Nghiên cứu Multimedia (âm thanh, hình ảnh, ánh sáng, phim ) - Kỹ thuật đảo mã độc hại - Bẻ khóa phần mềm - Độc tấu ghita - Phần mềm văn phòng - Kiếm tiền trên mạng - Lĩnh vực khác
Trao đổi với tôi
1/16/11
[Reverse's Tools] HTTP Debugger Pro V4.4
1. Application: HTTP Debugger Pro V4.4
Url: http://www.httpdebugger.com
Operating system: Microsoft Windows 2000/XP/2003/Vista and Windows 7
App. language: English
2. Type of release: keygen
Released at: 1/2011
App. type: Shareware
Cr@ck3d by: vinhkien
3. Install Program.
exit application
run keygen -> click register button
if the key is invalid, please run keygen again
1/12/11
[MASM] RAdASM 2.2.2 Debug Edition [ Turkish Code Crackers Team ]
TccTStudio Color Skin
Many upgrades and added a plug-in.
The program automatically recognizes the board of the project file Rap.
View file and icon changed .
Each project has been added feature is ability to debug format
masm,mingw,nasm,bcet,dm,fasm,fhla,fp,hla,lcc Added ability to debug.
Download Programs
Setup password : tcct.us
1/7/11
[MASM] Introduction to x64 Assembly
Download Article
Download Introduction to x64 Assembly [PDF 303KB]
[Programming] Video Tutorial - Memory Pattern Scanning
This is my video tutorial on scanning memory patterns to find addresses in memory that change during recompilation.
Click here for video tutorial
Resources:
The pattern scanning function:
bool bDataCompare(const BYTE* pData, const BYTE* bMask, const char* szMask) { for(;*szMask;++szMask,++pData,++bMask) if(*szMask=='x' && *pData!=*bMask ) return false; return (*szMask) == NULL; } DWORD dwFindPattern(DWORD dwAddress,DWORD dwLen, BYTE *bMask, char * szMask) { for(DWORD i=0;i
Enjoy.
[Reverse's Tools] HookShark BETA 0.9 (with a vengeance)
It has been one month only, and here i come with another big update.
And yes, it's worth it.
I am doing a quick overview of what has changed.
I am introducing the first tool that detects Hooks of VTables.
It does so by tracing certain assembly patterns and relocated blocks in the data section, that might be a table of virtual method-pointers.
If you set the verbosity high HookShark will also list all changed relocated function ptrs. in data sections.
Also all found global instances of polymorphic classes with VTables are listed in one section for your convinience to ease the analysis of your target.
So feel free to test around some stuff. HookShark might not find all virtual function tables. But this is hardly avoidable.
Click this bar to view the full image.
Next up is the new built-in Disassembler. Not much functionality. Just to grant a quick look at the area, if this is something worth exploring further with a debugger.
Some targets might fuck with us, guarding pages or even the modulelists. Also time-attacks to detect thread suspensions is a common technique.
So if the target crashes on scan or doesn't seem to be scannable, play around with the new Troubleshooting options in the Global Options Tab.
Also check out the new Credits Dialog. I included the old Chiptune, that you might know from 0.6.
Abso insisted on testing out the new bug-tracking system. So if you want to report bugs, then try it out:
http://forum.gamedeception.net/project.php?projectid=2
I don't know if i will use it. But it doesn't hurt to check it put. If you want to be extra sure, mention the bug here in this thread.
Click this bar to view the full image.
PS: Yeah i know. The pictures show version "0.8" :P
That's because im lazy to make new pictures.
Download:
http://rapidshare.com/files/41667994...Shark.rar.html
Changelog:
09-02-2010 - 1 -- Fixed memory leak. Thx to MiDoX
Last edited by DeepblueSea; 09-03-2010 at 01:56 AM.
RefLink: http://www.gamedeception.net/threads/20596-HookShark-Beta-0.9-(With-a-Vengeance)
1/6/11
[Anti Virus] QFX KeyScrambler Premium
KeyScrambler = No user effort + Peace of mind.
Keylogger đang là nỗi e ngại của người dùng Internet. Họ có thể gặp nguy cơ bị ăn cắp các thông tin gõ trên bàn phím trên bất kỳ máy tính nào. Chương trình KeyScrambler sẽ là công cụ bảo vệ hữu ích.
Các phần mềm ác tính thuộc "họ" keylogger hoạt động dựa trên nguyên tắc lưu lại tất cả những thao tác của người dùng trên bàn phím. Khi bạn nhấn một phím bất kỳ, chúng sẽ không tới ngay trình duyệt mà thực hiện một cuộc “chu du” dài trong phạm vi hệ điều hành trước khi tới được trình duyệt và keylogger sẽ đứng “đợi” sẵn, theo dõi và ghi lại những thao tác bàn phím. Keylogger cũng có khả năng chụp ảnh màn hình và tự động gởi đến một địa chỉ email định trước hoặc lưu lại thông tin đó trên chính máy của khổ chủ. Để ngăn ngừa việc này, KeyScrambler có khả năng mã hóa thao tác nhấn phím để bảo vệ thông tin cá nhân của người dùng trước keylogger.
KeyScrambler "xáo trộn" thao tác gõ phím của bạn nên các chương trình keyloggers chỉ có thể ghi lại các dãy chữ/số vô nghĩa
- Giao diện thân thiện cho phép bạn nhìn thấy ở thời gian thực các thao tác được mã hóa giúp các thông tin nhạy cảm của bạn được bảo vệ khỏi các keyloggers.
- Mã hóa sâu trong nhân hệ thống kernel của HĐH giúp bạn có thêm một lớp phòng thủ chắc chắn
- Không cần phải cập nhật cơ sở dữ liệu liên tục
- Không còn lo lắng về các nguy cơ keylog hiện hữu
Bảo vệ bạn từ màn hình truy cập Windows và các thao tác gõ phím trên 160 ứng dụng và các vùng thông tin nhạy cảm. Là phần mềm anti-keylogging tốt nhất cho người sử dụng gia đình và doanh nghiệp.Yêu cầu hệ thống:
KeyScrambler hỗ trợ Windows 2000, 2003, XP, Vista, Windows 7 (32-bit & 64-bit). Nó đồng thời cũng hỗ trợ các ngôn ngữ: Hoa, Nhật và Hàn ngữ.Thông tin thêm:
Vào đây để tìm hiểu thêm!Các giải thưởng:
Homepage - Trang chủ
Download - Tải về phần mềm [1.22MB]
Download - Tải về [Tất cả mọi phiên bản]
Keymaker - Thuốc [ZWT Keygen]
Patch - Thuốc [BOX v1.1]
RefLink Download: TTMT 01/2011 : tinyurl.com/pctips4020
RefLink: http://easyvn.net/forum/showthread.php/12698-QFX-Software-KeyScrambler-Premium-v2-7-1-0
[Reverse's Tools] Daphne v1.47
Daphne v1.47
Download now!Description:
Daphne is a small (system tray) application for killing, controlling and debugging Windows' processes. It was born to kill a windows process and became almost a task manager replacement. You can kill a process by dragging the mouse over the windows, by right-clicking the process in the main process list, or by typing its name with the "Kill all by name" command. You can set a any window to be always on top, to be transparent, to be enable, et cetera.
Although Daphne was born just to kill windows process. You can think of Daphne as a task manager replacement. The main window displays a list of currently running process with detailed information about: CPU usage, Process ID, Process name, Full path (and arguments), Priority, Class (Process / Service), Current memory usage, Peek memory usage, Current swap usage, Peek swap usage and Number of threads
New in Daphne v1.47:
- Detection for 64 bits environments.
- Per process detailed I/O information.
- Major bug fixed: Get process environment information.
Thanks:
- To the "Translation team" - Giacomo Margarito, Arno Krumpholz, Marc Cueni, He Zhenwei, Forth Bunny, Vicent Adam, Michał Trzebiatowski, Jangir Ganeev, Renato Euclides da Silva, Asabukuro Dongorosu, Abdurrahman Aborazmeh and Jim Lineos.
- To Zach Hudock for making Daphne portable at PortableApps project
- To Barry Cleave for writing a review of Daphne named "Daphne - Modify, Control & Kill windows process with Your Mouse"
- To Adrián Deccico for writing another review named "Daphne, an awsome tool"
NOTE:
- Windows XP and Vista users may have to add "Debug programs" privilege to their accounts in order to see full process list.
Features:
- Enhanced (experimental) multidesktop feature: use up to four windows desktops using WindowsKey + F5 to F8.
- Installed software list for inspecting installed software available in tray icon menu. Installed software
- Check process hierarchy tree using the "Show process tree" at tray icon menu. Process tree
- Parent process name an PID at process' properties.
- Now you can make configuration portable using INI file instead of registry base configuration.
- Support for DRK's process data base information search and contribution.
- Hide application tool: drop the target over the application's window you want to hide. Later, you can restore the application from Daphne menu.
- Take care: process names may be eclipsed by malicious software.
- Find process window tool: identify the process which owns the targeted window.
- Traps: you can set up traps to be applied to any process being created.
- Detailed process list, including full path and arguments.
- Per process detail including: Windows tree, thread list, modules, enviroment variables.
- Using the windows tree you can: Show, hide, set always on top on or off, set focus, et cetera to any give window.
- Kill all by name: Kill all process using a given name.
- Kill menu: Customizable menu, each menu item has a process list to kill upon activation.
- Process list highlighting with colors for custom, system and high CPU-consumption processes.
- Control inspector window for revealing hidden passwords.
- Drag and drop tool for killing, setting alpha, enabling controls and putting windows always on top.
- "Hide Java VM from command line" option in advanced tab makes Daphne strip the path to the default Java VM in full path mode.
- Internationalization: Spanish, Italian, German, French, Chinese, Valencian, Polish, Russian, Portuguese, Japanese, Arabic and Greek support.
Runs over:
- Windows XP
- Windows 2003
- Windows Vista
- Windows 7 x32
We are looking for translators!
If you can and want to contribute, please contact the author or post a message to our translation forum.
Contribute to Daphne project by:
- Sending feedback, suggestions and bug reports using this suport forum.
- Translating Daphne to your own language:
- Download the .POT file
- Generate a .PO file in the new language (I've used this tool: http://www.poedit.net/)
- Send it back to drkbugs AT gmail DOT com
- Linking to this download page from your site or blog.
- Talking about Daphne to your friends.
- Making donations via PayPal
Downloads
Auto install distribution:
Daphne_setup - 1.5 MBytes - Daphne v1.47 - August 28, 2010
Download and execute Daphne_setup.
Daphne_setup x86-64 - 1.5 MBytes - Release Candidate - August 29, 2010
Download and execute Daphne_setup_x64 if you are running Windows 64 bit version.
If you already have installed Daphne_setup and want to update language files:
LANGSetup - 221.3 kBytes - Daphne v1.47 - August 28, 2010
Download and execute LANGSetup.
Manual install and previous versions:
Get the ZIP package (1.3 MBytes)
Get version 1.46 ZIP package (1.3 MBytes)
Get version 1.45 ZIP package (1.3 MBytes)
Get version 1.44 ZIP package (1.2 MBytes)
Get version 1.43 ZIP package (1.2 MBytes)
Daphne is licensed under the GNU General Public License
Source code distribution:
Daphne-src.7z - 999.3 kBytes - Daphne v1.47 - August 28, 2010RefLink: http://www.drk.com.ar/daphne.php
1/5/11
[Reverse's Tools] Process Hacker v2.10
Changelog
v2.10 NEW/IMPROVED: - Added CPU, private bytes and I/O history columns - Added font selection - Added Run As Limited User - KProcessHacker is now signed, so it works on 64-bit systems. Thank you to the ReactOS Foundation. - Slightly improved highlighting configuration FIXED: - DEP status retrieval - ExtendedTools plugin crash - High DPI support - Memory leaks - Multi-monitor support in graph tooltips - Notification icon menu crash - Other small bug fixes 2.9 NEW/IMPROVED: - Added column selection for modules list - Added ExtendedTools plugin (Vista and above only) with Disk and Network information - Added signature verification for modules - Added wait analysis for 64-bit systems - Environment variables and current directory are now correctly shown for WOW64 processes - I/O priority names are now used instead of numbers - Updated ExtendedNotifications plugin: added ability to log events to a file - Updated ExtendedServices plugin: new tab on Vista and above - Updated ToolStatus plugin: resolves ghost windows to hung windows FIXED: - Memory leaks - Network list bug |
http://downloads.sourceforge.net/processhacker/processhacker-2.10-bin.zip
[Using Tools] Cài đặt và tạo ảnh ISO
Chào các bạn, chắc các bạn cũng ít nhiều nghe tới file ".iso"rùi phải không, vậy file".iso" là gì?(có đẹp không).Trong bài này mình sẽ giới thiệu và hướng dẫn cài đặt cũng như cách tạo file ".iso" một cách đơn giản nhất.
------------------------------------------------------------------------------------------
1. Ảnh ISO là gì?
ISO là 1 định dạng đĩa ảo chuẩn, nó được dân IT sử dụng như cơm bữa ấy mà. Từ 1 đĩa CD/DVD hay bất cứ file nào bạn cũng có thể tạo ra file ".iso", bằng cách sử dụng tiện ích UltraISO và bạn có thể sử dụng file ".iso" cho nhiều mục đích khác nhau...
-
Tạo đĩa ảo cho VMWare
-
Ghi đĩa(Nero)
2. UltraISO là gì?
3. Cài đặt và tạo file ".iso " từ CD/DVD.
4. Tạo file ".iso" từ các file bất kỳ
RefLink: http://qtmang.com/index.php?option=com_content&view=article&id=63:embed-srcqhttpwwwyoutubec&catid=47:cai-t-va-to-nh-iso&Itemid=294
[Net] Một số Khái niệm cơ bản về DNS
Chào các bạn,sau ngày 2/9 chắc các bạn cũng đã có một kỳ nghỉ thật tuyệt rùi đúng không.Còn riêng mình thì có 1 kỳ nghỉ thật vui ở quê hương tui - Quảng Ninh. Cho đến bây giờ mình vẫn còn muốn nghỉ, nhưng thui chúng ta cùng quay lại những bài viết thật buồn chán và tẻ nhạt về DNS.Trong bài viết này mình sẽ giới thiệu cho các bạn một số các khái niệm về DNS.
-------------------------------------------------------
1. Domain name và zone.
Một miền gồm nhiều thực thể nhỏ hơn gọi là miền con (subdomain). Ví dụ, miền ca bao gồm nhiều miền con như ab.ca, on.ca, qc.ca,...(như Hình 1). Bạn có thể ủy quyền một số miền con cho những DNS Server khác quản lý. Những miền và miền con mà DNS Server được quyền quản lý gọi là zone. Như vậy, một Zone có thể gồm một miền, một hay nhiều miền con. Hình sau mô tả sự khác nhau giữa zone và domain.
Hình 1: Zone và Domain
Các loại zone:
- Primary zone : Cho phép đọc và ghi cơ sở dữ liệu.
- Secondary zone : Cho phép đọc bản sao cơ sở dữ liệu.
2. Fully Qualified Domain Name (FQDN).
Mỗi nút trên cây có một tên gọi(không chứa dấu chấm) dài tối đa 63 ký tự. Tên rỗng dành riêng cho gốc (root) cao nhất và biểu diễn bởi dấu chấm. Một tên miền đầy đủ của một nút chính là chuỗi tuần tự các tên gọi của nút hiện tại đi ngược lên nút gốc, mỗi tên gọi cách nhau bởi dấu chấm. Tên miền có xuất hiện dấu chấm sau cùng được gọi là tên tuyệt đối (absolute) khác với tên tương đối là tên không kết thúc bằng dấu chấm. Tên tuyệt đối cũng được xem là tên miền đầy đủ đã được chứng nhận (Fully Qualified Domain Name – FQDN).
3. Sự ủy quyền(Delegation).
Một trong các mục tiêu khi thiết kế hệ thống DNS là khả năng quản lý phân tán thông qua cơ chế uỷ quyền (delegation). Trong một miền có thể tổ chức thành nhiều miền con, mỗi miền con có thể được uỷ quyền cho một tổ chức khác và tổ chức đó chịu trách nhiệm duy trì thông tin trong miền con này. Khi đó, miền cha chỉ cần một con trỏ trỏ đến miền con này để tham chiếu khi có các truy vấn.
Không phải một miền luôn luôn tổ chức miền con và uỷ quyền toàn bộ cho các miền con này, có thể chỉ có vài miền con được ủy quyền. Ví dụ miền qtmang.com của pht_npower chia một số miền con như mcse.qtmang.com (môn học mcse), ccna (môn CCna) hay mcsa (môn mcsa), nhưng các máy chủ phục vụ cho toàn trường thì vẫn thuộc vào miền qtmang.com
4. Forwarders.
Là kỹ thuật cho phép Name Server nội bộ chuyển yêu cầu truy vấn cho các Name Server khác để phân giải các miền bên ngoài.
Ví dụ: Trong Hình 2, ta thấy khi Internal DNS Servers nhận yêu cầu truy vấn của máy trạm nó kiểm tra xem có thể phân giải được yêu cầu này hay không, nếu không thì nó sẽ chuyển yêu cầu này lên Forwarder DNS server (multihomed) để nhờ name server này phân giải dùm, sau khi xem xét xong thì Forwarder DNS server (multihomed) sẽ trả lời yêu cầu này cho Internal DNS Servers hoặc nó sẽ tiếp tục forward lên các name server ngoài Internet.
Hình 2 : Forward DNS queries.
5. Stub zone.
Là zone chứa bảng sao cơ sở dữ liệu DNS từ master name server, Stub zone chỉ chứa các resource record cần thiết như : A, SOA, NS, một hoặc vài địa chỉ của master name server hỗ trợ cơ chế cập nhật Stub zone, chế chứng thực name server trong zone và cung cấp cơ chế phân giải tên miền được hiệu quả hơn, đơn giản hóa công tác quản trị (Tham khảo Hình 3).
Hình 3 : Stub zone.
6. Dynamic DNS.
Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần xuất thay đổi cao. Dịch vụ DNS động (Dynamic DNS) cung cấp một chương trình đặc biệt chạy trên máy tính của người sử dụng dịch vụ dynamic DNS gọi là Dynamic DNS Client. Chương trình này giám sát sự thay đổi địa chỉ IP tại host và liên hệ với hệ thống DNS mỗi khi địa chỉ IP của host thay đổi và sau đó update thông tin vào cơ sở dữ liệu DNS về sự thay đổi địa chỉ đó.
DNS Client đăng ký và cập nhật resource record của nó bằng cách gởi dynamic update.
Hình 4: Dynamic update.
Các bước DHCP Server đăng ký và cập nhật resource record cho Client.
Hình 5 : DHCP server cập nhật dynamic update.
7. Active Directory-integrated zone.
Sử dụng Active Directory-integrated zone có một số thuận lợi sau:
- DNS zone lưu trữ trong trong Active Directory, nhờ cơ chế này mà dữ liệu được bảo mật hơn.
- Sử dụng cơ chế nhân bản của Active Directory để cập nhận và sao chép cơ sở dữ liệu DNS.
- Sử dụng secure dynamic update.
- Sử dụng nhiều master name server để quản lý tên miền thay vì sử dụng một master name server.
Mô hình Active Directory-integrated zone sử dụng secure dynamic update.
Hình 6: Secure dynamic update
RefLink: http://qtmang.com/index.php?option=com_content&view=article&id=101:mt-s-khai-nim-c-bn&catid=94:dns&Itemid=364
[Security] Chính sách bảo mật cho Web Server
Về Patches và Updates:
- Microsoft Baseline Security Analyzer phải được chạy thường xuyên để kiểm tra hệ thống và kiểm tra các bản cập nhật
- Các bản vá lỗi phải được cập nhật cho Windows, IIS và .NET Framework.
- Đăng ký nhận tin với Microsoft Security Notification Service tại :
http://www.microsoft.com/technet/sec...tin/notify.asp
Các Tool cho IIS
- IISLockdown phải được setup và chạy trên server
- URLScan phải được setup, tinh chỉnh và chạy trên server
Về các ứng dụng
- Phải disable các ứng dụng không cần thiết
- Các ứng dụng phải được chạy với account có quyền tối thiểu
- Các ứng dụng như FTP, SMTP, và NNTP phải disable nếu không sử dụng
- Phải tắt Telnet
- ASP .NET Service State phải được disable và không dùng bởi bất kì ứng dụng khác. Vào Start > Run > gõ services.msc, tìm service ASP .NET Service State để kiểm tra chắc chắn service này được disable.
Về Protocols
- WebDAV phải được tắt nếu không sử dụng hoặc phải được sucure nếu cần. Thông tin về WebDAV, các bạn có thể xem thêm tại Microsoft Knowledge Base article 323470, "How To: Create a Secure WebDAV Publishing Directory"
- TCP/IP phải được config kỹ.
- NetBIOS and SMB phải được disabled (đóng các ports 137, 138, 139, và 445).
Về Accounts
- Những account không sử dụng đến phải được xóa bỏ
- Phải tắt (disable) account Guest.
- Account Administrator phải được đổi sang tên khác, và phải đặt password phức tạp
- Account IUSR_MACHINE phải được tắt nếu không dùng đến
- Nếu các ứng dụng cần quyền anonymous access, các bạn phải create account anonymous này với quyền thấp nhất có thể
- Những account anonymous không được phép có quyền write vào thư mục web và không được truy cập vào những ứng dụng bằng command line
- Các account chạy ứng dụng ASP.NET phải được thiết lập với quyền thấp nhất. (Chỉ áp dụng khi bạn không dùng account ASPNET - account mặc định chạy ứng dụng ASP.NET với quyền mặc định thấp nhất)
- Phải có chính sách về account và password phức tạp thiết lập trên sever.
- Phải remove group Everyone trên policy "Access this computer from the network"
- Các account quản trị phải được đảm bảo tính bảo mật, không chia sẽ thông tin các account này.
- Null sessions (anonymous logons) phải được tắt
- Group Administrator không tồn tại quá 2 accounts.
- Remote logon phải được đảm bảo secure cho account Administrators.
... còn tiếp ...
Về Files và cấu trúc thư mục
- Tất cả các partition phải được setup NTFS
- Thư mục Web phải được đặt ở partition khác với partition chứa files hệ thống
- Log files phải được đặt ở thư mục hoặc partition khác với 2 partition chứa Web và Files hệ thống
- Group Everyone phải được thiết lập để không có quyền truy cập vào thư mục chứa files hệ thống như \Windows hay \Windows\System32 ... đồng thời cũng không có quyền truy cập vào Thư mục hay partition chứa Web
- Account Tnternet Guest phải được thiết lập tuyệt đối không có quyền write vào thư mục chứa Web
- Remote IIS Administration phải được xóa hay disable (\Windows\System32\Inetsrv\IISAdmin).
- Resource Kit Tools, Utilities, và các SDKs phải được xóa bỏ hay disable
- Các Sample của IIS phải được xóa (\Windows\Help\IISHelp, \Inetpub\IISSamples).
Shares
- Những shares không cần thiết phải được removeAll unnecessary shares are removed (including default administration shares).
- Group Everyone không được thiết lập để có thể truy cập vào các shares
- Các Administrative shares (như C$ D$ E$ ... và Admin$) phải được xóa nếu không cần thiết (Chỉ có Microsoft Management Server (SMS) và Microsoft Operations Manager (MOM) sử dụng các Shares trên).
Ports
- Cấm truy xuất internet cho Web Server (đóng các outbound port 80, 8080 ... hoặc có thể remove Internet Explorer)
- Intranet traffic phải được mã hóa (ví dụ mã hóa với SSL)
Registry
- Remote registry phải tắt.
- SAM phải được bảo vệ (HKLM\System\CurrentControlSet\Control\LSA\NoLMHash).
... còn tiếp ...
Các chính sách sau chỉ áp dụng cho StandAlone Server
Logging
- Login failed phải được server ghi nhận.
- IIS log files phải được thay đổi đường dẫn và phải được bảo vệ.
- Dung lượng log files phải được thiết lập thích hợp.
- Log files phải được kiểm tra thường xuyên.
- Các truy cập vào Metabase.bin phải được ghi nhận.
- IIS log phải được configured dạng W3C.
Sites and Virtual Directories
- Web sites phải được đặt ở partition khác với partition chứa system (non-system partition.)
- "Parent paths" phải được disable.
- Các virtual directories nguy hiểm như IISSamples, IISAdmin, IISHelp, và các Scripts virtual directories phải được remove
- MSADC virtual directory (RDS) phải được remove hoặc được bảo vệ
- Các Virtual directories cho phép truy cập anonymous access phải disable quyền Write và Excute
- Chỉ set quyền write cho những folders yêu cầu có authentication (dùng SSL nếu cần thiết)
- FrontPage Server Extensions (FPSE) phải được remove nếu không dùng đến.
Script Mappings
- Nên chuyển (mapping) các Extensions không dùng đến sang 404.dll (ví dụ như .idq, .htw, .ida, .shtml, .shtm, .stm, idc, .htr, .printer).
- Những extension không cần thiết của ASP.NET nên mapped đến "HttpForbiddenHandler" ở Machine.config.
ISAPI Filters
- Những ISAPI filters không cần thiết hay không dùng đến phải được removed
IIS Metabase
- Truy cập vào Metabase phải được ghi nhận và phải được giới hạn bằng cách dùng NTFS permissions (%systemroot%\system32\inetsrv\metabase.bin).
- IIS banner information phải được giới hạn sử dụng
Other Check Points
- IISLockdown và URLScan tool phải được setup và chạy trên server
- Remote administration phải được bảo vệ và mã hóa (SSL). Nên thiết lập low session time-outs và account lockouts.
Hạn chế DOS và Những điều không nên thực hiện ở Web Server
* Phải setup Web Server như một server riêng biệt
* Nơi đặt server phải được bảo vệ nghiêm ngặt (physically protect)
* Thiết lập các anonymous accounts khác nhau cho từng application khác nhau
* Không nên install IIS server trên một domain controller
* Không nên kết nối internet cho IIS server khi chưa thiết lập kỹ các chính sách security
* Không cho phép Group Anyone truy cập Locally. Logon Locally chỉ nên có 1 group duy nhất là Administrators
RefLink: http://www.nhatnghe.com/forum/showthread.php?t=2605
[Using Tools] Giới thiệu về Wireshark
Phân tích gói tin với WIRESHARK
Giới thiệu qua một chút về Wireshark
- WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần còn lại của đội phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên là WireShark.
- WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên tới 500 cộng tác viên. Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát triển thêm.
- Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay. Nó có thể đáp ứng nhu cầu của cả các nhà phân tích chuyên nghiệp và nghiệp dư và nó đưa ra nhiều tính năng để thu hút mỗi đối tượng khác nhau.
Các giao thực được hỗ trợ bởi WireShark:
WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent. Và cũng bởi Wireshark được phát triển trên mô hình mã nguồn mở, những giao thức mới sẽ được thêm vào. Và có thể nói rằng không có giao thức nào mà Wireshark không thể hỗ trợ.
Thân thiện với người dùng: Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng dụng đồ hoạ với hệ thống menu rât rõ ràng và được bố trí dễ hiểu. Không như một số sản phẩm sử dụng dòng lệnh phức tạp như TCPdump, giao diện đồ hoạ của Wireshark thật tuyệt vời cho những ai đã từng nghiên cứu thế giới của phân tích giao thức.
Giá rẻ: Wireshark là một sản phẩm miễn phí GPL. Bạn có thể tải về và sử dụng Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại.
Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở.
Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay.
1. Một số tình huống cơ bản
Trong phần này chúng ta sẽ đề cập đến vấn đề cụ thể hơn. Sử dụng Wireshark và phân tích gói tin để giải quyết một vấn đề cụ thể của mạng.Chúng tôi xin đưa ra một số tình huống điển hình.
A Lost TCP Connection (mất kết nối TCP)
Một trong các vấn đề phổ biến nhất là mất kết nối mạng.Chúng ta sẽ bỏ qua nguyên nhân tại sao kêt nối bị mất, chúng ta sẽ nhìn hiện tượng đó ở mức gói tin.
Ví dụ:
Một ví truyền file bị mất kết nối:
Bắt đầu bằng việc gửi 4 gói TCP ACK từ 10.3.71.7 đến 10.3.30.1.
Hình 3.1-1: This capture begins simply enough with a few ACK packets.
Lỗi bắt đầu từ gói thứ 5, chúng ta nhìn thấy xuất hiện việc gửi lại gói của TCP.
Hình 3.1-2: These TCP retransmissions are a sign of a weak or dropped connection.
Theo thiết kế, TCP sẽ gửi một gói tin đến đích, nếu không nhận được trả lời sau một khoảng thời gian nó sẽ gửi lại gói tin ban đầu. Nếu vẫn tiếp tục không nhận được phản hồi, máy nguồn sẽ tăng gấp đôi thời gian đợi cho lần gửi lại tiếp theo.
Như ta thấy ở hình trên, TCP sẽ gửi lại 5 lần, nếu 5 lần liên tiếp không nhận được phản hồi thì kết nối được coi là kết thúc.Hiện tượng này ta có thể thấy trong Wireshark như sau:
Hình 3.1-4: Windows will retransmit up to five times by default.
Khả năng xác định gói tin bị lỗi đôi khi sẽ giúp chúng ta có thể phát hiện ra mấu trốt mạng bị mất là do đâu.
Unreachable Destinations and ICMP Codes (không thể chạm tới điểm cuối và các mã ICMP)
Một trong các công cụ khi kiểm tra kết nối mạng là công cụ ICMP ping. Nếu may mắn thì phía mục tiêu trả lời lại điều đó có nghĩa là bạn đã ping thành công, còn nếu không thì sẽ nhận được thông báo không thể kết nối tới máy đích. Sử dụng công cụ bắt gói tin trong việc này sẽ cho bạn nhiều thông tin hơn thay vì chỉ dung ICMP ping bình thường. Chúng ta sẽ nhìn rõ hơn các lỗi của ICMP.
Hình 3.1-5: A standard ping request from 10.2.10.2 to 10.4.88.88
Hình dưới đây cho thấy thông báo không thể ping tới 10.4.88.88 từ máy 10.2.99.99.Như vậy so với ping thông thường thì ta có thể thấy kết nối bị đứt từ 10.2.99.99. Ngoài ra còn có các mã lỗi của ICMP, ví dụ : code 1 (Host unreachable)
Unreachable Port (không thể kết nối tới cổng)
Một trong các nhiệm vụ thông thường khác là kiểm tra kết nối tới một cổng trên một máy đích. Việc kiểm tra này sẽ cho thấy cổng cần kiểm tra có mở hay không, có sẵn sang nhận các yêu cầu gửi đến hay không.
Ví dụ, để kiểm tra dịch vụ FTP có chạy trên một server hay không, mặc định FTP sẽ làm việc qua cổng 21 ở chế độ thông thường. Ta sẽ gửi gói tin ICMP đến cổng 21 của máy đích, nếu máy đích trả lời lại gói ICMP loại o và mã lỗi 2 thì có nghĩa là không thể kết nối tới cổng đó.s Fragmented Packets
Hình 3.1-7: This ping request requires three packets rather than one because the data being transmitted is above average size.
Ở đây có thể thấy kích thước gói tin ghi nhận được lớn hơn kích thước gói tin mặc định gửi đi khi ping là 32 bytes tới một máy tính chạy Windows.Kích thước gói tin ở đây là 3,072 bytes.Determining Whether a Packet Is Fragmented (xác định vị trí gói tin bị phân đoạn)
No Connectivity (không kết nối)
Vấn đề : chúng ta có 2 nhân viên mới Hải và Thanh và được sắp ngồi cạnh nhau và đương nhiên là được trang bị 2 máy tính. Sauk hi được trang bị và làm các thao tác để đưa 2 máy tính vào mạng, có một vấn đề xảy ra là máy tính của Hải chạy tốt, kết nối mạng bình thường, máy tính của Thanh không thể truy nhập Internet.
Mục tiêu : tìm hiểu tại sao máy tính của Thanh không kết nối được Internet và sửa lỗi đó.
Các thông tin chúng ta có
- cả 2 máy tính đều mới
- cả 2 máy đều được đặt IP và có thể ping đến các máy khác trong mạng
Nói tóm lại là 2 máy này được cấu hình không có gì khác nhau.
Tiến hành
Cài đặt Wireshark trực tiếp lên cả 2 máy.
Phân tích
Trước hết trên máy của Hải ta nhìn thấy một phiên làm việc bình thường với HTTP. Đầu tiên sẽ có một ARP broadcast để tìm địa chỉ của gateway ở tầng 2, ở đây là 192.168.0.10. Khi máy tính của Hải nhận được thông tin nó sẽ bắt tay với máy gateway và từ đó có phiên làm việc với HTTP ra bên ngoài.
Hình 3.1-8: Hải’s computer completes a handshake, and then HTTP data transfer begins.
Trường hợp máy tính của Thanh
Hình 3.1-9: Thanh’s computer appears to be sending an ARP request to a different IP address.
Hình trên cho thấy yêu cầu ARP không giống như trường hợp ở trên. Địa chỉ gateway được trả về là 192.168.0.11.
Như vậy có thể thấy NetBIOS có vấn đề.
NetBIOS là giao thức cũ nó sẽ được thay thế TCP/IP khi TCP/IP không hoạt động. Như vậy là máy của Thanh không thể kết nối Internet với TCP/IP.
Chi tiết yêu cầu ARP trên 2 máy :
Máy Hải
Máy Thanh
Kết luận : máy Thanh đặt sai địa chỉ gateway nên không thể kết nối Internet, cần đặt lại là 192.168.0.10.
The Ghost in Internet Explorer (con ma trong trình duyệt IE)
Hiện tượng : máy tính của A có hiện tượng như sau, khi sử dụng trình duyệt IE, trình duyệt tự động trỏ đến rất nhiều trang quảng cáo. Khi A thay đổi bằng tay thì vẫn bị hiện tượng đó thậm chí khở động lại máy cũng vẫn bị như thế.
Thông tin chúng ta có
A không thạo về máy tính lắm
Máy tính của A dùng Widows XP, IE 6
Tiến hành
Vì hiện tượng này chỉ xảy ra trên máy của A và trang home page của A bị thay đổi khi bật IE nên chúng ta sẽ tiếp hành bắt gói tin từ máy của A. Chúng ta không nhất thiết phải cài Wireshark trực tiếp từ máy của A. Chúng ta có thể dùng kỹ thuật
“Hubbing Out” .
Phân tích
Hình 3.1-13: Since there is no user interaction happening on A’s computer at the time of this capture, all of these packets going across the wire should set off some alarms.
Chi tiết gói tin thứ 5:
Hình 3.1-14: Looking more closely at packet 5, we see it is trying to download data from the Internet.
Từ máy tính gửi yêu cầu GET của HTTP đến địa chỉ như trên hình.
Hình 3.1-15: A DNS query to the weatherbug.com domain gives a clue to the culprit.
Gói tin trả lại bắt đầu có vấn đề : thứ tự các phần bị thay đổi.Một số gói tiếp theo có sự lặp ACK.
Hình 3.1-16: A DNS query to the weatherbug.com domain gives a clue to the culprit.
Sau một loạt các thay đổi trên thì có truy vấn DNS đến deskwx.weatherbug.comĐây là địa chỉ A không hề biết và không có ý định truy cập.
Như vậy có thể là có một process nào đó đã làm thay đổi địa chỉ trang chủ mỗi khi IE được bật lên. Dùng một công cụ kiểm tra process ẩn ví dụ như Process Explore và thấy rằng có tiến trình weatherbug.exe đang chạy. Sau khi tắt tiến trình này đi không còn hiện tượng trên nữa.Thông thường các tiến trình như weatherbug có thể là virus, spyware.
Giao diện Process Explore
Lỗi kết nối FTP
Tình huống : có tài khoản FTP trên Windows Server 2003 đã update service packs vừa cài đặt xong, phần mềm FTP Server hoàn toàn bình thường, khoản đúng nhưng không truy nhập được.Thông tin chúng ta có FTP làm việc trên cổng 21
Tiến hành
Cài đặt Wireshark trên cả 2 máy.
Phân tích
Client:
Hình 3.1-19: The client tries to establish connection with SYN packets but gets no response; then it sends a few more.Client gửi các gói tin SYN để bắt tay với server nhưng không có phản hồi từ server.
Server :
Hình 3.1-20: The client and server trace files are almost identical.
Có 3 lý do có thể dẫn đến hiện tượng trên
- FTP server chưa chạy, điều này không đúng vì FTP server của chúng ta đã chạy như kiểm tra lúc đầu
- Server quá tải hoặc có lưu lượng quá lớn khiến không thể đáp ứng yêu cầu. Điều này cũng không chính xác vì server vừa mới được cài đặt.
- Cổng 21 bị cấm ở phía clien hoặc phía server hoặc ở cả 2 phía. Sau khi kiểm tra và thấy rằng ở phía Server cấm cổng 21 cả chiều Incoming và Outgoing trong Local Security Policy
Kết luận
Đôi khi bắt gói tin không cho ta biết trực tiếp vấn đề nhưng nó đã hạn chế được rất nhiều trường hợp và giúp ta đưa ra suy đoán chính xác vấn đề là gì.
Link down Wireshark Click here
vnsecurity.vn
[Hacking] Chôm Pass Yahoo! và POP3
Mô hình Mạng:
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 827x362 |
Click vào đây để xem phim minh họa dùng Cain để sniffer Password của Yahoo mail và POP3 mail.
RefLink: http://www.nhatnghe.com/forum/showthread.php?t=2257
[Net] Cài đặt và cấu hình DNS
Chào các bạn, sau một số bài lý thuyết tẻ nhạt và mệt mỏi mình đã thực hiện một bài lab về cài đặt và cấu hình DNS. Trong bài lab này mình có chèn bản nhạc For Elise của Beethoven cho đỡ buồn . Nếu nào không tập trung được thì tắt âm thanh là được nhé.
-------------------------------------------------------------
Mà không biết tại sao youtube dạo này lại chậm thế nhỉ? các bạn tạm dừng video 30s để xem cho đỡ giật nhé. Còn nếu bạn muốn download video thì hãy liên lạc với mình " pht_npower@yahoo.comĐịa chỉ email này đã được bảo vệ từ spam bots, bạn cần kích hoạt Javascript để xem nó. " ,hoặc có thể dùng IDM cũng được.
RefLink: http://qtmang.com/index.php?option=com_content&view=article&id=103:cai-t-va-cu-hinh-dns&catid=94:dns&Itemid=366