valentine ko ngot ngao(I)

Go down

valentine ko ngot ngao(I)

Post  myxl218 on Sat Jun 07, 2008 10:41 pm


Như các bạn đă biết thế giới Internet là một nơi không an toàn, đầy cám dỗ và nguy hiểm. Bạn tham gia vào các forum, các chatroom, gửi nhận thư, download file về máy, vậy có bao giờ bạn thắc mắc rằng : “Những file mà các bạn download về hay những file các bạn nhận được thông qua file đính kèm trong Email có thực sự an toàn?”.


Đó chính là nội dung của bài viết ngày hôm nay tôi muốn tŕnh bày với các bạn. Đây là một câu chuyện có thật khi tôi nhận được một tấm thiệp chúc mừng của một người bạn thân thông qua Email. Khi mở nó ra th́ đối với một người b́nh thường không có kinh nghiệm, họ sẽ không thể biết được tấm thiệp đó đă cài keylog lên máy của họ và đang giám sát các kư tự mà họ gơ trên bàn phím. Họ chỉ thấy được nó là một tấm thiệp rất đẹp:
Có rất nhiều cách để phát hiện keylog, bài viết này chỉ là một trường hợp cụ thể để các bạn h́nh dung được cơ chế mà tấm thiệp kia đă làm trên máy của tôi.
Tools :
Windows Task Manager (built-in Windows)

PEiD v0.94 (http://peid.has.it/)

OllyDbg v1.10 (http://ollydbg.de/)

UPX (http://upx.sourceforge.net)

WinRar (http://rarlab.com/)

Trong các Tools mà tôi liệt kê ở trên, th́ chắc chỉ có 3 công cụ là Ollydbg v1.10 và PEiD v0.94, UPX là c̣n khá mới mẻ với các bạn.Nhưng đối với những người làm việc chuyên nghiệp về Security hay những Reversers, Crackers, Viriis, Hackers th́ các công cụ này sẽ chẳng lạ lẫm ǵ.
PEiD v0.94 : PEiD là một công cụ cực ḱ hữu ích – Chức năng chính của nó là dùng để scan Executable files và chỉ cho chúng ta biết được loại Packer mà File này được sử dụng cho việc nén và protect file, nếu như file đó không sử dụng Packer th́ PEiD cho chúng ta biết coder đă sử dụng công cụ lập tŕnh nào để coding và compile ra file .exe , ví dụ như : MASM, Borland Delphi, Visual Basic hay Visual C.



Ollydbg v1.10 : Ollydbg là một công cụ không thể thiếu, nó dùng để Debug chương tŕnh. Thông tin về nó các bạn có thể xem trên trang chủ của Olly mà tôi đă đưa ra ở trên.Khi mở Ollydbg các bạn sẽ thấy như sau :





Ở đây chúng ta thấy có 4 cửa sổ lớn :
- The CPU Window (hay c̣n gọi là Disassembler Window) : Ở cửa sổ này các bạn có thể nh́n thấy các đoạn code của chương tŕnh ở dạng ngôn ngữ asm, và đồng thời tại cửa sổ này các bạn cũng có thể chú thích cho từng từng ḍng mă asm .

- The Registers Window : Đây là cửa số chứa thông tin chi tiết về các thanh ghi như eax, ebx, ecx v.v… Các cờ trạng thái cũng được quản lư tại cửa sổ này

- The Dump Window : Tại cửa sổ này bạn có thể xem hoặc chỉnh sửa theo 2 dạng là hex và Ascii bộ nhớ của chương tŕnh mà bạn muốn debug

- The Stack Window : Hiển thị thông tin về Stack của chương tŕnh mà bạn đang Debug.
UPX : UPX là một chương tŕnh nén file thực thi chuyên nghiệp, nó có thể giảm kích thước của file exe hoặc dll từ 50%-70%.

Trên đây là tổng quan về các công cụ được sử dụng trong bài viết, tiếp theo đây chúng ta sẽ đi vào phần chính của bài viết này. Như tôi đă nói ở trên sẽ có rất nhiều phương pháp khác nhau dùng để phát hiện keylog, đây chỉ là một t́nh huống cụ thể mà tôi đă gặp phải và muốn chia sẻ cho các bạn để từ đó chúng ta có thể nâng cao ư thức cũng như khả năng tự bảo vệ chính ḿnh khi tham gia vào mạng Internet.

Như các bạn đă biết keylog là một ứng dụng dùng để giám sát và ghi nhận các kí tự mà người dùng gơ trên bàn phím như : username, password v…v… sau đó nó sẽ tự động gửi email về cho người chủ của nó – tức là người đă viết ra keylog. Do nó là một ứng dụng, cho nên nó phải được kích hoạt và hoạt động như một Process trong Windows. Khi tôi nhận được file .exe mà cụ thể ở đây là e-card.exe, từ email của người bạn gửi cho ḿnh. Theo thói quen, trước khi mở file e-card.exe. Tôi sử dụng một ứng dụng có sẵn trong Windows là Windows Task Manager để xem các process hiện thời đang chạy trên máy của tôi.


Last edited by myxl218 on Sat Jun 07, 2008 10:53 pm; edited 1 time in total
avatar
myxl218

Posts : 55
Join date : 2008-04-09

View user profile

Back to top Go down

Back to top


 
Permissions in this forum:
You cannot reply to topics in this forum