valentine khong ngot ngao(III)

Go down

valentine khong ngot ngao(III)

Post  myxl218 on Sat Jun 07, 2008 10:52 pm


(Tiếp phần 2) Nó được code bằng Visual C++, nếu như là một file Flash th́ thông tin về nó sẽ hiển thị khác, chi tiết thế nào tôi sẽ nói sau.Bây giờ làm thế nào có thể t́m và biết được vị trí của file d_card1.exe, có 2 cách như sau :



_Có thể run file e-card.exe, file này sẽ tạo ra file d_card1.exe, dựa vào đó ta có thể dùng tính năng Search của Windows để t́m.

_Sử dụng Ollydbg, như các bạn thấy khi file e-card.exe thực thi th́ ngay lập tức có một process khác được tạo ra và chạy đó là d_card1.exe, vậy tôi nghi ngờ file e-card.exe có sử dụng một hàm API của Windows là CreateProcessA để tạo ra một process mới là d_card1.exe. Do đó tôi open file e_card.exe trong Ollydb và tiến hành đặt một điểm ngắt tại hàm CreateProcessA (chi tiết về hàm này các bạn có thể xem trên MSDN) thông qua Command của Ollydbg :



Điểm ngắt ở đây tức là chúng ta đặt 1 điểm dừng cho chương tŕnh khi cho chương tŕnh đó thực thi trong chế độ Debug, nếu như chương tŕnh có sử dụng hàm đó th́ ngay lập tức quá tŕnh thực thi sẽ bị chặn lại và ta sẽ dừng tại điểm ngắt của chương tŕnh tức là dừng tại hàm mà chúng ta đă thiết lập.

Sau khi tiến hành đặt điểm ngắt, tôi cho chạy file e-card.exe trong Ollydbg thông qua menu Debug -> Run hoặc nhấn F9. Ngay lập tức chương tŕnh đă dừng lại tại hàm CreateProcessA, dựa vào thông tin mà Ollydbg cung cấp trên Stack tôi có được như sau:

Dựa vào đây chúng ta thấy rằng file d_card1.exe sẽ được tạo ra và nằm trong đường dẫn như h́nh minh họa trên.Lần theo đường dẫn này tôi đă t́m được file d_card1.exe.

Bây giờ chúng ta đă có được file d_card1.exe rồi, tiếp theo làm thế nào để t́m ra các file lpr123.exe và card.exe. Trước tiên,tôi lại tiến hành kiểm tra thông tin về file d_card1.exe bằng PEiD :

Thông qua PEiD tôi thấy file d_card1.exe đă được Packed lại bằng UPX. Vậy tôi sẽ sử dụng chính UPX để Unpack (Giải nén) file d_card1.exe.

File d_card1.exe sau khi được Unpack sẽ được lưu đè lên file cũ. Tiếp tục chúng ta sử dụng PEiD để t́m kiếm thông tin về file d_card1.exe mới này.

PEiD quả thực là hữu ích, qua thông tin trên tôi thấy rằng file d_card1.exe đă được nén theo định dạng RAR SFX (SelF-eXtracting) thông qua WinRAR.Nếu đă sử dụng kiểu nén này th́ chắc chắn sẽ có những câu lệnh liên quan. Tôi sử dụng WinRAR để kiểm tra tiếp thông tin về d_card1.exe.

Các câu lệnh SFX script commands các bạn có thể tham khảo thêm trong file Help của WinRar. Ở đây khi mở file d_card1.exe tôi thấy có 2 file mà chúng ta cần t́m đó là Card.exe và lpr123.exe. Vậy th́ kết luận của tôi ở trên hoàn toàn chính xác : file Card.exe chính là file thiệp Flash mà chúng ta nh́n thấy c̣n file lpr123.exe chính là File keylog chạy song song với file thiệp Flash mà chúng ta không hề biết.Extract toàn bộ các file này ra ta thấy như sau :

Hy vọng với bài viết này tôi cung cấp cho các bạn một chút ít kinh nghiệm của bản thân ḿnh cũng như phần nào thấy được mức độ nguy hiểm, không an toàn khi tham gia vào mạng Internet. Điều quan trọng nhất là phải luôn đề cao ư thức cảnh giác để tự bảo vệ ḿnh và người thân luôn được an toàn trên internet.

Nguồn: Connection Magazine(Conmaz.com)
avatar
myxl218

Posts : 55
Join date : 2008-04-09

View user profile

Back to top Go down

Back to top

- Similar topics

 
Permissions in this forum:
You cannot reply to topics in this forum