valentine ko ngot ngao(II)

Go down

valentine ko ngot ngao(II)

Post  myxl218 on Sat Jun 07, 2008 10:54 pm


Tiếp phần 1) Như các bạn đă biết keylog là một ứng dụng dùng để giám sát và ghi nhận các kí tự mà người dùng gơ trên bàn phím như : username, password v…v… sau đó nó sẽ tự động gửi email về cho người chủ của nó – tức là người đă viết ra keylog.
Do nó là một ứng dụng, cho nên nó phải được kích hoạt và hoạt động như một Process trong Windows. Khi tôi nhận được file .exe mà cụ thể ở đây là e-card.exe, từ email của người bạn gửi cho ḿnh. Theo thói quen, trước khi mở file e-card.exe. Tôi sử dụng một ứng dụng có sẵn trong Windows là Windows Task Manager để xem các process hiện thời đang chạy trên máy của tôi.

Như các bạn đă thấy trên máy tôi có tất cả là 36 process, trong đó th́ có 7 process đang chạy dưới UserName của tôi. Tiếp theo tôi tiến hành chạy file e-card.exe để xem thiệp mà người bạn đă gửi cho tôi và quan sát trên tab Processes xem có điều ǵ sẽ xảy ra.


Như trên h́nh, các bạn thấy rằng tôi chỉ chạy mỗi file e-card.exe thôi, tức là trong của sổ Task Manager sẽ chỉ có process của e-card.exe. Nhưng ở đây, bên cạnh e-card.exe tôi thấy có thêm 2 process nữa là d_card1.exe và lpr123.exe. Đến khi hoàn tất quá tŕnh mở file e-card.exe, th́ trên tab Processes cho tôi các thông tin cuối cùng như sau :


Sau khi đă chạy file e-card.exe, tôi thấy file d_card1.exe biến mất thay vào đó là file card.exe. Mà file card.exe này đang chiếm 19% của CPU. Vậy theo suy đoán của tôi th́ file card.exe chính là file Flash c̣n file e-card.exe ch́ là một file dùng để trích xuất và thi hành file card.exe theo một cách thức nào đó.

Điều nghi ngờ thứ hai là trên Task Manager có xuất hiện process d_card1.exee-card.exe khi chạy đă tạo ra file d_card1.exe, file này sau đó sẽ extract ra 2 file là lpr123.exe và card.exe, sau đó thi hành 2 file này. Do đó nếu không sử dụng Task Manager tôi sẽ chỉ thấy được file Flash rất đẹp chứ không biết được có sự tồn tại của một process thứ 2 đang chạy song song với tấm thiệp này. Điểm mấu chốt để t́m ra được các file lpr123.exe và card.exe chính là file d_card1.exe. Chúng ta phải biết file d_card1.exe này được tạo ra ở đâu, trong thư mục nào. sau đó biến mất, tôi suy đoán là file

Tại sao tôi có thể khẳng định được rằng file e-card.exe không phải là file Flash, đó là nhờ vào PEiD. Khi kiểm tra file này bằng PEiD tôi thấy được như sau :

Nguồn: Connection Magazine(Conmaz.com)
avatar
myxl218

Posts : 55
Join date : 2008-04-09

View user profile

Back to top Go down

Back to top


 
Permissions in this forum:
You cannot reply to topics in this forum