Go Back   Vina Forums > Computer Center > Học Hỏi - Chia Sẻ (Learning - Software Sharing) > Security & Privacy
Hỏi/Ðáp Thành Viên Lịch Tìm Kiếm Bài Trong Ngày Ðánh Dấu Ðã Ðọc

Trả lời
 
Ðiều Chỉnh Xếp Bài
  #1  
Old 10-02-2004, 07:41 PM
VipDomino VipDomino is offline
Member
 
Tham gia ngày: Oct 2004
Bài gởi: 15
Talking

Hiện nay hack ở dịch vụ phổ biến nhất la keylogger , starr , spy ... Hôm nay Vip xin giới thiệu sơ với bà con vina về con keylogger này :P
Như chúng ta đã biết Trojan được Hackers " thả " vào máy hoặc hệ thống của nạn nhân , để thưc hiện các nhiệm vụ chủ yếu sau :

- Mở 1 hay vài cổng (Port ) của hệ thống tạo điều kiện cho Hackers thâm nhập vào hệ thống qua các cửa này . Khi thâm nhập qua cửa , Hackers phải có khả năng khai thác các lỗ hổng bảo mật của chính hệ điều hành (OS ) hoặc các Application , liên quan đến các cổng đươc mở nói trên . ( Mỗi loại Trojan chỉ có khả năng mở 1 hay môt vài cửa đã xác định , đó là các cổng được gọi là default port cho Trojan ấy . Thí dụ đối với Virus - Trojan Bugbear và Bugbear b thì cổng default là TCP 1080 ).

- Cài trong hệ thống 1 chương trình Keylogger , nhằm ghi lại mọi thao tác của nạn nhân đánh trên bàn phím ( trong đó đương nhiên có cả Password , username hay số thẻ tín dụng ....vv ). Các thông tin lấy cắp này đươc tự động ghi vào môt file . DLL và lưu trữ tại 1 thư mục trong hệ thống , đã đươc Hackers dự kiến sẵn . Thông tin có thể đươc mã hóa hay không mã hóa . Sau khi thâm nhập đươc vào hệ thống thì Hackers sẽ copy filr này hoặc chuyển file này về máy của mình, giải mã ( nếu cần )và khai thác các thông tin lấy cắp .

- Với các Trojan đươc soạn thảo môt cách tinh vi với kỹ thuật cao, thì trong Trojan có sẵn môt SMTP engine (cơcấu SMTP )của chính mình. Trojan dùng nó để gửi nôi dung lưu trữ trong các file .DLL nói trên ( từ các máy ,hệ thống đươc chọn lựa ) ra ngoài bằng đường email, đến các địa chỉ nhận email đã đươc Hacker dư kiến sẵn . Việc chọn lưa máy hay hệ thống như nói trên đây cũng do chính Trojan thưc hiện môt cách tinh vi , gây cho ta môt sư ngạc nhiên và khâm phục .

Không phải mọi Trojan đều có thể thưc thi đầy đủ các " nhiệm vụ quan trọng "trên . Có những Trojan chỉ làm được 1 việc ( thường là việc thứ nhất ) . Môt số Trojan được soạn thảo bởi các Hackers cao cấp có thể thưc hiện cùng 1 lúc nhiệm vụ 1 và 2 . Chỉ có môt, hai siêu Trojan như Virus-Trojan Bugbear b , xuất hiện mới đây , mới có khả năng hoàn thành cả 3 nhiệm vụ kể trên .
Tham khảo bài viết về Virus- Trojan Bugbear b tại :http://vnhacker.org/forum/?act=ST&f=26&t=14493&s=

Để khắc phục , loại trừ nguy cơ do mọi loại Trojan(nghĩa là bất kỳ loại Trojan nào ) gây ra , điều cốt lõi (core ) là ngăn cản Trojan không thể thưc hiện được các nhiệm vụ kể trên hay phải rất khó khăn để thực hiện chúng . Trong trường hơp này , diệt ( cleaning )từng loại Trojan bắng các chương trình Antivirus hay Trojan removing không phải là giải pháp triệt để . Vì muốn diệt sạch đươc 1 loại Trojan môt cách chính xác và hiệu qủa thì chưong trình Antivirus , Trojan removing phải có 1 VirusData File dùng để kiểm tra chính Trojan đó . Bơi vì khi quét các File trong hệ thống , các chương trình nói trên phải so sánh các file nghi ngờ nhiễm Trojan với các VirusData File sẵn có trong chương trình . Nếu thấy " trùng lắp " thì chương trình mới phát hiên ra virus và gởi các đề nghị đến ngừoi sử dụng máy ra quyết định (clean , rename ...vv ). Như vậy rõ ràng là các chương trình trên không diệt đươc các Virus, Trojan mới xuất hiện hay các virus, Trojan không có VirusData File tương ứng trong chương trình .

Ngăn cản Trojan thưc hiện nhiệm vụ thứ 1 ( mở 1 hay vài cổng default ) thì chúng ta có thể sử dụng các chương trình firewall ( bức tường lửa ) như McAfee Firewall , Zone Alarm Pro hay cao cấp hơn là Check point ....vv . Điểm vô cùng quan trọng ở đây là c/trình Firewall ,nếu đươc sử dụng 1 cách đúng đắn , chính xác là nó có thể đóng tất cả các cửa mà trojan cố ý kích mở , bất kể đó là Trojan nào . Do vậy Trojan sẽ hết "cửa " hoạt động . Nếu Trojan nào sử dụng chính cửa mà các Application đang dùng để hoạt đông , theo lệnh của người quản trị hệ thống ,thì chế đô" Filter '' trong Firewall sẽ được quản trị viên áp dụng , gây khó khăn rất lớn cho Trojan thưc hiện nhiệm vụ được giao . Tuy nhiên chúng ta cũng thấy rằng sử dụng Firewall đúng cách khó hơn các c/trình Antivirus rất nhiều , đỏi người dùng phải có 1 kiến thức sâu và đầy đủ về mạng , OS , Application và Virus,Trojan ...( vì không khéo chúng ta sẽ đóng cả các cửa mà lẽ ra cần mở để thưc hiện các dich vụ cần thiết cho mình .... )

Còn để ngăn cản Trojan thực hiện nhiệm vụ thứ 2 ( lấy cắp các thông tin nạn nhân đã từng gõ trên bàn phím ,lưu trữ vào 1 file .DLL )thì mới đây môt vài chuyên gia bảo mật cao cấp đã soạn thảo vài chương trình "Anti-Keylogger" ( Chống lại chương trình Keylogger của Trojan ) .Thí dụ chương trình Advanced Anti-KeyLogger version 3.0 . Chương trình Antilogger đươc viết ra trên cơ sở áp dụng các thuật toán rất cao cấp kết hợp với những kiến thức về module áp dụng trong các OS hay application .Chưong trình này không kiểm soát bản thân Trojan mà kiểm soát "việc chúng làm ". Khi Trojan bắt đầu "móc nối " ( hooking ) hệ thống bàn phím của nạn nhân , thì c/trình Anti-Keylogger nói trên lập tức phát hiên hành đông can thiệp này và kip thông báo cho user tên file thưc thi hành đông ( thường là file .exe ) đừong dẫn và tên file . DLL dùng để lưu trữ thông tin lấy từ thao tác trên bàn phím cũng như vị trí của nó trong hệ thống .Người dùng có thể ra lệnh là "cho phép" (Allow ) hay "cấm" (Prohibit) là xong . Khi đã ra lệnh "cấm " thì chương trình KeyLogger trong Trojan không thể ghi bất cứ thông tin nào vào file lưu trữ .DLL nói trên . Ngừoi dùng có thể yên tâm đánh trên bàn phím các thông tin nhạy cảm , bí mật cá nhân . ( Người dùng cao cấp - Advanced - có thể dễ dàng Delete file thưc thi và file . DLL liên quan đến Trojan mà chương trình Anti-Keylogger đã chỉ ra . Như vậy thưc chất đã vô hiệu hóa Trojan này ).





Trả Lời Với Trích Dẫn
  #2  
Old 10-02-2004, 08:10 PM
VipDomino VipDomino is offline
Member
 
Tham gia ngày: Oct 2004
Bài gởi: 15

Điều rất quan trọng ở đây ,Vip muốn nhấn mạnh lại , là chương trình Anti-Keylogger ngăn cản đươc mọi Trojan thưc thi "nhiệm vu" lấy cắp thông tin , bất kể đó là loại Trojan nào . Cũng giống như chương trình Firewall ngăn cản mọi Trojan mở các cổng Default .

Nhân đây chúng ta thấy rằng kiến thức toán học rất quan trọng cho việc lập trình , đặc biệt là các trình cao cấp như Anti-Keylogger.

Vip đã tìm hiểu ,thử sử dụng chương trình Advanced Anti-Keylogger version 3.0 và rất ngạc nhiên về hiệu qủa của chương trình này . Nhưng điều Vip ngạc nhiên hơn là không chỉ các chương trình Trojan "săm săm " muốn hook (móc nối ) hệ thống bàn phím . Có môt số chương trình khác nữa như Vietkey2000( hay tất cả các chương trình liên quan đến cách gõ trên bàn phím ) , c/trình Internet Exploirer khi dùng nó để kết nối với 1 Forum ( như HVA chẳng hạn ).... cũng tìm cách hooking . Ngoài ra Vip cũng rất phân vân suy nghĩ về 1 chương trình có file thưc thi là ctfmon.exe nằm ở đừong dẫn C:\WINNT\System32\ctfmon.exe cũng luôn luôn , lúc nào cũng định " móc " vào bàn phím . Các thông tin từ bàn phím đươc lưu trữ vào 1 File .DLL liên quan đến MSUIM Server DLL . Đây rõ ràng là chương trình và Files của Microsoft . Vip chưa có thời gian kỹ xem chúng làm nhiệm vụ cụ thể, chi tiết gì ( liên quan đến Ms Office thì không phải rồi ) . Tôi chợt nghĩ đến môt "truyền thuyết '''''''' từ lâu rằng MS có cài vào các hê ĐH của mình môt Trojan vô cùng bí hiểm , không ai phát hiện ra đươc . Đúng như vậy chăng ???. Các chương trình Anti-Keylogger ( sẽ đươc cải tiến thêm sau này ) giúp gì cho việc phát hiện Trojan bí hiểm này , nếu thưc sự có ???
Các bạn thử tìm File ctfmon.exe xem thử . Vip dùng Win 2000 Pro . Còn trong Win 98 chắc File này ở thư mục Windows ?? ( Vì Vip chưa có thời gian kiểm tra ). Vip cũng đã "cut" và "paste" file này đến môt nơi khác ( My Document ) và khởi động lại hệ thống . Hệ thống vẫn chạy trơn chu , mọi Application vẫn " ngon lành " . Dường như không ảnh hưởng gì ?

Khi chúng ta đã dùng Anti-Keylogger ngăn cản đựoc Trojan thưc thi được nhiệmm vụ thứ 2 rôi , thì dù Trojan có làm đươc hay không nhiệm vụ thứ 3 ( gửi nôi dung File .DLL ra ngoài bằng email ) cũng là điều không cần quan tâm . Vì Trojan chỉ gửi ra ngoài các File .DLL trống rỗng , không có dữ liệu gì .

Với Firewall và Anti-KeyLogger trong tay. có các chương trình Antivirus ,Trojan remover trợ lưc , đươc trang bị môt kiến thức tin học sâu và đầy đủ , chúng ta hoàn toàn chặn đứng đươc mọi loại Trojan xuất hiện trong thời kỳ trứoc đây và hiện nay thưc thi các nhiệm vụ nguy hiểm nói trên
Nay xin các bạn download chương trình Advanced Anti-Keylogger ver.3.0 ở : http://www.anti-keylogger.net/
Con Perfect Keylogger ver.1.47 ( full version ) Sau khi download và cài đặt Advanced Antilogger ver 3.1 ( nhớ restart lại ) , bạn thử tiếp tuc cài đặt con Trojan Perfect Keylogger ver.1.47 vào máy . Sau đó enable ( cho chạy ) Advanced Antikeylogger ver 3.1 , chọn chế độ "Custom security mode " ,thì lập tức Ad.Anti keylogger phát hiện ra file chạy của Perfect.Keylogger ở đường dẫn C\Program Files \BPK\bpk. exe và modul ( với File ghi dữ liệu ) của nó ở
C\Program Files \BPK\bpkhk.dll .
Rồi bạn chỉ cần áp dụng yêu cầu : "Prohibit" cho cả trường hợp " Current status " và " Rule action " là con Perfect Keylogger 1.47 hoàn toàn " bất động " .Thậm chí không "mở " chương trình Perfect Keylogger được nữa .
Trả Lời Với Trích Dẫn
  #3  
Old 10-13-2004, 02:35 AM
VipDomino VipDomino is offline
Member
 
Tham gia ngày: Oct 2004
Bài gởi: 15
Default

Sử dụng Key logger

Mức độ thành công: hầu như là 99 %

Nếu nhận hay gửi thư ở các điểm truy nhập Internet công cộng thì bạn rất có thể bị mất password mà thủ phạm là các key logger (chương trình ghi lén gõ phím). Key logger hiện nay rất hiện đại, không như các key logger “thời tiền sử”. Không cần cài đặt trên máy, có kích thước rất “khiêm tốn”, nhưng các key logger này lại là những kẻ lấy cắp password thiện nghệ, rồi gửi password lấy cắp tới một địa chỉ đã định trước (có key logger chỉ ghi lại password và user name dùng của yahoo messenger và gửi email đến chủ nhân của nó để cảnh báo). Do các key logger có thể rất dễ dàng tích hợp vào vào 1 tệp tin bất kì trên máy tính nên rất có thể khi bạn chạy 1 trò chơi hay 1 chương trình nào đó thì bạn đã bị nhiễm phải nó rồi.

Công cụ thực hiện

Một phần mềm key logger hay phần mềm gián điệp.

Cách phòng chống

Có thể sử dụng phần mềm phòng chống key logger hoặc sử dụng phần mềm Norton anti virus (nên cập nhật phiên bản mới nhất) để phát hiện trojan dạng key logger nằm trong 1 tệp tin nào đó. Bạn có thể dùng chương trình phát hiện key logger như: anti keylog, keylogg kill (bạn chỉ cần truy nhập vào http://www.google.com sau đó gõ vào tên của chương trình -> kích Search để tìm kiếm, hoặc vào http://download.com.com và gõ vào tên chương trình để tải về dùng.

Đơn giản nhất là khi mở trang đăng nhập bạn hãy khoan đăng nhập mà trước tiên hãy mở một chương trình soạn thảo bất kì (notepad chẳng hạn), gõ một chuỗi ký tự bất kì kí tự vào -> sau đó gõ tên người dùng & mật khẩu của mình vào -> tiếp tục gõ vào chuỗi kì tự bất kỳ -> sau đó sao chép user name & password của mình sang trang mail yahoo và dán user name và password vào. Khi dùng biện pháp này thì keylog chỉ ghi lại được đoạn văn bản có chứa cả các chuỗi ký tự ngẫu nhiên bạn đã gõ vào (dĩ nhiên là nó sẽ không biết đâu là password thật) và cú gõ phím CTRL + V vào trường user name và password trong trang đăng nhập Yahoo Mail.

Trả Lời Với Trích Dẫn
Trả lời


Ðiều Chỉnh
Xếp Bài

Quyền Sử Dụng Ở Diễn Ðàn
Bạn không được quyền gởi bài
Bạn không được quyền gởi trả lời
Bạn không được quyền gởi kèm file
Bạn không được quyền sửa bài

vB code đang Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt
Chuyển đến


Múi giờ GMT. Hiện tại là 07:14 AM.


Powered by: vBulletin Version 3.6.1 Copyright © 2000 - 2017, Jelsoft Enterprises Ltd.