicator: Khi kích hoạt chương trình chủ thì đồng thời virus cũng được kích hoạt, và ngay lập tức chúng sẽ phát tán malcode.
  • Concealer: Biện pháp virus sử dụng để lẩn tránh anti-malware.
  • Payload: Lượng malcode của một virus có thể được sử dụng để hủy chức năng của máy tính và phá hủy dữ liệu.
Một số mẫu virus máy tính gần đây gồm W32.Sens.A, W32.Sality.AM, và W32.Dizan.F. Hầu hết những phần mềm chống virus tốt sẽ gỡ bỏ virus khi chúng được đăng ký.

2. Sâu (Worm)

Sâu máy tính tinh vi hơn nhiều so với virus. Chúng có thể tự tái tạo mà không cần tới can thiệp của người dùng. Malware sẽ giống sâu hơn virus nếu sử dụng Internet để phát tán. Những thành phần chính của sâu bao gồm:
  • Penetration tool: Là malcode khai thác những lỗ hổng trên máy tính của nạn nhân để dành quyền truy cập.
  • Installer: công cụ thâm nhập giúp sâu máy tính vượt qua hệ thống phòng thủ đầu tiên. Lúc đó, installer đưa và chuyển thành phần chính của malcode vào máy tính của nạn nhân.
  • Discovery tool: Khi đã xâm nhập vào máy, sâu sử dụng cách thức để truy lục những máy tính khác trên mạng, gồm địa chỉ email, danh sách máy chủ và các truy vấn DNS.
  • Scanner: Sâu sử dụng một công cụ kiểm tra để xác định những máy tính mục tiêu mới trong penetration tool có lỗ hổng để khai thác.
  • Payload: Lượng malcode tồn tại trên mỗi máy tính của nạn nhân. Những malcode này có thể từ một ứng dụng truy cập từ xa hay một key logger được dùng để đánh cắp tên đăng nhập và mật khẩu của người dùng.
Thật không may loại malware này lại sinh sôi rất nhanh. Khởi đầu với sâu Morris vào năm 1988 và hiện nay là sâu Conficker. Hầu hết sâu máy tính có thể gỡ bỏ bằng chương trình quét malware, như MBAM hay GMER.

3. Backdoor

Backdoor giống với những chương trình truy cập từ xa mà chúng ta thường sử dụng. Chúng được coi như malware vì khi cài đặt mà không cần được cho phép, đây lcách mà tin tặc sử dụng, theo các phương thức sau:
  • Khai thác lỗ hổng trên máy tính mục tiêu.
  • Bẫy người dùng cài đặt backdoor thông qua một chương trình khác.
Sau khi được cài đặt, backdoor cho phép tin tặc toàn quyền kiểm soát từ xa những máy tính bị tấn công. Những loại backdoor, như SubSeven, NetBus, Deep Throat, Back Orifice và Bionet, đã được biết đến với phương thức này.

4. Trojan horse

Theo Ed Skoudis và Lenny Zelter, Trojan horse là một chương trình thoạt nhìn có vẻ hữu dụng nhưng trong nó lại ẩn chứa nhiều “tính năng” độc hại.

Trojan horse malware chứa đựng nhiều payload cản trở cài đặt và chạy chương trình, như ngăn cản malware nhận ra malcode. Một số kĩ thuật che giấu bao gồm:
  • Đổi tên malware thành những file giống với file bình thường trên hệ thống.
  • Cản trở cài đặt anti-malware để không thể thông báo vị trí của malware.
  • Sử dụng nhiều loại mã khác nhau để thay đổi đăng ký của malware nhanh hơn những phần mềm bảo mật.
Vundo là loại Trojan horse điển hình. Nó tạo ra nhiều quảng cáo popup để quấy rối những chương trình chống spyware, làm suy giảm khả năng thực thi của hệ thống và cản trở trình duyệt web. Đặc biệt, nó cản trở cài đặt chương trình quét malware trực tiếp đĩa CD.

5: Adware/spyware
  • Adware là phần mềm tạo ra trình đơn quảng cáo popup mà không có sự cho phép của người dùng. Adware thường được cài đặt bởi một thành phần của phần mềm miễn phí. Ngoài việc làm phiền, adware có thể làm giảm đáng kể sự thực thi của máy tính.
  • Spyware là một phần mềm thực hiện đánh cắp thông tin từ máy tính mà người dùng không hề hay biết. Phần mềm miễn phí thường có rất nhiều spyware, vì vậy trước khi cài đặt cần đọc kĩ thỏa thuận sử dụng. Một trường hợp đáng chú ý nhất về spyware liên quan tới vụ tai tiếng chống copy đĩa CD BMG của Sony.
Đa số những chương trình chống spyware tốt sẽ nhanh chóng tìm ra và gỡ bỏ adware/spyware khỏi máy tính. Bạn cũng nên thường xuyên xóa những file tạm, cookies và history từ chương trình trình duyệt Web.

Malware stew

Cho đến nay, tất cả các loại malware được biết đến đều khá khác nhau, giúp có thể phân biệt từng loại. Tuy nhiên, loại malware stew này không giống như vậy. Những người viết nó đã nghiên cứu làm thể nào để kết hợp những đặc tính tốt nhất của nhiều loại malware khác nhau để nâng cao khả năng của nó.

Rootkit là một ví dụ điển hình của loại malware này, nó gồm các đặc tính của một Trojan horse và một Backdoor. Khi được sử dụng kết hợp, tin tặc có thể giành quyền kiểm soát máy tính từ xa mà không bị nghi ngờ.

Rootkits

Rootkit là loại hoàn toàn khác biệt, chúng thường sửa đổi hệ điều hành hiện thời thay vì bổ sung những phần mềm ở mức ứng dụng mà những loại malware khác thường làm. Điều này rất nguy hiểm bởi vì những chương trình chống malware sẽ rất khó phát hiện được chúng.

Có nhiều loại rootkits, trong đó có 3 loại được cho là nguy hiểm nhất, gồm: user-mode, kernel mode và firmware rootkits.

6. User-mode rootkits

User-mode gồm những đoạn mã giới hạn truy cập vào tài nguyên phần mềm và phần cứng trên máy tính. Hầu hết những mã chạy trên máy tính sẽ chạy trên chế độ user-mode. Vì truy cập bị giới hạn nên những phá hủy trong user-mode là không thể phục hồi.

User-mode rootkit chạy trên máy tính với quyền admin. Điều đó có nghĩa:
  • User-mode rootkits có thể thay đổi tiến trình, file, ổ hệ thống, cổng mạng và thậm chí là dịch vụ hệ thống.
  • User-mode rootkit tự duy trì cài đặt bằng cách sao chép những file yêu cầu vào ổ cứng máy tính và tự động khởi chạy mỗi khi hệ thống khởi động.
Hacker Defender là một user-mode rootkit điển hình. Loại rootkit này và nhiều loại khác bị phát hiện và gở bỏ bởi ứng dụng nổi tiếng của Luckily Mark Russinovich.

7. Kernel-mode rootkits

Kernel-mode gồm những mã hủy giới hạn truy cập vào mọi tài nguyên phần cứng và phần mềm trên máy tính. Kernel-mode thường được dùng để lưu trữ những chức năng tin cậy nhất của hệ điều hành. Những hủy hoại trong kernel-modecũng không thể phục hồi.

Từ khi rootkit chạy trong chế độ user-mode bị phát hiện và gỡ bỏ, những người lập trình rootkit đã thay đổi tư duy và phát triển kernel-mode rootkit. Kernel-mode có nghĩa là rootkit được cài đặt đồng mức với hệ thống và những chương trình phát hiện rootkit. Vì vậy rootkit có thể làm cho hệ thống không còn đáng tin cậy nữa.

Không ổn định là một dấu hiệu sa sút của hệ thống một kenel-mode rootkit gây ra, thậm chí dẫn đến những hủy hoại không rõ nguyên nhân hay treo màn hình. Lúc đó, bạn nên thử GMER, một trong số ít công cụ gỡ bỏ rootkit có thể tin cậy, để chống lại kernel-mode rootkit như Rustock.

8. Firmware rootkits

Firmware rootkit là loại rootkit cài đặt tinh vi vì những người phát triển loại rootkit này đã nghiên cứu phương pháp lưa trữ malcode của rootkit trong firmware. Mọi firmware đều có thể bị thay đổi, từ mã vi xử lý cho tới firmware của khe cắm mở rộng. Điều đó có nghĩa:
  • Khi tắt máy, rootkit ghi malcode hiện thời vào những firmware khác nhau.
  • Khi khởi động lai máy tính rootkit cũng tự thực hiện cài đặt lại.
Thậm chí, nếu một chương trình phát hiện và gỡ bỏ được firmware rootkit, thì lần khởi động máy tính sau, firmware rootkit này vẫn xuất hiện hoạt động trở lại bình thường.

9. Malicious mobile code (Mã độc di động – MMC)

MMC nhanh chóng trở thành phương pháp cài đặt malware vào máy tính hiệu quả nhất. Chúng có thể:
  • Chiếm quyền máy chủ từ xa.
  • Di chuyển trong mạng.
  • Tải và cài đặt trên một hệ thống cục bộ
MMC gồm Javascript, VBScript, ActiveX Controls và Flash Animations. Mục đích chính rất dễ nhận ra của MMC là cách thức hoạt động, nó làm nội dung trang của trình duyệt web trở nên tương tác hơn.

Tại sao MMC lại độc hại? Vì việc cài đặt nó không cần đến sự cho phép của người dùng và gây hiểu lầm cho nguời dùng. Ngoài ra nó thường là bước đệm cho một cuộc tấn công kết hợp giống như công cụ xâm nhập mà Trojan horse malware sử dụng. Sau đó tin tặc có thể tiến hành cài đặt thêm nhiều malware.

Cách tốt nhất để chống lại MMC là luôn cập nhật hệ thống và tất cả chương trình phụ.

10. Blended threat (Mối đe dọa hỗn hợp)

Malware được cho là một blended threat khi nó gây ra những tổn hại lớn và phát tán nhanh chóng thông qua những phần kết hợp của nhiều malcode có mục tiêu riêng. Blended threat xứng đáng là mối lo ngại đặc biệt vì nhiều chuyên gia bảo mật cho rằng chúng là “những chuyên gia trong công việc của chúng”. Một blended threat điển hình có thể:
  • Khai thác và tạo ra nhiều lỗ hổng.
  • Sử dụng nhiều phương thức tái tạo khác nhau.
  • Tự động chạy mã hủy can thiệp của người dùng.
Ngoài ra, blended threat malware có thể gửi một email dạng HTML nhúng Trojan horse cùng với một file PDF đính kèm chứa một loại Trojan horse khác. Một số loại blended threat khá quen thuộc là Nimda, CodeRed và Bugbear. Để gỡ bỏ blended threat khỏi máy tính cần đến nhiều chương trình chống malware, cũng như sử dụng chương trình quét malware được cài đặt chạy trực tiếp từ đĩa CD.
Xian (Theo TechRepublic)

[Anti Virus] Gửi FULL LOG để tìm diệt Malware kĩ hơn !!! (NEW) (có kèm Log HijackThis)

Link: http://flobg88.blogspot.com/2009/08/huong-dan-gui-full-log-e-tim-diet.html

Giới thiệu
:

Ngày nay, nhiều dòng Malware mới dễ dàng qua mặt những Antivirus mạnh bằng cách dùng kĩ thuật Rootkit.
Một số AntiVirus nổi tiếng có kèm chức năng tìm diệt Rootkit nhưng cũng chỉ ở mức vừa. Bởi thế, gặp những Malware dùng Rootkit mạnh sẽ gây khó khăn cho Antivirus. Antivirus lúc ấy chỉ bắt được đàn em lâu la của Malware (không được bảo vệ bởi rootkit).

Tôi mở topic này để hướng dẫn các bạn cách lấy được nhiều Log (thông tin) trong máy hơn, và chú trọng ở mảng Rootkit.
Từ bộ Log đồ sộ đó, nhiều khả năng sẽ thấy được Rootkit để trừ khử nó "bằng tay", làm nhẹ gánh cho Antivirus trong việc trừ khử Malware.

Tôi mạn phép xóa Topic "Lấy log HijackThis" bên kia, gộp chung qua bên này. Ai có nhã hứng với HijackThis.Log thì nó có ở file "log.txt" nằm trong thư mục Rsit của bộ log.

Thời gian để lấy Full Log này hơi lâu (khoảng gần nửa tiếng, nhưng thao tác ít, chỉ cần ngồi chờ thôi).
Bù lại sẽ có được bộ Log khá chi tiết.
Nếu ai thực sự quan tâm đến việc trừ khử triệt để Malware trong máy mình thì nên có bộ Log này.

-----------

Lưu ý: Trong suốt quá trình từ lúc bắt đầu lấy Full Log cho tới khi diệt Malware xong, yêu cầu các bạn không tự ý cài thêm Removal Tool hoặc Antivirus để cố gắng diệt Malware, vì có thể sẽ làm sai lệch thông tin một cách mà chúng tôi khó giải thích. Điều đó gây bất lợi cho việc tìm diệt chính xác và triệt để Malware trong máy bạn.

-----------

Dọn rác trước:

Tắt tất cả các chương trình trên các cửa sổ màn hình

1) Tải ATF Cleaner vào desktop
Chạy ATF-Cleaner.exe, chọn Select All, click Empty Selected.

2) Cài đặt Ccleaner
Chạy Ccleaner và click "Run Cleaner".

-----------

Bắt đầu lấy Full Log:

1) Tải MGtools.exe và save vào thư mục gốc của ổ đĩa cài hệ điều hành (thông thường là C:\ ) rồi chạy nó.
Khi chạy, nó hỏi gì thì cứ Yes - OK - Continue ...
Chạy xong (Finish), bạn upload file MGLogs.zip ở cùng ổ đĩa và đưa link lên đây.

2) Tải GetSystemInfo
Tắt tất cả các chương trình mà bạn đang dùng, chỉ chừa lại các chương trình về security (Antivirus,Firewall..)
Chạy file GetSystemInfo.exe, chọn Settings, chọn Maximum => OK => Create report.
Sau khi hoàn tất bạn upload file GetSystemInfo_*.zip ngay trên desktop của bạn lên host nào đó và đưa link lên đây.

3) Tải AVZ
Giải nén và chạy avz.exe, click chọn menu "File" => Database Update => Start.
Sau khi Update xong, trở lại màn hình chính của AVZ, click chọn tất cả các ổ đĩa trong máy bạn, click chọn "Copy suspicious files to Quarantine" và "Copy deleted files to 'Infected' folder" => click Start.
Ở folder AVZ4, bạn nén folder QuarantineInfected (nếu có) , upload và gửi link lên đây .

4) Tải và chạy GMER.exe
Khi chạy, nếu Gmer hỏi bạn chọn NO. Sau đó thiết lập và làm theo như hình (ở hình chỉ chọn ổ C:\ vì ổ C:\ là ổ cài Win).


Scan xong thì click Save và đặt tên là "gmer.txt".
Upload file này và đưa link lên đây.

5) Tải vào Desktop và chạy RootRepeal.exe
Chọn tab Files, chọn Scan , chọn tiếp tất cả các ổ trong máy rồi OK.
Chạy xong,click Save report , save với tên RootRepeal.txt , upload và đưa link file này lên đây.

6) Tải vào Desktop và chạy DDS
Nén, Upload và đưa link 2 file DDS.txt , Attach.txt lên đây.

7) Tải vào Desktop và chạy RSIT
Chạy xong, nén 2 file info.txtlog.txt, upload và đưa link lên đây.

8) Tải vào Desktop và chạy SystemScan.exe
Chọn Scan Now.
Scan xong, upload và đưa link file *report.zip vừa được tạo ra lên đây.

---------

Nếu bạn nào cảm thấy máy ổn và chỉ muốn kiểm tra sơ thôi, thì chỉ cần làm bước 7 (trong ấy có kèm HijackThis.log).

[Anti Virus] Crack perfect keylogger để lấy pass ftp

Link: http://flobg88.blogspot.com/2009/10/crack-perfect-keylogger-e-lay-pass-ftp.html

Chào các bạn hôm nay ghozt sẽ viết một tut đầy đủ về perfect keylog.

Perfect keylog có lẽ ai cũng biết đây là một chương trình chuyên dùng bắt bàn phím.Tut hướng dẫn cài đặt và sử dụng perfect thì cũng có nhiều rồi nhưng hôm nay ghozt cũng viết lại luôn.Chúng ta cùng đến với phần đầu tiên.

Phần I: Cài đặt và sử dụng perfect keylog

1/ Ở đây mình dùng perfect bản 1.68.Đầu tiên là cài đặt.Cái này thì có lẽ ai cũng biết mình chỉ lưu ý là ở đoạn enter your keyword nên điền là system32.



Tiếp theo select program folder thì chọn là C:\Windows\System32.Choose installation type chọn cái thứ 2 như hình.Mục đích là để cho con remote sau này.



Oke vậy là xong phần setup.

2/ Tiếp theo là crack con perfect này

Mở olly ra open file system32.exe (Do sự cố ngoài ý nên ghozt phải cài ở system)




Bây giờ ấn F9 để run perfect sẽ hiện lên bảng báo đòi điền lic.Ấn vào nút Enter registration code.Điền đại vào đấy.Ở đây ghozt điền your name là DarkForceVn.Org Code là 1111-1111-1111-1111







Rồi giờ ấn oke sẽ hiên lên bảng báo lỗi thế này




Để nguyên cái bảng báo lỗi quay lại olly ấn F12 để pause lại.Rồi ấn Alt+K để vào bảng stack.




Click chuột vào chỗ ghozt đóng khung để ra bảng như sau




Dò ngược lên phía trên tìm đến những dòng ghozt đánh dấu ấn F2
Dòng thứ nhất




Dòng thứ hai




Oke jờ thì lại ấn F9 để run.Giờ vào bên reg perfect ấn oke được rồi.Tiếp tục ấn ok lần nữa.




Quay lại olly xem điều gì xảy ra.Chú ý phần đóng khung đỏ.Đó chính là key chúng ta cần.




Giờ điền key đó vào là xong crack.




Thóat olly và sang phần tiếp theo

User: DarkForceVn.Org
Key: CTHM-KUDH-WMRR-KVAB

3/Sử dụng perfect

Phần này ghozt chỉ nói sơ qua vì cũng nhiều tut hướng dẫn rồi với lại tut này chủ yếu ghozt muốn hướng dẫn crack và kill perfect thôi
Phần option là phần cấu hình cho perfect.Bạn có thể đặt password.Bỏ chọn phím tắt đi.click hết các lựa chọn remove.Quan trọng nhất là ftp và email keylog sẽ gửi thông tin cho mình qua đây.
Cái hay của Perfect là chức năng remote.Nó cho phép add bộ cài remote vào một file exe.

Phần II:Kill perfect và cướp perfect

Phần này ghozt sẽ hướng dẫn cách kill perfect nếu bạn lỡ bị nhiễm.Bạn nào chơi game online đặc biệt những game nhập vai như võ lâm hay phong thần.Sẽ thấy rất nhiều thằng rao web.Mục đích là hack đồ của bạn.Và chủ yếu chúng dùng perfect vì chức năng remote của nó.Nếu bạn muốn nẫng tay trên những con mồi vô ý sập bẫy của bọn rao web thì sao.Hãy vào web nó rao.Down remote perfect về.Khi bạn nháy vào file virus này máy bạn đã dính keylog.

Để kill hãy vào olly chon attach sẽ kill được perfect.Trước đõ hãy chú ý link của nó để còn vào del




Nếu bạn muốn cướp perfect thì sao.Khi bạn chạy file remote tức là perfect được cài vào máy bạn.Nhưng nó ko có biểu tượng ở system tray.Thương khi tạo remote thì người tạo sẽ đặt password và bỏ phím tắt đi.Khi đó perfect cài vào máy bạn sẽ không hiện lên được.Một lần vô tình mình phát hiện ra răng.Cứ nháy liên tục vào file remote kiểu gì biểu tượng perfect cũng lòi ra.Bạn thử tao file remote rồi uninstall bản perfect trong máy.Và thử xem.Nếu thành công và remote ko đặt pass bạn sẽ vào được opttions của nó.Và bạn có thể soi pass mail or ftp của nó để ăn hàng rồi

Trường hợp đặt pass bảo vệ thì sao.Dùng olly crack pass.Y hệt như crack reg perfect.Bạn hãy tự thực hành xem.Good luck.

End Tut !!!


Tut By Ghozt of DF Group !

[Virus] Hướng dẫn kiểm tra xem máy tính đã cài đặt bản vá lỗi hệ điều hành chưa

Link: http://forum.bkav.com.vn/showthread.php?t=132
Author: Avatar của Wave_Alpha Wave_Alpha

Hiện nay, ý thức cảnh giác trước mối nguy hiểm từ virus của chúng ta chưa cao nên chúng ta thường coi việc cài đặt Windows đã hoàn thành khi setup xong Windows, vào được màn hình Desktop. Chúng ta đã quên mất còn một việc rất quan trọng đó là cài đặt bản vá lỗi cho Windows.
Chúng ta hãy hình dung, việc setup Windows như là việc xây nhà, còn việc cài đặt bản vá lỗi là việc chúng ta xây cửa, lắp khoá... đảm bảo an toàn cho ngôi nhà của mình.

Mặc dù Microsoft đã cho ra mắt Windows Vista và Windows7 nhưng số lượng máy tính cài đặt Windows XP vẫn còn rất nhiều. Vì vậy trong bài viết này mình hướng dẫn bạn cách kiểm tra xem máy tính của mình đã cập nhật bản vá lỗi cho hệ điều hành chưa. Cụ thể, mình hướng dẫn bạn kiểm tra xem máy tính đã được cài đặt bản vá lỗi chống sự xâm nhập của virus Conficker, OnGamesJIFdll01, OnlinegameDMBG và các loại virus lây lan qua lỗ hổng bảo mật của Windows XP. Các bước tiến hành:

_ Bước 1: Vào Control Panel, tick vào mục Show Updates.



_ Bước 2: Kiểm tra trong danh sách phần mềm cài đặt trên máy đã có bản cập nhật có tên: Security Update for Windows XP (KB958644)



Nếu bạn thấy trong danh sách phần mềm trên máy đã có tên bản update này có nghĩa là máy tính của bạn đã cài đặt thành công bản vá lỗi.
Nếu bạn không thấy, bạn có thể kick vào những đường link dưới đây để download bản vá lỗi tương ứng với hệ điều hành bạn đang sử dụng:

Windows XP Service Pack 2 / Windows XP Service Pack 3

http://download.microsoft.com/downlo...44-x86-ENU.exe

Windows XP Professional x64 Edition / Windows XP Professional x64 Edition Service Pack 2

http://download.microsoft.com/downlo...44-x64-ENU.exe

Windows Vista / Windows Vista Service Pack 1

http://download.microsoft.com/downlo...958644-x86.msu

Windows Vista x64 Edition / Windows Vista x64 Edition Service Pack 1

http://download.microsoft.com/downlo...958644-x64.msu

Windows 2000 Service Pack 4

http://download.microsoft.com/downlo...44-x86-ENU.EXE

Windows Server 2003 Service Pack 1 / Windows Server 2003 Service Pack 2

http://download.microsoft.com/downlo...44-x86-ENU.exe

Windows Server 2003 x64 Edition / Windows Server 2003 x64 Edition Service Pack 2

http://download.microsoft.com/downlo...44-x64-ENU.exe

Windows Server 2003 with SP1 for Itanium-based Systems / Windows Server 2003 with SP2 for Itanium-based Systems

http://download.microsoft.com/downlo...4-ia64-ENU.exe

Windows Server 2008 for 32-bit Systems

http://download.microsoft.com/downlo...958644-x86.msu

Windows Server 2008 for x64-based Systems

http://download.microsoft.com/downlo...958644-x64.msu

Windows Server 2008 for Itanium-based Systems

http://download.microsoft.com/downlo...58644-ia64.msu
__________________