Trao đổi với tôi

http://www.buidao.com

2/28/10

[Reverse] password DeepFreeze Standard v6.0->v6.5

Vấn đề khi quên pass đã được giải quyết triệt để khi các bạn đọc tut này.Từ nay

ai quên password DeepFreeze thì khỏi lo lắng nữa nha!!
DeepFreeze là 1 phần mềm đóng băng chuyên nghiệp mà các

tiện NET hay dùng để bảo vệ họ,nhưng từ nay chắc họ phải

chuyển sang phần mềm khác quá à!!!Tác đụng của nó thì ai

cũng biết rồi,trong tut mình sẽ kèm cả bản cũ của mình để thực

hành,nếu ai không thích có thể lên trang chủ của nó để dowload

về thử,bản mới nhất nó hỗ trợ cho ta nhập luôn Key à khỏi phải

đi tìm bản crack như lần trước nữa.
Quote:
Trang chủ: www.faronics.com/
Phần mềm: DeepFreeze Standard v6.00.20.1583
Trình nén: Execrytor v2.x,Aspack v2.12
Kiểu crack: Read password
Công cụ: OllyDBG, PEiD
Độ khó: 5/10 (Newber)
Nếu bạn xem bằng Internet Explorer thì nhấn F11 để xem Full

display.
Mình quên nói điều này trong tut,nhưng thấy nói ngay ngoài

cũng được.Password của DeepFreeze không phân biệt chữ

HOA và chữ thường nên khi nhập các bạn không lên lo về điều

này.
Và qua các Version của Deep mình rút ra 1 ý nho nhỏ thế

này:Sau khi ta Load file vào Olly ta có thể tìm 1 chuỗi HEX

sau, thay vì như cách làm trong tut,sẽ nhanh hơn,và mình thấy

chuỗi HEX này không thay đổi theo các Version của nó

đâu(chắc nó là dấu hiệu cố định ).Trong cửa sổ C(code )của

Olly bấm Ctrl+B Paste vào chuỗi HEX "83 C0 FE D1 F8" và

tìm(nhớ là tìm từ trên xuống kẻo bỏ sót),và ta tìm thấy 1 chỗ có

chuỗi HEX này(ở đây ta có thể nhìn thấy rõ nó,và nó là chuỗi

đầu tiên từ trên xuống), và lúc này ta đã đến được nơi kiểm tra

password của DeepFreezeStandard.BP nó lại và lấy lại pass

thôi như trong tut !!!
Chuỗi HEX trên dịch ra ASM như sau(đây là 2 lệnh sẽ đưa ra

độ dài password thật) :
Quote:
83C0 FE ADD EAX,-2 ; \\ EAX-2
D1F8 SAR EAX,1 ; \\ EAX/2
Link:
Còn đây là link download file .exe của Deep mới nhất:
Post lên cho mọi người xem.Ở đây chưa có mà,có thể có người đọc rồi nhưng chưa làm được
Chúc mừng sinh nhật CiN1TeAm tròn 1 tuổi

reflink: http://cin1team.biz/showthread.php?t=1765

2/25/10

[Virus] Phân biệt Worm, Virus và Trojan như thế nào ?

Bài 1:

Hầu hết chúng ta không phân biệt được sự khác nhau thực sự giữa worm, virut và Trojan Horse mà thường hay nhầm lẫn worm hay Trojan là một. Cả ba loại trên đều là các chương trình nguy hiểm có thể gây hại cho máy tính. Có nhiều sự khác nhau giữa 3 loại trên và nếu biết được sự khác nhau này bạn có thể bảo vệ tốt hơn máy tính của mình khỏi những hậu quả nghiêm trọng.

Virus máy tính là một chương trình hay một đoạn code được tải vào máy tính mà bạn không hề hay biết và nó có tác dụng ngược lại với những gì bạn mong muốn. Một số virut không chỉ gây ra các tác động nhỏ mà còn có thể gây nguy hiểm cho ổ cứng, phần mềm hay các file. Hầu hết các loại virut được đính kèm vào một file chương trình, điều đó có nghĩa là virut có khả năng đã tồn tại trên máy tính của bạn nhưng nó không thể gây nguy hiểm trừ phi bạn chạy hay mở chương trình đó. Một virus không thể tự phát tán mà không có sự tác động của con người (ví dụ như chạy các chương trình mang virut). Mọi người sẽ tiếp tục phát tán virus khi chia sẻ hay gửi qua mail các file bị đã bị nhiễm.

Worm là một chương trình có khả năng tự nhân bản. Worm có thể di chuyển từ máy tính này sang máy tính khác mà không nhờ vào bất kì tác động nào của người dùng và nó có khả năng tự nhân bản chính nó trong hệ thống của bạn, do đó máy tính của bạn có thể gửi đi không những một mà hàng trăm, thậm chí hàng nghìn bản copy của nó ra ngoài và gây ra sự tàn phá kinh khủng.

Trojan Horse là một chương trình nguy hiểm thường trong diện mạo như là một chương trình hữu ích (ví dụ như chương trình thay đổi màn hình desktop, thêm các biểu tượng lạ trên màn hình), nó có thể sẽ gây hậu quả nghiêm trọng bằng cách xóa file và phá hủy toàn bộ thông tin hệ thống của máy bị nhiễm. Trojan cũng có thể tạo ra các Backdoor trên máy tính giúp cho những kẻ tấn công có thể xâm nhập vào hệ thống, làm hư hại các thông tin cá nhân. Trojan không phát tán bằng cách làm cho các file khác bị nhiễm cũng như không tự nhân bản.
Khi các virut này kết hợp với nhau ta gọi đó là mối đe dọa hỗn hợp. Chúng tổng hợp các đặc tính của virut, worm,Trojan Horse và các đoạn code gây tổn thương máy chủ và mạng Internet. Bằng nhiều phương pháp và kỹ thuật, các cuộc tấn công nhanh chóng lan tỏa và gây thiệt hại trên diện rộng. Những đặc trưng sự pha trộn này là: Gây ra thiệt hại, truyền “bệnh” theo nhiều phương pháp, tấn công từ nhiều hướng. Kể từ khi những con virut đầu tiên ra đời thì đây được xem như là loại virut nguy hiểm nhất với đa số các virut không cần sự can thiệp con người mà tự động phát triển.

Do vậy việc bảo vệ máy tính bằng cách cài đặt các phần mềm diệt virut được cập nhật virut, worm và Trojan mới nhất là rất quan trọng.

Ngoài ra, bạn nên chắc chắn rằng phầm mềm anti-virut của mình đã có tính năng diệt virut trên e-mail hay các file được tải về từ Internet. Như vậy bạn đã bảo vệ được máy tính của bạn ngay cả khi nó tiếp xúc với máy tính. Bạn cũng nên cài đặt một hệ thống chống sử dụng và truy cập vào máy tính trái phép (tường lửa là một công cụ tốt). Một tường lửa chắc chắn sẽ bảo vệ máy tính tránh được các tấn công từ bên ngoài muốn xâm nhập vào máy tính và nó cũng hỗ trợ thêm chức năng ngăn ngừa các chương trình Trojan hay worm lây lan qua email.


Bai 2:


Mọi người khi nói về virus máy tính thì thường nhầm lẫn rằng Worm và Trojan Horse là một. Mặc dù ba từ Virus, Worm và Trojan Horse đôi khi có thể thay thế cho nhau, nhưng chúng thực tế lại có sự khác nhau về bản chất.

Cả ba loại trên đều là các chương trình nguy hiểm có thể gây hại đến cho máy tính của bạn, nhưng giữa chúng lại có sự khác nhau. Nếu biết được sự khác nhau này, bạn có thể bảo vệ máy tính của mình khỏi những mối đe dọa. Virus có thể tự gài chính nó vào một chương trình hoặc một file nào đó, vì thế nó có thể phát tán ra các máy tính khác, đi đến đâu nó gây tác hại đến đấy. Không giống như virus ở người, Virus máy tính có phạm vi tác động rộng hơn, một số Virus chỉ gây lên những tác động nhỏ, trong khi một số khác thì có thể gây nguy hiểm cho ổ cứng, chương trình hay hệ thống file, thậm chí làm hỏng các các thiết bị phần cứng. Hầu như các loại Virus đều được kèm theo vào trong các file chạy, điều đấy có nghĩa là máy tính của bạn có thể chứa virus nhưng chưa chắc đã bị ảnh hưởng trừ khi bạn cho chạy các chương trình đó. Một điều quan trọng là virus không thể phát tán được nếu như không có sự tác động của con người, ví dụ như cho chạy các chương trình chứa nó. Mọi người thường tự phát tán virus khi chia sẻ các file hay gừi mail có nhiễm virus. Worm được tạo ra tương tự như virus, và nó được biết đến như là lớp con của virus. Nó cũng phát tán từ một máy tính này sang máy khác. Nhưng không giống như virus, giống như ý nghĩa "con sâu" tự bò được, nó có thể di chuyển mà không nhờ vào một tác động nào của người dùng. Worm lợi dụng các tính năng truyền file hay thông tin trên hệ thống để di chuyển không cần có tác động của con người. Sự nguy hiểm lớn nhất của Worm là nó có thể tự nhân bản chính nó trong hệ thống của bạn, và nó có thể gừi đi hàng trăm, thậm chí hàng ngàn bản copy của nó ra ngoài và gây ra sự tàn phá rất lớn. Ví dụ một con Worm có thể gừi chính nó tới tất cả mail trong danh sách mail của bạn. Sau đó nó tự nhân bản và gừi đi tất cả mail trong danh sách trên máy tính nhận, và cứ như thế. Chính vì Worm có khả năng nhân bản và di chuyển trên mạng nên nó sẽ tiêu tốn bộ nhớ (hay băng thông mạng), làm cho các máy chủ Web, máy chủ mạng, và cả máy tính đơn không hoạt động nữa. Gần đây nhất có loại Worm tên là Blaster, nó có thể xâm nhập vào máy tính của bạn và cho phép điều khiển máy bạn từ xa. Còn Trojan Horse thì lại còn nguy hiểm hơn cả hai loại trên. Trojan Horse xuất hiện lúc đầu như là một phần mềm hữu ích, nhưng nó sẽ ngay lập tức trở nên nguy hiểm ngay khi bạn cài nó hay chạy nó lần đầu tiên trên máy tính. Khi Trojan Horse được phát tán đến máy khác, thông thường bên nhận sẽ chạy nó vì người dùng sẽ thấy nó như là một phần mềm hay file đáng tin cậy và được gừi từ một nguồn đáng tin cậy. Khi Trojan được kích hoạt trên máy tính của bạn thì hậu quả mà nó gây ra có thể sẽ khác nhau (như sẽ thay đổi desktop hay sẽ xuất hiện một số biểu tượng lạ trên desktop), hoặc nó có thể gây ra những hậu quả rất nghiêm trọng, như xoá các file, thông tin trong hệ thống của bạn. Trojan có thể tạo ra các Backdoor (cổng sau) giúp cho những kẻ lạ có thể xâm nhập vào hệ thống, làm hư hại đến thông tin cá nhân và các thông tin bí mật khác. Không giống như Virus và Worm, Trojan không phát tán bằng cách làm cho các file khác nhiễm cũng như không tự nhân bản nó. Chống lại Virus, Worm và Trojan Horse:Trước tiên bạn cần đảm bảo rằng hệ điều hành đang dùng là bản nâng cấp mới nhất. Điều này rất cần thiết khi bạn đang chạy HĐH Microsoft Windowns. Sau đó cần cài một phần mềm anti-virus, và cần cập nhật bản mới nhất để đảm bảo nó có thể diệt được các con Virus, Worm và Trojan mới nhất. Ngoài ra phần mềm anti-virus cần phải có khả năng scan được các virus, worm, Trojan trên các e-mail và file khi được down về từ Internet. Như thế bạn có thể bảo vệ máy của bạn khỏi các chương trình gây hại ngay cả việc nó tiếp xúc với máy của bạn. Tuy nhiên như thế cũng chưa phải là đủ để bảo vệ máy của bạn, mà nên thiết lập thêm tường lừa-firewall. Firewall là một hệ thống bảo vệ hệ thống khỏi những truy nhập không hợp lệ. Firewall có thể là phần cứng hay phần mềm. Firewall bằng phần cứng sẽ có khả năng bảo vệ mạnh hơn đối với hầu hết các truy nhập từ bên ngoài Thật không may là khi chống Virus, Worm hay Trojan thì firewall bằng phần cứng lại không hiệu quả bằng firewall phần mềm, vì đối với những Worm được kèm vào trong e-mail hay file thì nó lại lờ đi và coi chúng như là những e-mail, file bình thường. Đối với những người dung ở nhà thì thông thường chọn firewall phần mềm. Một firewall phần mềm tốt có sẽ bảo vệ máy của bạn khỏi sự cố gắng truy nhập có hại, và thông thường còn có thêm các chức năng bảo vệ khỏi các chương trình Trojan thông thường và các e-mail Worm. Nhược điểm của firewall phần mềm là nó chỉ bảo vệ được máy nào có cài đặt nó mà thôi, mà không thể bảo vệ được cả một mạng. Cần phải nhớ là firewall không thể giải quyết được hết tất cả các vấn đề về Virus, nhưng khi ta có một HĐH tốt và kết hợp với dung một phần mềm anti-virus tốt, thì chúng ta có thể bảo vệ được máy tính của mình và cả mạng nữa.

reflink: http://xahoithongtin.com.vn/1682p0c206/virus-worm-va-troan-horse-khac-nhau-the-nao.htm



[Using Tools] Hướng dẫn cài đặt máy chủ iSCSI SAN trong Hyper-V

Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn cách cài đặt một ứng dụng iSCSI SAN mã nguồn mở bên trong máy ảo Hyper-V của Microsoft.

Một số tính năng cơ sở hạ tầng ảo yêu cầu một mạng lưu trữ (SAN). Như các bạn biết, một thiết bị iSCSI SAN thực hoặc một Fibre Channel (FC) SAN có giá thành chi phí rất cao. Trong khi iSCSI đang trở nên phù hợp hơn với các doanh nghiệp vừa và nhỏ (SMB) nhưng thiết bị iSCSI SAN cho việc test và cho mạng gia đình của các chuyên gia Internet vẫn nằm ngoài tầm với hầu hết trong số họ. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn cách cài đặt một ứng dụng iSCSI SAN mã nguồn mở bên trong máy ảo Hyper-V của Microsoft, bên cạnh đó bạn không phải dành toàn bộ một máy tính để thực hiện nhiệm vụ này. Khi ứng dụng được cài đặt, bạn có thể sử dụng nó để lưu trữ các file Windows của mình với bộ khởi tạo iSCSI, hoặc thậm chí thú vị hơn, ngoài ra còn có thể sử dụng nó như một lưu trữ SAN tập trung cho các hệ thống test cơ sở hạ tầng Vmware đối với các tính năng nâng cao như VMotion, Distributed Resource Scheduler (DRS) và VMware High Availability (VMHA).

Openfiler là gì?

Openfiler là một thiết bị SAN mã nguồn mở và lưu trữ đính kèm mạng (NAS). Nó không chỉ cung cấp các tùy chọn chia sẻ file bằng iSCSI mà còn cung cấp cả các tùy chọn FTP, NFS, HTTP, SMB,… Bạn cũng có thể download file cài đặt ISO 332 MB hoặc thậm chí các image Vmware được xây dựng từ trước.

Khi đã cài đặt và chạy, bạn có thể tạo các phân vùng đĩa, áp dụng các tính năng bảo mật và chia sẻ dữ liệu của bạn giữa NAS hoặc SAN – bất cứ thành phần nào bạn chọn.

Cách chạy Openfiler bên trong Hyper-V?

Trước khi cài đặt Openfiler, bạn cần download nó. Bạn có thể download Openfiler ở đây. Có rất nhiều phiên bản của Openfiler được cung cấp: 32-bit, 64-bit, ISO, thiết bị ảo VMware ESX Server và Xen. Bảo đảm bạn download được phiên bản mới nhất. Tuy VMware ESX Server và các thiết bị ảo Xen được cung cấp, nhưng không có thiết bị Hyper-V nào được liệt kê.

Để cài đặt Openfiler bên trong Hyper-V, bạn hãy tải về file image 64-bit vì Hyper-V yêu cầu một CPU 64-bit.

Tiếp đến, khởi chạy Hyper-V MMC và tạo một máy ảo mới giống bên dưới:

Hình 1: Tạo một máy ảo mới trong Hyper-V

Đặt tên cho máy ảo mới và chỉ định vị trí của nó.

Hình 2: Chỉ định tên và vị trí của máy ảo

Gán RAM cho máy ảo.

Hình 3: Gán RAM cho máy ảo

Khi được hỏi về việc thêm một giao diện mạng, bạn không cần phải thêm giao diện mạng tích hợp vì máy ảo (VM) Linux sẽ không nhận ra nó. Lúc này, không kết nối và chúng ta sẽ thêm adapter mạng kế thừa sau này.

Hình 4: Cấu hình mạng

Thêm một đĩa IDE ảo mới để được sử dụng bởi máy ảo như đĩa hệ điều hành Openfiler. Mặc dù vậy đây không phải là đĩa iSCSI được chia sẻ để đặt VMFS (chúng ta sẽ tạo đĩa này sau).

Hình 5: Tạo một ổ đĩa mạng mới

Bản đồ hóa ổ DVD ảo với file image ISO mà bạn đã download được.

Hình 6: Bản đồ hóa ổ đĩa DVD ảo

Cuối cùng, chấp thuận cấu hình tóm tắt.

Hình 7: Sử dụng cấu hình tóm tắt

Nếu bạn muốn chỉnh sửa cấu hình cho máy ảo, hãy kích Settings.

Hình 8: Thay đổi các thiết lập cho máy ảo Openfiler mới

Bạn có thể thêm hai phần cứng mới dưới đây:

1. Adapter mạng kế thừa
2. Ổ cứng ảo IDE thứ hai

Chúng ta bắt đầu với adapter mạng kế thừa. Hãy kích Add Hardware then Legacy Network Adapter.

Hình 9: Thêm adapter mạng ảo

Kết nối adapter mạng kế thừa với adapter mạng vật lý của bạn.

Hình 10: Kết nối NIC kế thừa đến NIC vật lý

Tiếp đến, bạn cần thêm một đĩa IDE mới vào bộ điều khiển IDE đang tồn tại.

Hình 11: Thêm một ổ cứng IDE ảo mới

Bạn sẽ phải kích New và vào hard disk wizard. Nên đặt ổ cứng ảo mới cùng địa điểm như các ổ đĩa ảo khác cho máy ảo này. Bạn có thể tạo một ổ cứng ảo động hoặc tĩnh với bất cứ kích thước nào để làm phân vùng chia sẻ của iSCSI. Khi thực hiện xong, cấu hình của bạn sẽ giống như thể hiện trong hình dưới:

Hình 12: Các kết quả sau khi tạo ổ đĩa cứng ảo

Lúc này, cấu hình của VM cho Openfiler mới được hoàn tất.

Cài đặt Openfiler bên trong Hyper-V
Lúc này VM đã được cài đặt, bạn có thể bắt đầu VM và vào giao diện điều khiển. Do cài đặt đồ họa không làm việc nên bạn cần thực hiện cài đặt text bằng lệnh linux text (xem trong hình 13 bên dưới).

Hình 13: Cài đặt openfiler trong chế độ văn bản

Từ đây, vào cài đặt Openfiler. Các bạn nên sử dụng tất cả các thiết lập mặc định. Bên cạnh đó cũng sử dụng một địa chỉ IP tĩnh trên máy chủ Openfiler.

Khi đã cài đặt và khởi động lại, bạn cần phải cấu hình Openfiler nhằm chia sẻ ấn bản IDE thứ hai mà chúng ta đã tạo bằng iSCSI.

Để thực hiện điều đó, bạn làm theo các bước dưới đây:

* Thiết lập thời gian vùng và cấu hình Network Time Protocol Server;
* Cấu hình mạng được xác thực;
* Tạo một nhóm phân vùng và thêm /dev/hdb mới;
* Cấu hình iSCSI mục tiêu bằng:
o đặt tên IQN
o bản đồ hóa số khối logic cho phân vùng
o cấu hình ACL mạng bằng cách cho phép truy cập đến mạng mà chúng ta đã tạo;
o cấu hình CHAP nếu bạn thích.

Trước khi kết nối VMware ESX Server của bạn hoặc máy chủ khác đến, các bạn nên test cấu hình bằng cách kết nối Windows Server hoặc máy trạm Windows đến máy chủ iSCSI mới. Nếu máy trạm Windows không thể kết nối đến máy chủ iSCSI thì VMware ESX Server sẽ không bao giờ có thể kết nối đến nó.

Như những gì bạn thấy trong hình 14 bên dưới, ví dụ trong bài có thể kết nối máy chủ Windows 2008 Server đến máy chủ Openfiler iSCSI.

Hình 14: Đã kết nối Windows 2008 Server với Openfiler iSCSI SAN Server

Hình 15 bên dưới chỉ thị VMware ESX Server trong bài đã kết nối với phân vùng Openfiler.

Hình 15: VMware ESX Server đã kết nối với Openfiler iSCSI SAN Server

Kết luận

Một thiết bị iSCSI SAN thực sự hay Fibre Channel SAN có thể khá đắt tiền, tuy nhiên việc cài đặt một giải pháp thay thế iSCSI SAN mã nguồn mở, chẳng hạn như Openfiler, bên trong máy ảo Hyper-V là một giải pháp tuyệt vời. Openfiler làm việc rất hiệu quả, cuung cấp một số các tính năng chia sẻ và lưu trữ file, bên cạnh đó bạn cũng không cần phải tốn kém toàn bộ một máy tính vật lý cho một ứng dụng SAN thực.

Chúc các bạn thành công
Theo ThongTinBaoMat.Com,Quantrimang.com

[Using Tools] Giới thiệu và triển khai VMware vSphere Data Recovery

Giới thiệu và triển khai VMware vSphere Data Recovery


Trong bài này chúng tôi sẽ giới thiệu cho các bạn về phần mềm VMware vSphere Data Recovery và cách triển khai nó như thế nào thể thực hiện việc khôi phục dữ liệu.

Một trong những tính năng mới trong vSphere là Data Recovery, trong cụm giải pháp “Essentials Plus” hoặc phiên bản vSphere Advanced. Tính năng mới này được cung cấp như một máy ảo bên trong môi trường vSphere và tích hợp với máy chủ vCenter nhằm cung cấp cách thức quản lý tập trung đối với các backup.

vSphere Data Recovery cải thiện rất nhiều so với “VMware Consolidated Backup” trước kia bằng giao diện quản lý GUI khá hoàn chỉnh với một loạt các wizard hỗ trợ cài đặt và quản lý tất các công việc backup lẫn khôi phục.


Các tính năng chính
  • Backup dự phòng tăng và hoàn chỉnh của các image máy ảo (VM) và backup/restore mức file cho các máy ảo Windows.
  • Hỗ trợ VSS cho các máy ảo Windows để có được các backup tin cậy hơn
  • Tránh nhân bản dữ liệu nhằm giảm không gian lưu trữ cho các backup
  • Giao diện quản lý vCenter cho quản lý GUI tập trung và sử dụng nhiều wizard để đơn giản hóa các hoạt động.
  • Lưu trữ đĩa bằng cách sử dụng một loạt các giao thức kết nối chuẩn - iSCSI, FC, NAS hay lưu trữ nội bộ
  • vSphere được tích hợp đầy đủ và có nhiều cải tiến, tiếp tục backup các máy ảo khi chúng bị chuyển sang một host khác.

Bạn có thể kiểm tra VMware Data Recovery miễn phí bằng cách đánh giá VMware vSphere : https://www.vmware.com/tryvmware/index.php?p=vsphere&lp=1.

Liệu đây có phải là giải pháp thay thế cho giải pháp khôi phục thảm họa hiện tại của bạn?

Câu trả lời ở đây là không, vSphere Data Recovery không được dự định sẽ là một giải pháp backup, mặc dù nó có thể nâng cao khả năng khôi phục thảm họa của bạn một cách tuyệt vời. Có hai lý do chính cho điều này, đầu tiên là phần mềm chỉ hỗ trợ các backup đĩa, vì vậy bạn vẫn phải cung cấp một số hình thức lưu trữ off-site. Vấn đề thứ hai là, mặc dù có tính năng khôi phục mức file nhưng tính năng này chỉ hỗ trợ cho các máy ảo Windows, không có các plug-in cho các ứng dụng như Exchange hay SQL. vSphere DR chỉ phù hợp nhất với các giải pháp mà ở đó bạn cần khôi phục toàn bộ một máy ảo, tuy nhiên khi chỉ cần khôi phục một email quan trọng nào đó cho CEO của mình thì bạn sẽ cần phải sử dụng đến ứng dụng backup thông thường của mình.

Triển khai vSphere Data Recovery

Có hai phần trong quá trình cài đặt Data Recovery đó là cài đặt plug-in quản lý và import máy ảo. Cả hai phần đều được cung cấp trên cùng một image ISO CD vì vậy thứ đầu tiên mà bạn cần thực hiện là burn nó vào CD, hoặc đơn giản là gắn nó trên máy chủ vCenter của mình bằng cách sử dụng ứng dụng CD ảo như Daemon Tools chẳng hạn. Khi bạn đã thực hiện xong bước này thì chương trình sẽ tự động chạy, bằng không bạn cần phải kích đúp vào CD để kích hoạt bộ khởi chạy. Hình thể hiện ban đầu được cung cấp ở dưới.


Bạn sẽ thấy CD image cũng có các file cài đặt cho vShield zones, mặc dù vậy đây là một tính năng hoàn toàn khác vì vậy hãy bỏ qua nó lúc này và chọn tùy chọn "Data Recovery". Kích "Next" xuyên suốt quá trình cài đặt, vì không có bất cứ tùy chọn nào bạn có thể thay đổi, hãy đồng ý với đăng ký và sau đó bạn sẽ ngạc nhiên bởi quá trình cài đặt diễn ra rất nhanh của chương trình.

Khi hoàn tất, bạn không thấy bất xuất hiện các mục mới nào trong danh sách Programs, tất cả những gì đã cài đặt ở đây là một plug-in bổ sung cho vSphere client. Chính vì vậy nếu bạn thường xuyên chạy vSphere client trên hệ thống khác cho máy chủ vCenter của mình thì bạn cần chạy thủ tục cài đặt ở trên trên máy khách của mình để bổ sung thêm plug-in. Khi đã hoàn tất việc cài đặt, nếu mở vSphere client và chọn "Manage Plug-ins" từ menu "Plug-ins" khi đó bạn sẽ thấy module Data Recovery được liệt kê ở đó:


Triển khai thiết bị ảo Data Recovery

Data Recovery được cung cấp như một file mẫu OVF vì vậy để triển khai nó trên môi trường ảo của mình, bạn cần mở menu "File" trong vSphere Client và chọn "Deploy OVF Template" để bắt đầu wizard. Trên trang đầu tiên, chọn tùy chọn "Deploy from file", sau đó duyệt trong DataRecovery CD để định vị file mẫu .ovf:


Kích "Next", khi đó wizard sẽ hiển thị các thông tin chi tiết của máy ảo, bạn không thể thay đổi bất cứ thứ gì ở đây mà chỉ có thể kích "Next" để chọn tên và location mà thiết bị sẽ được cài đặt. Không cần thay đổi tên trừ khi bạn thực sự muốn điều đó và location sẽ là mặc định trừ khi bạn có nhiều trung tâm dữ liệu trong vSphere client của mình. Trong trang tiếp theo, chọn kho dữ liệu nào để triển khai máy ảo, chỉ yêu cầu 5B không gian trống và không bắt buộc phải nằm trên phần không gian được chia sẻ, vì vậy location phụ thuộc vào topo mạng của bạn. Kích "Next", quyết định cuối cùng của bạn là bản đồ hóa mạng.

Trang cuối cùng sẽ liệt kê tất cả các tùy chọn mà bạn đã chọn, cung cấp cho bạn cơ hội cuối cùng nhằm kiểm tra mọi thứ có đúng hay không, giả định là đúng, khi đó bạn hãy kích "Finish" để bắt đầu triển khai. Một cửa sổ sẽ xuất hiện hiển thị quá trình triển khai và bạn cũng sẽ thấy nó xuất hiện trong panel "Recent Tasks" của mình, thời gian sẽ phụ thuộc vào một vài hệ số nhưng chắc chắc sẽ không lâu:


Khi triển khai hoàn tất, bạn sẽ thấy VM mới trong bảng kiểm kê vSphere, chọn nó để xem cấu hình nhưng chưa bắt đầu lúc này vì bạn vẫn cần phải quyết định những gì cần thực hiện về không gian backup trước.

Chọn vị trí lưu dữ liệu backup

Có hai kiểu lưu trữ cơ bản được hỗ trợ bởi Data Recovery, lưu trữ nội bộ VM bằng cách sử dụng một đĩa ảo nằm trên kho lưu trữ dữ liệu vSphere, kho lưu trữ được kết nối mạng chẳng hạn như thư mục chia sẻ của Windows. Lưu trữ nội bộ VM thường nhanh hơn nhiều so với lưu trữ trên mạng, mặc dù vậy lưu trữ mạng sẽ linh hoạt hơn, điển hình khi nói đến việc tạo các backup thứ cấp cho dữ liệu DR của bạn. Hai là không loại trừ lẫn nhau, mặc dù vậy để thực hiện quá trình test được dễ dàng, bạn nên sử dụng lưu trữ nội bộ, sau đó khi lên kế hoạch cấu hình backup trực tuyến của mình, vì lúc này bạn hoàn toàn có thể thay đổi lưu trữ mạng nếu cần thiết.

Nếu cung cấp lưu trữ nội bộ cho Data Recovery thì bạn cần bổ sung thêm ổ cứng thứ hai vào máy ảo, ổ cứng này sẽ được cung cấp như một location dùng để lưu backup. Để thực hiện điều này, hãy chọn VM trong vSphere client của bạn, sau đó từ tab "Summary", kích tùy chọn "Edit Settings". Kích nút "Add" để bắt đầu wizard "Add Hardware", sau đó chọn kiểu thiết bị là "Hard Disk". Trong trang kế tiếp, chọn "Create a new disk" và kích “Next", sau đó bạn phải chỉ định kích thước của đĩa.

Backup dự phòng tăng và tránh sao chép dữ liệu sẽ giúp giảm kích thước dữ liệu backup nhưng để bắt đầu, bạn chắc chắn cần phải có được gấp đôi tổng số lượng dữ liệu VM mà bạn đang muốn backup. Không lo lắng nhiều về con số này vì bạn có thể giảm hoặc tăng dễ dàng kích thước lưu trữ trước khi thực hiện bằng cách xóa hoặc tạo lại đĩa ảo. Bỏ qua việc cung cấp và các tùy chọn dung sai trong trường hợp này vì không thành phần nào liên quan, sau đó chọn một kho dữ liệu khác nếu cần. Kích "Next", trang kế tiếp sẽ liệt kê các tùy chọn nâng cao, tuy nhiên bạn có thể bỏ qua an toàn để kích "Next" để tới trang xác nhận cuối cùng, kiểm tra những gì đã lựa chọn của mình trong danh sách và kích "Finish". Lúc này bạn sẽ thấy đĩa thứ hai có trong danh sách khi "Adding" trong trang thiết lập, kích "OK" để đóng cửa sổ, bạn sẽ thấy nhiệm vụ được chạy để add đĩa vào VM.


Kết luận

Trong bài viết này, bạn đã biết cách bổ sung Data Recovery plug-in vào vSphere client và cách triển khai DR trong cơ sở hạ tầng ảo của bạn để chuẩn bị bắt đầu sử dụng nó cho việc bảo vệ các máy ảo của mình. Trong một bài khác, chúng tôi sẽ giới thiệu cho các bạn về cách tạo và khôi phục backup bằng cách sử dụng vSphere Data Recovery.


Theo Petri, QTM

[Using Tools] Hướng dẫn sử dụng máy ảo VMWare Workstation

Phần 1: Giới thiệu về VMware

1. Các tiện ích của VMware:

VMware giúp giả lập máy tính ảo trên một máy tính thật. Khi cài đặt VMware lên, ta có thể tạo nên các máy ảo chia sẻ CPU, RAM, Card mạng với máy tính thật. Điều này cho phép xây dựng nên một hệ thống với một vài máy tính được nối với nhau theo một mô hình nhất định, người sử dụng có thể tạo nên hệ thống của riêng mình, cấu hình theo yêu cầu của bài học.

2. Cách tạo nên các máy ảo từ VMware:

Để sử dụng VMware đầu tiên chúng ta cần tạo nên một máy ảo, nơi mà chúng ta sẽ dùng để cài đặt nên các hệ điều hành. Chúng ta có thể tuỳ chọn dung lượng ổ cứng, dung lượng RAM, cách kết nối mạng của máy ảo… Việc tiếp theo cần làm là cài đặt nên một hệ điều hành trên máy ảo đó. Hiện tại, VMware hỗ trợ cài đặt rất nhiều dạng hệ điều hành. Chúng ta có thể cài các phiên bản của Windows, Linux, Unix… trên các máy ảo VMware. Việc cài đặt hệ điều hành trên máy ảo hoàn toàn tương tự như cách cài đặt trên các máy thật.
3. Chia sẻ tài nguyên của các máy ảo:
a- Chia sẻ CPU và RAM: Các máy ảo sẽ chia sẻ CPU và RAM của máy tính thật. Để đảm bảo hệ thống có thể chạy tốt, yêu cầu máy tính thật phải có cấu hình tương đối cao, khoảng 1GB RAM để có thể chạy đồng thời

Phần 2: Làm việc với VMWARE 6.5

1. Hướng dẫn cài đặt phần mềm
Login vào máy với tài khoảng administrator hoặc một tài khoản người dùng có đặc quyền như admin.
Bạn mở thư mục chứa bộ cài của VMWARE trên ổ cứng(trên máy cá nhân của tôi như hình dưới)



ban chạy file VMware-workstation-6.5.3-185404.exe để bắt đầu cài đặt chương trình



nhấn next để tiếp tục cài đặt



nhấn next để tiếp tục cài đặt



nhấn next để tiếp tục cài đặt



nhấn next để tiếp tục cài đặt



Nhấn install để bắt đầu quá trình cài đặt, kết thúc quá trình cài đặt chương trình yêu cầu khởi động lại máy, các bạn nhấn Yes để máy khởi động lại



sau khi cài xong sẽ xuất hiên biểu tựong chương trình trên màn hình desktop như trên.



Chuột phải lên biểu tượng chương trình VMWare chọn Open bắt đầu sử dụng chương trình, với máy tính lần đầu cài chương trình vmware có thể chương trình hỏi số serial phần mềm,



Chạy file tạo key cho phần mềm làm theo thao tác 1 ~ 2 ~ 3 như hình trên, sau đó bạn chuyển qua cửa sổ của phần mềm paste key mới tạo vô chỗ điền key nhấn next(tiếc là máy mình có sẵn từ trước nên không có thao tác chỗ này để chụp ảnh :d )



Ra giao diện chương trình máy ảo, nhấn New Virtual Machine để tạo máy ảo( thao tác ở tab Home, hoặc vào file => new => virtual machine)



Bắt đầu ra hộp thoại tạo máy ảo mới, các bạn để nguyên các mục chọn, nhấn next để tiếp tục quá trình tạo máy ảo mới



Nhấn next để tiếp tục quá trình tạo máy ảo mới



Ở giao diện này cho phép bạn chọn loại hệ điều hành: MS Windows, Linux, Sun Solaris... Tùy theo hệ điều hành chọn cài sẽ có phần chọn phiên bản tương ứng với hệ điều hành đã chọn, trên hình tôi chọn MS Windows và phiên bản hệ điều hành là Windows Server 2003 Enterprise, nhấn next để tiếp tục.



Nhập vào tên máy ảo và thư mục chứa máy ảo, thường thư mục chứa máy ảo nên đặt trên ổ cứng máy thật có dung lượng trống nhiều, tránh hiện tượng báo "Low disk space". Nhấn next để tiếp tục tạo máy ảo



ở mục này cho ta nhập thông số tùy chỉnh dung lượng ở đĩa cứng của máy ảo
với MS Windows server 2003 thì để mặc định 8 GB là ok
với MS Windows server 2008 thì nên để ổ cứng của máy ảo là 24 GB trở lên, tùy vào phần mềm bạn cài lên máy ảo nữa
tùy chọn Store virtual disk as a single file(khuyển cáo nên dùng tùy chọn này, máy ảo chạy nhanh hơn và ít lỗi hơn, nhưng yêu cầu ổ cứng máy thật phải để định dạng là NTFS). Nhấn next để tiếp tục quá trình tạo máy ảo.



Đến bước này quá trình tạo máy ảo mới gần như hoàn tất, để chỉnh phần cứng của máy ảo bạn nhấn vào Customize hardware



Ram: chiếm đúng bằng ram trên máy thật (lưu ý bạn luôn luôn phải để giành 1 lượng ram cho máy thật cỡ 512 MB/ tổng dung lượng ram của máy thật)
Network Adapter: Chỉnh chế độ của card mạng
Chế độ Bridged máy ảo sẽ tham gia vào mạng lan thật như một máy bình thường, chiếm 1 IP trong dải mạng lan
Chế độ NAT máy ảo sẽ kết nối mạng bên ngoài thông qua địa chỉ của máy thật đang chạy chương trình vmware, ít dùng
Chế độ Custom thường chọn từ VMNet2 trở đi, mỗi VMNet giống như một switch riêng biệt mà chương trình VM cung cấp cho bạn, máy
ảo trong VMNet không kết nối ra mạng bên ngoài, nhưng kết nối với mái ảo cùng VMNet trên máy đang chạy VMWare



CD/DVD thương sử dụng file ISO rồi mount vào máy ảo thông qua chương trình vmware
sau khi chỉnh xong nhấn OK, chuyển qua cửa sổ bên ngoài nhấn finish để bắt đầu chạy máy ảo. Quá trình khởi động của máy ảo giống như bạn đang làm máy thật.
Một số lưu ý khi dùng máy ảo trên VMWare: phím Ctrl + Atl để thoát chuột từ trong máy ảo ra desktop máy thật, sau khi cài xong hệ điều hành máy ảo bạn nên cài VMWare tool để tiện cho việc di chuột giữa máy ảo và máy thật cũng như copy những phần mềm vô máy ảo dễ dàng hơn.
Phần tiếp theo tôi xin trình bày thêm về tính năng snapshot và clone

reflink:http://forum.technet.com.vn/showthread.php?t=29

[Anti Virus] Trojan horse là gì và cách phòng chống hiệu quả

Internet ngày càng được phổ biến khắp nơi trên thế giới , hàng ngày có đến hàng triệu triệu máy kết nối với nhau, có lẽ máy tính bạn chỉ là một hạt cát bé nhỏ trong cái biển mênh mông thông tin ấy.
Nhưng lại có đến khoảng 30-40o/o người không để ý gì về những nổi nguy hiểm xảy ra sau khi kết nối vào mạng toàn cầu. Họ hoàn toàn không biết tại sao máy tính mình bị xâm nhập, lấy đi mọi thông tin quan trọng của mình từ lúc nào.
Do vậy chúng ta cần tìm hiểu Trojan horse ra sao và những nổi hiểm nguy tột cùng của chúng gây ra.
I) Sự khác nhau giữa virus, Trojan,và sâu( worm )hân biệt các loại thường phá hoại máy tính chúng ta như sau: :
1)Virus là gì: một chương trình nhỏ viết ra nhằm phá hoại máy tính, có 2 tiêu chuẩn:
a) tự hoạt động bởi chính nó, thường đặt code riêng để vào đường dẫn hoạt động của chương trình khác.
b) có thể tự sản sinh, thay thế file exe khác bằng cách copy file nhiễm virus.
Có nhiều loại virus: virus gây nhiễm file , boot sector, master boot record,
polypartite( nhiễm vừa boot master record và chương trình file ) virus macro( tấn công các file dữ liệu ).
2)Thế Trojan horse là gì: một loại lừa đảo, được coi như một thứ làm mình ưa thích nhưng lại thật nham hiễm, khác với virus là nó không tự sản sinh, thường xâm nhập qua mail hay bạn tải file nào đó trên mạng
3)Loại sâu ( worm ): chương trình tự sản sinh chính nó từ máy này sang máy khác không cần dùng đến 1file chủ ( host ) hay nhiễm. Thường các sâu( worm ) sinh sản trong file Word, Excel và được gọi là worm macro.
II) Thử tìm hiểu hoạt động Trojan horse làm sao chúng ăn cắp được mọi thông minh quí giá từ máy của bạn :
Trojan horse 1 chương trình nhỏ nhưng có khả năng chụp hình ( screen shot ) hoạt động máy tính của bạn ở từng lúc nào đó; ghi nhận lại là bạn đã đánh những phím nào để hackers tìm ra dễ dàng các password của account bạn dùng vào ngân hàng quen của bạn. Ngoài ra, chúng còn thâm nhập các file folder của bạn mà bạn đã lỡ set Files sharing không lưu ý trong máy.
1)Thử tìm hiểu về hoạt động một loại Trojan horse có từ lâu, tên là Netbus .
Netbus Trojan : gồm có 2 phần: client và server file. Hacker sẽ gửi một server file có dạng file exe, qua một file có tên netbusserver.exe được nén zip kèm vào mail bạn. Cũng có thể qua các trò chơi chia sẻ games sharing: hackers đã nối file game và netbusserver.exe thành ra 1 file game duy nhất( td tên là chess .exe ) khó thể nào nhận ra trừ phi bạn biết kích thước file của game ấy thật chính xác.
Điều gì khác biệt khi bạn ấn trên file chess.exe : không có gì bất thường cả thế nhưng bạn đã bị cài Trojan horse tên netbus.exe âm thầm vào máy tính bạn rồi đấy.
Nó sẽ gửi đến hackers 3 thông tin quan trọng của bạn như sau: IP address của bạn User name và bạn đang nối mạng.
Bạn cũng cần biết thêm là còn đến hàng trăm loại Trojan horse khác nữa: như là Subseven cũng rất nguy hiểm về khả năng kinh khủng của nó.
Còn một cách khác để hackers sẽ gửi Trojan horse là qua các News groups ( nhóm thông tin ) bằng file dạng hình ảnh như là mypic.exe.
Do vậy, khi thấy có ai gửi hình cho bạn không phải dạng jpeg, mà nói là file hình tự bung với dạng là exe; phải coi chừng đấy là Trojan do hackers gửi. Bạn cũng nên cảnh giác thêm với các website nhất là crack, serial khi họ gửi crack.exe cũng phải coi chừng Trojan horse.
Trojan còn đưa qua IRC, hay các chat sites( có đến 80o/o bạn hoàn toàn không biết nổi hiểm nguy này) nhất là các file nguy hiểm dạng cần lưu ý là 3 dạng: mypic.exe, sexy.exe, sexy.jpg.vbs .
B)Máy tính bạn một bị xâm nhập ; hackers sẽ biết hết mọi thông tin của bạn chỉ sau 15 giây hay ít hơn nữa :
Bạn thử làm vài động tác nhỏ như sau: Nối mạng bằng dial up rồi vào Start menu, rồi run và đánh lệnh như sau: winipcfg, nhấn enter.
Bạn sẽ thấy địa chỉ IP của bạn đang kết nối có dạng tương tự sau: 207.175.1.1. Ghi địa chỉ này vào giấy. Bạn trở lại start menu, run đánh lệnh tiếp như sau ở command prompt
Thí dụ: nbtstat –A 207.175.1.1. Lưu ý là chữ A viết hoa
Nó sẽ hiện ra giao diện như sau:
NetBIOS Remote Machine Name Table
____________________________________
Name Type Status
-------------------------------------------
J-1 <00> UNIQUE Registered
WORK <00> GROUP Registered
J-1 <03> UNIQUE Registered
J-1 <20> UNIQUE Registered
WORK <1e> GROUP Registered
WORK <1d> UNIQUE Registered
__MSBROWSE__.<01>GROUP Registered
Những con số nằm giữa 2 dấu<> đều có dạng HEX. Con số 20 chỉ cho bọn hackers biết máy tính bạn hiện đang mở File and sharing. Đó là những gì hacker muốn biết để nắm lấy mọi thông tin quí giá ở máy tính bạn .
Chúng chỉ cần đánh tiếp lệnh net view\\<>, sẽ biết ngay share name; My documents và TEMP ổ đĩa của bạn ở đâu.
Sau đó, họ chỉ cần đánh tiếp lệnh này là vào ngay được thư mục My documents thôi: Net use x: \\\temp
Mất thời gian bao lâu để Hacker có thể biết mọi thông tin của bạn: chỉ là 15 giây hay ít hơn nữa.
III)Những dạng file nào gửi thuộc loại an toàn , hay đáng nghi ngờ:
1)Những files tuyệt đối an toàn: là các file hình ảnh như là dạng BMP, JPG, JPEG, TIFF, GIF hay các file dữ liệu dùng để đọc như là TXT,DOC, RTF.
2)Trái lại, những file sau mà bạn cần đáng nghi ngờ ngay là Trojan horse đấy là các file có dạng com, exe. txt.vbs hay bất kỳ dạng file nào có tới 2 đuôi hay có đuôi lạ mà bạn không rõ : đừng bao giờ, bạn nên mở file nào mà bạn thấy là lạ trong mail hay máy tính bạn
IV) Phân biệt giữa Hackers và Crackers:
1)Hackers là những người có trình độ cao về vi tính, thích xâm nhập mọi máy tính cơ quan hay ngân hàng, cá nhân lấy cắp thông tin bí mật. Ngoại trừ, loại hacker mủ trắng cũng thích vọc phá an ninh mạng nhưng có ý tốt là báo giúp cho biết về lỗ hổng an ninh và giúp cách phòng chống.
2)Crackers là người lại thích bẻ khoá phần mềm tung lên mạng , nhiều người còn hay nhầm với với hackers.
V) Các công cụ thường dùng của hackers:
1) Port scanners: quét ( scan ) các cổng đang hoạt động qua bất cứ địa chỉ website www.yourcompany.com hay một địa chỉ IP cá nhân nào đó .

2
)Khả năng nguy hiểm của Trojan Subseven thông dụng nhất tên là có rất nhiều khả năng mà bạn không ngờ:
biết address book bạn, quét IP scanner, xem máy chủ, chiếm hữu ICQ, FTP, bắt lấy user name và password dialup, xoá copy bất cứ thư mục bạn, giành quyền quản lý máy tính, chỉnh file ,quét nhanh IP scanner, biết hết địa chỉ mail, cơ quan làm việc, tên thật của bạn , zip code..

3)Sâu Netbus dù thuộc một Trojan khá cũ vẫn còn dùng để chụp mọi screen shot trong máy, mở ổ CDROM bạn, tắt máy tính của bạn, gửi tin nhắn đến bạn, nghe biết cách nhấn bàn phím để tìm ra thông tin mật, xoá, copy file, làm bàn phím bạn tê liệt , download file ngay từ máy tính bạn, quán lý các mật mả, cấu hình máy tính, còn biết cả IP của bạn.. .
VI ) Làm sao Trojan Horse lấy cắp mật mả tài khoản ngân hàng được:
Bạn có biết dù các ngân hàng đã mã hoá đi bằng một công nghệ dù tối tân đến đâu 40 bit hay 128 bit ( 2 và đến 26 số 0 đi sau), Hacker vẫn biết ngay những gì bạn đánh vào nhờ phần mềm Key logger ghi nhận mọi cách gỏ bàn phím của bạn gửi về cho hackers một khi bạn login vào ngân hàng thường dùng nhất hàng ngày.
Đại khái là ngân hàng thường dùng một màn hình login( đăng nhập ) để bạn đánh vào user name và password. Hackers sẽ có chụp screenshot ấy trogn nháy mắt biết ngân hàng nào bạn đang login vào quá dễ .
Có thể bạn người thận trọng hơn, không dám on line log in vào ngân hàng dùng các chương trình khác cho an toàn về tài chính bạn ư? Hacker một khi vào máy tính bạn rồi: mọi cái gì bi mật ở bạn, họ đều biết cả qua việc họ đọc mọi file ở Windows Explorer của bạn. Email nào gửi đến bạn hacker đều đọc được cả . Mọi hình ảnh tối mật của gia đình bạn, hacker đều biết cả : điều này giải thích tại sao hình ảnh riêng tư các minh tinh màn bạc nổi tiếng họ đều có cả trên mạng. Mọi thông tin cá nhân bạn đều bị chúng nắm cả: từ hình ảnh cá nhân của bạn, lý lịch CV, tài khoản nhà băng, bạn đang làm việc ở đâu, mọi thư từ, số phone bạn và mọi người thân.
Còn tối nguy hơn nữa nếu bạn thích dùng webcam hay microphone nữa, lúc ấy muốn ăn trộm nhà bạn không gì quá khó với hackers cả.
VII) Làm sao bảo vệ được đây với các Trojan horse tinh quái kia?
Đó là bạn phải dùng đến Firewall, để bảo vệ mọi data quí giá của bạn thất thoát ra ngoài khi không mong muốn.
Bạn có thể dùng 2 phần mềm như sau có giao diện thân thiện là BlackIce defender http://www.networkice.com cho lại thông tin về hacker nào muốn xâm nhập máy tính bạn hay Lockdown 2000 ở website http://www.lockdown2000.com, quét thêm các Trojan đã có trong máy bạn . Nên dùng cả hai thứ này để bổ sung cho nhau là điều quá tốt sẽ ngăn chận do quét mọi thay đổi trong registry và bắt ngay Trojan nào nếu có .
Cộng thêm vào 2 firewalls kia là một chương trình diệt virus thông dụng là là Norton antivirus 2006 hay Mac Afee.
VII) Phòng ngừa hiệu quả :
1) Đầu tiên mà bạn phải làm: nên cài mật mã cho Files and sharing folders. Vào Explorer tìm đến ổ đĩa hay folder nào , ấn nút phải chọn Sharing and security chọn sharing và nút kiểm not shared hay nếu chọn shared nên chọn nút kiểm access type ( read only): không thể xoá và set password read only cho folder đó.
2) Disable Files and sharing vào Control panel tìm ở Network setup wizard. chọn nút kiẻm turn off File and sharing.
3) Nên có sẵn 2 chương trình Bit defender, Lockdown 2000 và cả NAV 2006 để quét máy tính bạn khi có Trojan và còn có thể track( theo dõi ) người nào toan và đang xâm nhập máy tính bạn qua bạn sẽ biết được IP của họ.
4) Sử dụng mail, chat phải cẩn thận không bao giờ mở file zip nào không rõ nguồn gốc nhất là trong ấy ấy có 1 trong 3 dạng nguy hiểm là .jbs, .com, . exe và nhất là các file hình ảnh tự bung có dạng exe.


reflink: http://hotro.us/@forum/showthread.php?p=3185




[Virus] BotNet và cách hoạt động

Một trong những phương thức tấn công DDoS hiệu quả và phổ biến nhất hiện nay là hoạt động dựa trên hàng trăm máy tính bị chiếm quyền điều khiển (tức các zombie). Những zombie này thường bị kiểm soát và quản lý qua các mạng IRC, sử dụng được gọi là các botnet.
Botnet hoạt động như thế nào

Ở bài này chúng ta sẽ xem xét một số cách thức tin tặc có thể dùng để tấn công và chiếm quyền điều khiển máy tính đích, cùng một số biện pháp đối phó hiệu quả nhằm bảo vệ máy tính trước những mối đe doạ nguy hiểm luôn rình rập xung quanh.

Chúng ta sẽ tìm hiểu về:

• Như thế nào là bot, botnet; cách thức hoạt động của chúng.
• Những thành phần phổ biến nhất trong bot.
• Một host có thể bị tấn công và chiếm quyền điều khiển như thế nào.
• Biện pháp ngăn chặn hiệu quả và cách đối phó trước hoạt động phá hoại của chúng.

Điều gì bạn nên biết?

• Cách thức hoạt động của phần mềm độc hại (malware) như trojan, worm, ….
• Cơ chế được dùng trong kiểu tấn công DDoS.
• Hiểu các khái niệm cơ bản của TCP/IP, DNS và IRC.

Cuối thế kỷ 19 cũng như đầu thiên niên kỷ mới đánh dấu bước phát triển nhanh, mạnh của một số chiến lược tấn công khác biệt nhắm vào hệ thống mạng. DDoS, tức Distributed Denial of Services, hình thức tấn công từ chối dịch vụ phân tán khét tiếng ra đời. Tương tự với người anh em DoS (tấn công từ chối dịch vụ), DDoS được phát tán rất rộng, chủ yếu nhờ tính đơn giản nhưng rất khó bị dò tìm của chúng. Đã có nhiều kinh nghiệm đối phó được chia sẻ, với khối lượng kiến thức không nhỏ về nó, nhưng ngày nay DDoS vẫn đang là một mối đe doạ nghiêm trọng, một công cụ nguy hiểm của hacker. Chúng ta hãy cùng tìm hiểu về DDoS và sản phẩm kế thừa từ nó: các cuộc tấn công botnet.

Giới thiệu về Bot và Botnet

Bot là viết tắt của robot, tức các chương trình tự động hoá (chứ không phải là người máy như nghĩa chúng ta vẫn gọi) thường xuyên được sử dụng trong thế giới Internet. Người ta định nghĩa spider được dùng bởi các công cụ tìm kiếm trực tuyến, ánh xạ website và phần mềm đáp ứng theo yêu cầu trên IRC (như eggdrop) là robot. Các chương trình tự động phản ứng khi gặp sự kiện ngoài mạng nội bộ cũng được gọi là robot. Trong bài này, chúng ta sẽ quan tâm tới một kiểu robot cụ thể (hay bot như tên tắt vẫn thường được gọi) là IRC bot. IRC bot sử dụng các mạng IRC như một kênh liên lạc để nhận lệnh từ người dùng từ xa. Ví dụ cụ thể như, người dùng là một kẻ tấn công, còn bot là một Trojan horse. Một lập trình viên giỏi có thể dễ dàng tạo ra một số bot riêng của mình, hoặc xây dựng lại từ các bot có sẵn. Chúng có thể dễ dàng ẩn nấp trước những hệ thống bảo mật cơ bản, sau đó là phát tán đi nhanh chóng trong thời gian ngắn.

IRC

IRC là tên viết tắt của Internet Relay Chat. Đó là một giao thức được thiết kế cho hoạt động liên lạc theo kiểu hình thức tán gẫu thời gian thực (ví dụ RFC 1459, các bản update RFC 2810, 2811, 2812, 2813) dựa trên kiến trúc client-server. Hầu hết mọi server IRC đều cho phép truy cập miễn phí, không kể đối tượng sử dụng. IRC là một giao thức mạng mở dựa trên nền tảng TCP (Transmission Control Protocol - Giao thức điều khiển truyền vận), đôi khi được nâng cao với SSL (Secure Sockets Layer - Tầng socket bảo mật).

Một server IRC kết nối với server IRC khác trong cùng một mạng. Người dùng IRC có thể liên lạc với cả hai theo hình thức công cộng (trên các kênh) hoặc riêng tư (một đối một). Có hai mức truy cập cơ bản vào kênh IRC: mức người dùng (user) và mức điều hành (operator). Người dùng nào tạo một kênh liên lạc riêng sẽ trở thành người điều hành. Một điều hành viên có nhiều đặc quyền hơn (tuỳ thuộc vào từng kiểu chế độ do người điều hành ban đầu thiết lập ) so với người dùng thông thường.

Các bot IRC được coi như một người dùng (hoặc điều hành viên) thông thường. Chúng là các quy trình daemon, có thể chạy tự động một số thao tác. Quá trình điều khiển các bot này thông thường dựa trên việc gửi lệnh để thiết lập kênh liên lạc do hacker thực hiện, với mục đích chính là phá hoại. Tất nhiên, việc quản trị bot cũng đòi hỏi cơ chế thẩm định và cấp phép. Vì thế, chỉ có chủ sở hữu chúng mới có thể sử dụng.

Một thành phần quan trọng của các bot này là những sự kiện mà chúng có thể dùng để phát tán nhanh chóng tới máy tính khác. Xây dựng kế hoạch cần thận cho chương trình tấn công sẽ giúp thu được kết quả tốt hơn với thời gian ngắn hơn (như xâm phạm được nhiều máy tính hơn chẳng hạn). Một số n bot kết nối vào một kênh đơn để chờ lệnh từ kẻ tấn công thì được gọi là một botnet.

Cách đây chưa lâu, các mạng zombie (một tên khác của máy tính bị tấn công theo kiểu bot) thường được điều khiển qua công cụ độc quyền, do chính những kẻ chuyên bẻ khoá cố tình phát triển. Trải qua thời gian, chúng hướng tới phương thức điều khiển từ xa. IRC được xem là công cụ phát động các cuộc tấn công tốt nhất nhờ tính linh hoạt, dễ sử dụng và đặc biệt là các server chung có thể được dùng như một phương tiện liên lạc. IRC cung cấp cách thức điều khiển đơn giản hàng trăm, thậm chí hàng nghìn bot cùng lúc một cách linh hoạt. Nó cũng cho phép kẻ tấn công che đậy nhân dạng thật của mình với một số thủ thuật đơn giản như sử dụng proxy nặc danh hay giả mạo địa chỉ IP. Song cũng chính bởi vậy mà chúng để lại dấu vết cho người quản trị server lần theo.

Trong hầu hết các trường hợp tấn công bởi bot, nạn nhân chủ yếu là người dùng máy tính đơn lẻ, server ở các trường đại học hoặc mạng doanh nghiệp nhỏ. Lý do là bởi máy tính ở những nơi này không được giám sát chặt chẽ và thường để hở hoàn toàn lớp bảo vệ mạng. Những đối tượng người dùng này thường không xây dựng cho mình chính sách bảo mật, hoặc nếu có thì không hoàn chỉnh, chỉ cục bộ ở một số phần. Hầu hết người dùng máy tính cá nhân kết nối đường truyền ADSL đều không nhận thức được các mối nguy hiểm xung quanh và không sử dụng phần mềm bảo vệ như các công cụ diệt virus hay tường lửa cá nhân.

Bot và các ứng dụng của chúng

Khả năng sử dụng bot và các ứng dụng của chúng cho máy tính bị chiếm quyền điều khiển hoàn toàn phụ thuộc vào sức sáng tạo và kỹ năng của kẻ tấn công. Chúng ta hãy xem một số ứng dụng phổ biến nhất.

DDoS

Các botnet được sử dụng thường xuyên trong các cuộc tấn công Distributed Denial of Service (DDoS). Một kẻ tấn công có thể điều khiển số lượng lớn máy tính bị chiểm quyền điều khiển tại một trạm từ xa, khai thác băng thông của chúng và gửi yêu cầu kết nối tới máy đích. Nhiều mạng trở nên hết sức tồi tệ sau khi hứng chịu các cuộc tấn công kiểu này. Và trong một số trường hợp, thủ phạm được tìm thấy ngay khi đang tiến hành cuộc phá hoại (như ở các cuộc chiến dotcom).

Tấn công từ chối dịch vụ phân tán (DDoS)

Tấn công DDoS là một biến thể của Foolding DoS (Tấn công từ chối dịch vụ tràn). Mục đích của hình thức này là gây tràn mạng đích, sử dụng tất cả băng thông có thể. Kẻ tấn công sau đó sẽ có toàn bộ lượng băng thông khổng lồ trên mạng để làm tràn website đích. Đó là cách phát động tấn công tốt nhất để đặt được nhiều máy tính dưới quyền kiểm soát. Mỗi máy tính sẽ đưa ra băng thông riêng (ví dụ với người dùng PC cá nhân nối ADSL). Tất cả sẽ được dùng một lần, và nhờ đó, phân tán được cuộc tấn công vào website đích. Một trong các kiểu tấn công phổ biến nhất được thực hiện thông qua sử dụng giao thức TCP (một giao thức hướng kết nối), gọi là TCP syn flooding (tràn đồng bộ TCP). Cách thức hoạt động của chúng là gửi đồng thời cùng lúc một số lượng khổng lồ yêu cầu kết nối TCP tới một Web Server (hoặc bất kỳ dịch vụ nào khác), gây tràn tài nguyên server, dẫn đến tràn băng thông và ngăn không cho người dùng khác mở kết nối riêng của họ. Quả là đơn giản nhưng thực sự nguy hiểm! Kết quả thu được cũng tương tự khi dùng giao thức UDP (một giao thức không kết nối).

Giới tin tặc cũng bỏ ra khá nhiều thời gian và công sức đầu tư nhằm nâng cao cách thức tấn công của chúng. Hiện nay, người dùng mạng máy tính như chúng ta đang phải đối mặt với nhiều kỹ thuật tinh vi hơn xa so kiểu tấn công DDoS truyền thống. Những kỹ thuật này cho phép kẻ tấn công điều khiển một số lượng cực kỳ lớn máy tính bị chiếm quyền điều khiển (zombie) tại một trạm từ xa mà đơn giản chỉ cần dùng giao thức IRC.

Spamming (phát tán thư rác)

Botnet là một công cụ lý tưởng cho các spammer (kẻ phát tán thư rác). Chúng đã, đang và sẽ được dùng vừa để trao đổi địa chỉ e-mail thu thập được, vừa để điều khiển cơ chế phát tán thư rác theo cùng một cách với kiểu tấn công DDoS. Thư rác được gửi tới botnet, sau đó phân phối qua các bot và từ đó phát tán tới máy tính đang bị chiếm quyền điều khiển. Tất cả spammer đều lấy tên nặc danh và mọi hậu quả thì máy tính bị phá hoại gánh chịu.

Sniffing và Keylogging

Các bot cũng có thể được sử dụng một cách hiệu quả để nâng cao nghệ thuật cổ điển của hoạt động sniffing. Nếu theo dõi lưu lượng dữ liệu truyền đi, bạn có thể xác định được con số khó tin lượng thông tin được truyền tải. Đó có thể là thói quen của người dùng, trọng tải gói TCP và một số thông tin thú vị khác (như mật khẩu, tên người dùng). Cũng tương tự như vậy với keylogging, một hình thức thu thập tất cả thông tin trên bàn phím khi người dùng gõ vào máy tính (như e-mail, password, dữ liệu ngân hàng, tài khoản PayPal,…).

Ăn cắp nhân dạng

Các phương thức được đề cập ở trên cho phép kẻ tấn công điều khiển botnet để thu thập một lượng thông tin cá nhân khổng lồ. Những dữ liệu có thể được dùng để xây dựng nhân dạng giả mạo, sau đó lợi dụng để có thể truy cập tài khoản cá nhân hoặc thực hiện nhiều hoạt động khác (có thể là chuẩn bị cho nhiều cuộc tấn công khác) mà người gánh chịu hậu quả không ai khác chính là chủ nhân của các thông tin đó.

Sở hữu phần mềm bất hợp pháp

Đây là hình thức cuối cùng, nhưng chưa phải là kết thúc. Các máy tính bị tấn công theo kiểu bot có thể được dùng như một kho lưu trữ động tài liệu bất hợp pháp (phần mềm ăn cắp bản quyền, tranh ảnh khiêu dâm,…). Dữ liệu được lưu trữ trên ổ cứng trong khi người dùng ADSL không hề hay biết.

Còn rất nhiều, rất nhiều kiểu ứng dụng khác nữa được phát triển dựa trên botnet (như trả tiền cho mỗi lần kích chuột để sử dụng một chương trình, phishing, hijacking kết nối HTTP/HTTPS…), nhưng liệt kê ra được hết có lẽ sẽ phải mất hàng giờ. Bản thân bot chỉ là một công cụ với khả năng lắp ghép và thích ứng dễ dàng cho mọi hoạt động đòi hỏi đặt quyền kiểm soát đơn lên một số lượng lớn máy tính.

Các kiểu bot khác nhau

Nhiều kiểu bot đã được xây dựng và cho phép download được cung cấp nhan nhản khắp Internet. Mỗi kiểu có những thành phần đặc biệt riêng. Chúng ta sẽ xem xét một số bot phổ biến nhất và thảo những thành phần chính và các yếu tố phân biệt của chúng.

GT-Bot

Tất cả các bot GT (Global Threat) đều dựa trên kiểu client IRC phổ biến dành cho Windows gọi là mIRC. Cốt lõi của các bot này là xây dựng tập hợp script (kịch bản) mIRC, được dùng để điểu khiển hoạt động của hệ thống từ xa. Kiểu bot này khởi chạy một phiên client nâng cao với các script điều khiển và dùng một ứng dụng thứ hai, thông thường là HideWindows để ẩn mIRC trước người dùng máy tính đích. Một file DLL bổ sung sẽ thêm một số thành phần mới vào mIRC để các script có thể chi phối nhiều khía cạnh khác nhau trên máy tính bị chiếm quyền điều khiển.

Agobot

Agobot là một trong những kiểu bot phổ biến nhất thường được các tay bẻ khoá (craker) chuyên nghiệp sử dụng. Chúng được viết trên nền ngôn ngữ C++ và phát hành dưới dạng bản quyền GPL. Điểm thú vị ở Agobot là mã nguồn. Được modul hoá ở mức cao, Agobot cho phép thêm chức năng mới vào dễ dàng. Nó cũng cung cấp nhiều cơ chế ẩn mình trên máy tính người dùng. Thành phần chính của Agobot gồm: NTFS Alternate Data Stream (Xếp luân phiên dòng dữ liệu NTFS), Antivirus Killer (bộ diệt chương trình chống virus) và Polymorphic Encryptor Engine (cơ chế mã hoá hình dạng). Agobot cung cấp tính năng sắp xếp và sniff lưu lượng. Các giao thức khác ngoài IRC cũng có thể được dùng để điều khiển kiểu bot này.

DSNX

Dataspy Network X (DSNX) cũng được viết trên nền ngồn ngữ C++ và mã nguồn dựa trên bản quyền GPL. Ở kiểu bot này có thêm một tính năng mới là kiến trúc plug-in đơn giản.

SDBot

SDBot được viết trên nền ngôn ngữ C và cũng sử dụng bản quyền GPL. Không giống như Agobot, mã nguồn của kiểu bot này rất rõ ràng và bản thân phần mềm có một lượng giới hạn chức năng. Nhưng SDBot rất phổ biến và đã được phát triển ra nhiều dạng biến thể khác nhau.

Các yếu tố của một cuộc tấn công

Hình 1 thể hiện cấu trúc của một botnet điển hình:


Hình 1: Cấu trúc của một botnet điển hình

• Đầu tiên kẻ tấn công sẽ phát tán trojan horse vào nhiều máy tính khác nhau. Các máy tính này trở thành zombie (máy tính bị chiếm quyền điều khiển) và kết nối tới IRC server để nghe thêm nhiều lệnh sắp tới.

• Server IRC có thể là một máy công cộng ở một trong các mạng IRC, nhưng cũng có thể là máy chuyên dụng do kẻ tấn công cài đặt lên một trong các máy bị chiếm quyền điều khiển.

• Các bot chạy trên máy tính bị chiếm quyền điều khiển, hình thành một botnet.

Một ví dụ cụ thể

Hoạt động của kẻ tấn công có thể chia thành bốn giai đoạn khác nhau:

* Tạo
* Cấu hình
* Tấn công
* Điều khiển

Giai đoạn Tạo phụ thuộc lớn vào kỹ năng và đòi hỏi của kẻ tấn công. Nếu là người bẻ khoá chuyên nghiệp, họ có thể cân nhắc giữa việc viết mã bot riêng hoặc đơn giản chỉ là mở rộng, tuỳ biến cái đã có. Lượng bot có sẵn là rất lớn và khả năng cấu hình cao. Một số còn cho phép thao tác dễ dàng hơn qua một giao diện đồ hoạ. Giai đoạn này không có gì khó khăn, thường dành cho những kẻ mới vào nghề.

Giai đoạn Cấu hình là cung cấp server IRC và kênh thông tin. Sau khi cài đặt lên một máy tính đã được kiểm soát, bot sẽ kết nối tới host được chọn. Đầu tiên kẻ tấn công nhập dữ liệu cần thiết vào để giới hạn quyền truy cập bot, bảo vệ an toàn cho kênh và cuối cùng cung cấp một danh sách người dùng được cấp phép (những người có thể điều khiển bot). Ở giai đoạn này, bot có thể được điều chỉnh sâu hơn, như định nghĩa phương thức tấn công và đích đến.

Giai đoạn Tấn công là sử dụng nhiều kỹ thuật khác nhau để phát tán bot, cả trực tiếp và gián tiếp. Hình thức trực tiếp có thể là khai thác lỗ hổng của hệ điều hành hoặc dịch vụ. Còn gián tiếp thường là triển khai một số phần mềm khác phục vụ cho công việc đen tối, như sử dụng file HTML dị dạng để khai thác lỗ hổng Internet Explorer, sử dụng một số phần mềm độc hại khác phân phối qua các mạng ngang hàng hoặc qua trao đổi file DCC (Direct Client–to–Client) trên IRC. Tấn công trực tiếp thường được thực hiện tự động thông qua các sâu (worm). Tất cả công việc những sâu này phải làm là tìm kiếm mạng con trong hệ thống có lỗ hổng và chèn mã bot vào. Mỗi hệ thống bị xâm phạm sau đó sẽ tiếp tục thực hiện chương trình tấn công, cho phép kẻ tấn công ghi lại tài nguyên đã dùng trước đó và có được nhiều thời gian để tìm kiếm nạn nhân khác.

Cơ chế được dùng để phân phối bot là một trong những lý do chính gây nên cái gọi là tạp nhiễu nền Internet. Một số cổng chính được dùng cho Windows, cụ thể là Windows 2000, XP SP1 (xem Bảng 1). Chúng dường như là đích ngắm yêu thích của hacker, vì rất dễ tìm ra một máy tính Windows chưa được cập nhật bản vá đầy đủ hoặc không cài đặt phần mềm tường lửa. Trường hợp này cũng rất phổ biến với người dùng máy tính gia đình và các doanh nghiệp nhỏ, những đồi tượng thường bỏ qua vấn đề bảo mật và luôn kết nối Internet băng thông rộng.

CổngDịch vụ42WINS (Host Name Server)80HTTP (lỗ hổng IIS hay Apache)135RPC (Remote Procedure Call)137NetBIOS Name Service139NetBIOS Session Service445Microsoft–DS–Service1025Windows Messenger1433Microsoft–SQL–Server2745Bagle worm backdoor3127MyDoom worm backdoor3306MySQL UDF (User Definable Functions)5000 UPnP (Universal Plug and Play)

Bảng 1: Danh sách các cổng gắn với lỗ hổng dịch vụ

Giai đoạn Điều khiển gồm một số hoạt động thực hiện sau khi bot đã được cài đặt lên máy đích trong một thư mục chọn. Để khởi động với Windows, bot update các khoá đăng ký, thông thường là HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\. Việc đầu tiên bot thực hiện sau khi được cài đặt thành công là kết nối tới một server IRC và liên kết với kênh điều khiển thông qua sử dụng một mật khẩu. Nickname trên IRC được tạo ngẫu nhiên. Sau đó, bot ở trạng thái sẵn sàng chờ lệnh từ ứng dụng chủ. Kẻ tấn công cũng phải sử dụng một mật khẩu để kết nối tới botnet. Điều này là cần thiết để không ai khác có thể sử dụng mạng botnet đã được cung cấp.



Hình 2: Kỹ thuật botnet hardening

IRC không chỉ cung cấp phương tiện điều khiển hàng trăm bot mà còn cho phép kẻ tấn công sử dụng nhiều kỹ thuật khác nhau để ẩn nhân dạng thực của chúng. Điều đó khiến việc đối phó trước các cuộc tấn công trở nên khó khăn. Nhưng may mắn là, do đặc điểm tự nhiên của chúng, các botnet luôn tạo ra lưu lượng đáng ngờ, tạo điều kiện dễ dàng để có thể dò tìm nhờ một số kiểu mẫu hay mô hình đã biết. Điều đó giúp các quản trị viên IRC phát hiện và can thiệp kịp thời, cho phép họ gỡ bỏ các mạng botnet và những sự lạm dụng không đáng có trên hệ thống của họ.

Trước tình hình này, những kẻ tấn công buộc phải nghĩ ra cách thức khác, cải tiến kỹ thuật C&C (Control and Command - Điều khiển qua lệnh) thành botnet hardening. Ở kỹ thuật mới này, các bot thường được cấu hình để kết nối với nhiều server khác nhau, sử dụng một hostname ánh xạ động. Nhờ đó, kẻ tấn công có thể chuyển bot sang server mới dễ dàng, vẫn hoàn toàn nắm quyền kiểm soát ngay cả khi bot đã bị phát hiện. Các dịch vụ DNS động như dyndns.com hay no-IP.com thường được dùng trong kiểu tấn công này.

DNS động

Một DNS động (như RFC 2136) là một hệ thống liên kết tên miền với địa chỉ IP động. Người dùng kết nối Internet qua modem, ADSL hoặc cáp thường không có địa chỉ IP cố định. Khi một đối tượng người dùng kết nối tới Internet, nhà cung cấp dịch vụ mạng (ISP) sẽ gán một địa chỉ IP chưa được sử dụng lấy ra từ vùng được chọn. Địa chỉ này thường được giữ nguyên cho tới khi người dùng ngừng sử dụng kết nối đó.

Cơ chế này giúp các hãng cung cấp dịch vụ mạng (ISP) tận dụng được tối đa khả năng khai thác địa chỉ IP, nhưng cản trở đối tượng người dùng cần thực hiện một số dịch vụ nào đó qua mạng Internet trong thời gian dài, song không phải sử dụng địa chỉ IP tĩnh. Để giải quyết vấn đề này, DNS động được cho ra đời. Hãng cung cấp sẽ tạo cho dịch vụ một chương trình chuyên dụng, gửi tín hiệu tới cơ sở dữ liệu DNS mỗi khi địa chỉ IP của người dùng thay đổi.

Để ẩn hoạt động, kênh IRC được cấu hình giới hạn quyền truy cập và ẩn thao tác. Các mô hình IRC điển hình cho kênh botnet là: +k (đòi hỏi phải nhập mật khẩu khi dùng kênh); +s (không được hiển thị trên danh sách các kênh công cộng); +u (chỉ có người điều hành (operator) là được hiển thị trên danh sách người dùng); +m (chỉ có người dùng ở trạng thái sử dụng âm thanh +v mới có thể gửi tin đến kênh). Hầu hết mọi chuyên gia tấn công đều dùng server IRC cá nhân, mã hoá tất cả liên lạc trên kênh dẫn. Chúng cũng có khuynh hướng sử dụng nhiều biến thể cá nhân hoá của phần mềm IRC server, được cấu hình để nghe trên các cổng ngoài tiêu chuẩn và sử dụng phiên bản đã được chỉnh sửa của giao thức, để một IRC client thông thường không thể kết nối vào mạng.
Bây giờ là một vụ tấn công mẫu, cho phép chúng ta quan sát và hiểu một chương trình Command and Control (điều khiển qua lệnh) được thực hiện như thế nào. Hai máy tính sẽ được sử dụng. Máy đầu tiên chạy một server IRC dựa trên UnrealIRCd 3.2.3 và hai hệ điều hành Windows XP SP1 ảo dựa trên VMware Workstation (hai máy đích có khả năng bị tấn công). Máy thứ hai dành cho người chủ trì, điều khiển botnet qua Irssi, một text IRC client.



Để tạo chương trình thiết kế đối chiếu (reverse engineering) thật khó, Agobot thực hiện một số thường trình tự bảo vệ trước các bộ gỡ lỗi như SoftICE hay OllyDbg và trước các máy ảo như VMware, Virtual PC. Điều đó là cần thiết để hack được mã nguồn nhằm vượt qua chương trình bảo vệ của VMware, trước khi có thể cài đặt bot lên các máy ảo mẫu của chúng ta.

Cấu hình

Bước đầu tiên là cấu hình bot thông qua giao diện đồ hoạ đơn giản của nó (Xem hình 3). Thông tin được nhập vào bao gồm tên, số cổng IRC server, tên kênh, danh sách người sử dụng với mật khẩu master (chủ điều khiển), cuối cùng là tên file và thư mục cài đặt bot. Một số thành phần bổ sung cũng được kích hoạt như hỗ trợ sniffing và cơ chế trạng thái. Kết quả của giai đoạn này là file config.h, file nền tảng trong quá trình biên dịch bot được tạo.



Điều khiển theo lệnh (Command and Control)

Sau khi bot được biên dịch, hai hệ thống còn lại sẽ tấn công theo kiểu “thủ công”. Máy chủ (master) kết nối tới IRC server và liên kết với kênh dẫn để có thể ra lệnh điều khiển cho bot



Muốn thu được quyền điều khiển qua các bot, một cơ chế thẩm định là cần thiết. Cơ chế này được tạo đơn giản bằng cách gửi một lệnh tới kênh

.login FaDe dune



Sau đó, bot đầu tiên được yêu cầu đưa ra danh sách tất cả chương trình đang chạy trên máy tính bị chiếm quyền kiểm soát (xem hình 6):

/msg FakeBot–wszyzc .pctrl.list



Sau đó, bot thứ hai được yêu cầu đưa ra thông tin và khoá cdkey của các chương trình ứng dụng cài đặt trên máy (hình 7):

/msg FakeBot2–emcdnj .bot.sysinfo
/msg FakeBot2–emcdnj .harvest.cdkeys



Ở ví dụ này chúng ta sử dụng những tính năng hết sức đơn giản. Còn thực tế, Agobot cung cấp một tập hợp rất phongphus các lệnh và chức năng. Một trong số chúng bạn có thể xem ở Bảng 2:

LệnhMô tảcommand.listDanh sách tất cả các lệnh có thể sử dụngbot.dnsXử lý một địa chỉ IP hoặc hostnamebot.executeChạy một file .exe trên máy từ xabot.openMở một file trên máy từ xabot.command Chạy một lệnh với system()irc.serverKết nối tới một IRC serverirc.joinNhập thông tin của một kênh dẫn cụ thểirc.privmsgGửi thư riêng cho một người dùnghttp.executeDownload và thực thi file qua HTTPftp.executeDownload và thực thi file qua FTPddos.udpfloodKhởi động một chương trình UDP trànddos.synflood Khởi động một Syn trànddos.phaticmpKhởi động một PHATicmp trànredirect.httpKhởi động một HTTP proxyredirect.socks Khởi động một SOCKS4 proxypctrl.listĐưa ra danh sách chương trìnhpctrl.kill Loại bỏ các chương trình

Bảng 2: Một số lệnh Agobot

Bảo vệ máy tính của bạn như thế nào

Bây giờ chúng ta sẽ xem xét một số phương thức bảo vệ trước khả năng xâm phạm và phá hoại của kiểu tấn công bot, dưới góc nhìn của cả người dùng và nhà quản trị.

Các chiến lược bảo vệ cho người dùng PC

Như đã đề cập tới ở trên, tấn công bot chủ yếu được thực hiện qua các loại sâu, lướt trên mạng để tìm kiếm lỗ hổng thâm nhập được. Do đó, bước đầu tiên là phải cập nhật thường xuyên, download cá bản vá và bản update hệ thống cho cả hệ điều hành cũng như các ứng dụng truy cập Internet. Sử dụng chương trình update tự động là một ý kiến hay. Bạn cũng nên cẩn thận khi mở các file đính kèm đáng ngờ trong e-mail. Cũng sẽ là khôn ngoan khi loại bỏ hỗ trợ hình thức ngôn ngữ kịch bản như ActiveX và JavaScript (hoặc ít nhất là kiểm soát việc sử dụng của chúng). Cuối cùng, yếu tố cơ sở là bạn phải dùng ít nhất một chương trình diệt virus, trojan và luôn luôn update phiên bản mới nhất của chúng. Dẫu vậy, nhiều bot được cấu hình lần tránh khởi sự kiểm soát của các chương trình diệt virus. Vì thế, bạn nên dùng thêm phần mềm tường lửa cá nhân, nhất là khi sử dụng máy tính nối mạng liên tục 24 giờ/ngày.

Dấu hiệ chính khi có hiện diện của bot là tốc độ máy và tốc độ kết nối mạng trở nên cực kỳ chậm. Một cách kiểm tra các kết nối đáng ngờ đơn giản và hiệu quả là sử dụng công cụ netstat (xem hình 8):

C:/>netstat –an


Netstat

Netstat là một công cụ linh hoạt, tương thích được cả trên hệ điều hành Windows và các hệ thống *NIX. Chức năng của nó là kiểm soát các cổng đã được kích hoạt. Netstat kiểm tra quá trình nghe trên cổng TCP và UDP, sau đó cung cấp thông tin chi tiết và hoạt động mạng. Trên hệ thống *NIX, netstat hiển thị tất cả các dòng mở. Nó cũng sử dụng các bộ lọc chọn ngoài.

Trạng thái kết nối có thể trên Netstat gồm:

* ESTABLISHED – tất cả các host đều được kết nối
* CLOSING – host từ xa đang đóng kết nối
* LISTENING – host đang nghe kết nối đến
* SYN_RCVD – một host từ xa đuwocj yêu cầu khởi động kết nối
* SYN_SENT – host đang khởi động kết nối mới
* LAST_ACK – host phải gửi báo cáo trước khi đóng kết nối
* TIMED_WAIT, CLOSE_WAIT – một host từ xa đang kết thúc kết nối
* FIN_WAIT 1 – client đang kết thúc kết nối
* FIN_WAIT 2 – cả hai host đều đang kết thúc kết nối

Quan sát các kết nối ESTABLISHED tới cổng TCP trong phạm vi 6000 đến 7000 (thông thường là 6667). Nếu bạn thấy mình tính của mình bị xâm hại, hãy ngắt nó ra khỏi mạng Internet, làm sạch hệ thống, khởi động lại và kiểm tra.

Chiến lược bảo vệ cho người quản trị

Các quản trị viên thường phải cập nhật liên tục thông tin về những lỗ hổng mới nhất, cũng như đọc thường xuyên về tài nguyên bảo mật trên Internet mỗi ngày. Một số công cụ hỗ trợ Bugtraq, đưa ra bản mô tả tóm tắt danh sách thư là một ý kiến hay. Các quản trị viên cũng nên cố gắng tuyền truyền, nâng cao nhận thức cho người dùng của mình về vấn đề bảo mật và các chính sách bảo mật.

Nghiên cứu nhật ký thường trình (bản ghi log) do IDS và nhiều hệ thống tường lửa, mail server, DHCP, proxy server tạo ra cũng rất cần thiết. Điều này có thể giúp phát hiện ra lưu lượng bất thường, một dấu hiệu của sự hiện diện bot và nhờ đó có biện pháp ngăn chặn kịp thời. Sau khi lưu lượng bất thường được chú ý, một siffer sẽ đến để nhận dạng mạng con và máy tính tạo ra nó. Tất cả các biện pháp dường như đều quen thuộc và không mấy khó khăn, nhưng mọi người thường quên, hoặc bỏ qua chúng.

Bạn cũng có thể sử dụng một số kỹ thuật phức tạp hơn như honeybot. Honeybot là các máy được xây dựng với mục đích hấp dẫn kẻ tấn công. Vai trò của chúng là trở thành máy tính nạn nhân, giúp người quản trị định vị chính nguồn của vấn đề và nghiên cứu phương thức tấn công.

Nhưng kết luận cuối cùng thì, cho dù công cụ hỗ trợ là gì đi chăng nữa, biện pháp phòng chống và bảo vệ tốt nhất trước các cuộc tấn công botnet là bản thân người dùng và nhận thức của họ.

Đôi điều về tác giả

Tác giả của cuốn “Các cuộc chiến robot - Botnet hoạt động như thế nào” mà chúng ta vừa xem xét một phần nội dung của nó qua bài này là một nhóm ba người: Massimiliano Romano, Simone Rosignoli, Ennio Giannini. Nếu có điều kiện và bạn đọc nào có nhu cầu tìm hiểu chuyên sâu hơn về những nội dung thú vị trong cuốn sách này, bạn có thể mua trên eBay hoặc tìm kiếm từ nguồn Internet phong phú. Và dưới đây là đôi điều về tác giả của cuốn sách này:

Massimiliano Romano: sở thích của ông là khoa học máy tính và mạng. Ông làm việc với vai trò nhân viên tự do ở một trong các công ty điện thoại di động lớn nhất Italia. Ông bỏ ra rất nhiều thời gian vào Ham Radio, đầu tư nghiên cứu và giải mã các tín hiệu radio số.

Simone Rosignoli hiện đang là sinh viên trường đại học La Sapienza ở Rome. Anh đang theo đuổi bằng Công nghệ khoa học máy tính (bảo mật và hệ thống) ở trường. Sở thích của chàng sinh viên này là lập trình bảo mật máy tính. Quả thât, “nhân tài không đợi tuổi”!

Ennio Giannini làm việc với vai trò như một chuyên gia phân tích hệ thống. Anh sử dụng nhiều thời gian rảnh rỗi của mình vào các cuộc thử nghiệm trong môi trường GNU/Linux. Anh là một người hỗ trợ và tổ chức nguồn mở tích cực và mạnh mẽ.