banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... QuickRemove  XML
  [Question]   QuickRemove 10/10/2007 07:43:38 (+0700) | #1 | 89800
dungcoi_vb
Member

[Minus]    0    [Plus]
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
[Profile] [PM]
Hồi chiều em ngâm cứu phần mềm WinPatrol (1 phần mềm bảo vệ máy tính trước virus)
Ngớ ngẩn thiệt, phần mềm là 1 mớ hỗn độn chưa hoàn hảo của một mớ tính năng. Hijack, Proceess, starup...

Ngẫu hứng tự nhiên trong đầu nảy ra ý tưởng ứng dụng dựa trên Log dạng Hijack hay SystemSnapShot nhưng sẽ nhận dạng trên hệ thống đó và tiêu diệt luôn tại chỗ

Ok, ý tưởng ra đời lúc 4h chiều nhưng ông anh cùng khoa rủ đi chơi. Ok đi liền, đi xong tốn hơn 30 phút. Đói qua, đi ăn cơm đã.

Xong. Về nhà hơn 5h chiều bắt đầu bật máy tính lên. Đầu tiên thiết kế cái giao diện cho "Nice" chút coi, làm cái Icon hơi mệt
Rồi bắt đầu viết ra giấy cấu trúc file log. Ok xong, viết 1 file log mẫu diệt worm DakNong nào

Rồi, bắt đầu code.
8 giờ kém 15. Hoàn thành. Mệt quá, muốn khoe lắm rồi, ko thèm đặt bẫy lỗi gì luôn đi "Khoe" thôi nào

http://dungnguyenle.googlepages.com/QuickRemove.zip


à, chút nữa quên. Trong file này có virus (Con DakNong) tuy nhiên các anh cứ an tâm, con này "Hiền" nên chỉ nhiễm vô máy chứ ko hại chi ai đâu. Cứ chạy thử rồi test chương trình

Chú ý : Nếu ko dc thì cứ tự nghĩ "Sống chết có số"
[Up] [Print Copy]
  [Question]   Re: QuickRemove 10/10/2007 09:45:10 (+0700) | #2 | 89822
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cái file đó avira cho ra danh sách này.

1330579 basProcess.bas 8.81 KB UNDER ANALYSIS
1330580 FastRemove.vbw 52 Byte UNDER ANALYSIS
1330581 frmMian.frm 10.15 KB UNDER ANALYSIS
1330582 frmMian.frx 5.17 KB UNDER ANALYSIS
1330583 modFile.bas 13.61 KB UNDER ANALYSIS
1330584 modLinhTinh.bas 405 Byte UNDER ANALYSIS
1330585 modRegedit.bas 5.03 KB UNDER ANALYSIS
1330586 Icon.bmp 9.08 KB UNDER ANALYSIS
1330587 Icon.ico 2.19 KB UNDER ANALYSIS
1330588 Icon1.bmp 2.96 KB UNDER ANALYSIS
1330589 QuickRemove.doc 23 KB UNDER ANALYSIS
1330590 QuickRemove.exe 44 KB UNDER ANALYSIS Thứ này ảnh hưởng gì vậy.
1330591 QuickRemove.vbp 960 Byte UNDER ANALYSIS
1330592 QuickRemove.vbw 180 Byte UNDER ANALYSIS
1330593 RealWorm1 (UPX).exe 25 KB UNDER ANALYSIS
1330594 RealWorm.qrd 926 Byte UNDER ANALYSIS

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: QuickRemove 10/10/2007 20:45:24 (+0700) | #3 | 89871
dungcoi_vb
Member

[Minus]    0    [Plus]
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
[Profile] [PM]
QuickRemove.exe : Là file đã biên dịch
RealWorm1 (UPX).exe : Virus
RealWorm.qrd (Qrd = Quick Remove data) : Là file ghi lại cấu hình cần thiết để nhận dạng và tiêu diệt worm

Chú ý : Chương trình này mà ko đọc code là chạy ko dc đâu đấy
[Up] [Print Copy]
  [Question]   Re: QuickRemove 11/10/2007 08:34:19 (+0700) | #4 | 89966
[Avatar]
GUN&ROSE
Member

[Minus]    0    [Plus]
Joined: 08/10/2007 01:19:14
Messages: 8
Location: Đất Mẹ
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]
Hôm wa sau khi đọc bài của dung_coivb về phần mềm mới thấy rhương và cảm phục wá thấy phần mềm cũng hay nhưng vẫn còn nghi ngờ nên lê google tìm thì biết được đó là phần mềm diệt virut.Nhưng nghĩ lại" ta về ta tắm ao ta"ủng hộ xem coi bác dung_coi như thế nào smilie) Mình down về giải nén rồi chờ đợi.... smilie chẳng thấy gì ngoài một bảng tnông báo lỗi gì đó mình khôngđể ý(lúc đó bận việc) có thấy fasthelper báo có sự thay đổi trong systerm32, chẳng có gì smilie) hì ..hì Một lúc sau khi shutdown máy không cho, retart cung khg luôn??Một hồi sau mình shutdown dc.Sáng hôm sau mình mở máy smilie smilie khi vô tới win màn hình trống trơn chỉ với cái hình nền desktop minh mở task manager mình phát hiện ra hai con quỉ con:
DC.exe
Fun.exe
Mình vo safemod cung vẫn màn hình đen ngòm.cũng chẳng làm a7n gì dược taskmanager cũng thấy haicon quỉ đó.Lùc này các bạn biết ai là chủ nhân rồi chứ gì smilie smilie Bay giở mình xử nó.Trước tiên mình lôi đầuhai con quỉ dó ra lấy ong vò vẽ chích vào mông tụi nó(end process)nhưng tụi nó cứng đầu wá..đành bó tay sao :?smilie
smilie Cuối cùng mình lấy độc trị độc máy mình lại chạy phà phà. smilie)
warning:bà con cẩn thận coi chừng gặp quỉ dữ mang gương mặt thiên thần. smilie)
Note:Có bác mod nào ở đây cảnh cáo dung_coivb theo điều 7 bộ luật HVA.hề ..hề
[Up] [Print Copy]
  [Question]   Re: QuickRemove 11/10/2007 10:49:34 (+0700) | #5 | 89989
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Người post bài này đâu phải dân lương thiện gì đâu bạn. Nếu bạn hơi thật thà một chút, chạy cái file đó lên, bạn sẽ dính
cái con gì đó. Người post cố ý nói có con worm bên trong, nhưng anh ta vẫn vi phạm nội phát tán malware của forum.
Hy vọng các mod có biện pháp trước những kiểu cách post này. Bà con cũng rút kinh nghiệm, kiểm tra bất kỳ các link mà bà con khác "share" trên forum, web thông tin... Chủ đề này chỉ là một cái show off "tài lẻ" của một anh sinh viên/học sinh thôi bạn. Đừng quá tin tưởng rồi mang họa. Kết quả quét online vẫn quét dính con worm đó.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: QuickRemove 11/10/2007 12:06:08 (+0700) | #6 | 90001
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
hình như em chỉ có sự "nhiệt tình" của tuổi trẻ mà không có suy nghĩ hả Dũng ?
Cái câu này không đúng với em nhưng anh nhắc để em không vấp phải:
Nhiệt tình + Ngu dốt = Phá hoại

Em cứ làm làm làm mà không chịu phân tích:
1. Tính hiệu quả của nó ra sao
2. Làm đến nơi đến chốn hay cái gì cũng nửa vời, không ra hồn. Nát bét

Giờ tới cái chương trình của em đây:
Process
Mục này chắc để dành kill process
Registry
Dùng để xoá khoá registry
Delete
Dùng để delete file

Cái này có khác gì là người dùng update dữ liệu về virus rồi gởi tới cho hãng diệt virus ?
Có 2 problems sẽ xuất hiện trong cách này:
1. Nguồn dữ liệu có đáng tin cậy để sử dụng không
2. Nếu malware tự thay đổi filename, registry thì làm thế nào ? Đâu phải lúc nào nhất thiết cũng phải là c:\windows\system\fun.exe ? Nếu là random name thì thế nào
3. Nếu thư mục Windows không phải là c:\windows mà là c:\winnt thì thế nào ?

Kết luận: Bỏ.

PS: Nếu em định làm gì đến nơi đến chốn. Có giá trị và tâm huyết thì hãy làm. Đừng để mọi người phải test những cái soft "nửa vời" của em nữa. Tốn thời gian của mọi người smilie
[Up] [Print Copy]
  [Question]   Re: QuickRemove 11/10/2007 13:26:09 (+0700) | #7 | 90013
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Sẵn đây trả lời cho DungCoi về 2 topic luôn:

1. Giải mã FastHelper:
Nguồn: http://www.toantin.org/forums/index.php?showtopic=5729

Hè hè, kết quả mang lại không hề tệ. Dũng còi đã tìm ra thuật toán mã hóa của FH (Hix hix, bác Hoàng hết ti toe nhé)
 

DungCoi thử nhập chuỗi sau đây rồi mã hoá coi FastHelper có đọc đúng không: LeVuHoangLeVuHoangLeVuHoangLeVuHoang
hoặc chuỗi: C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
Rồi thử kết quả xem smilie ?

Không biết reverse engineering thì xác suất "mò" như thế này hiếm khi trúng.

2. Tại sao không dùng cách "sài được" là nhận dạng icon?
Như ta đã biết, một icon cũng chính là 1 hình bitmap có nhiều màu sắc và kích thước khác nhau. Ma trận của icon thường được sử dụng là 32x32 và mỗi giá trị pixel chứa một màu được quy định trước. Chỉ cần dùng lại icon cũ, đổi 1 điểm (pixel) thành màu khác có nghĩa là icon đã khác rồi mặc dù người dùng khó có thể nhận ra bằng mắt thường.

Không biết đã hài lòng DungCoi chưa smilie ?
[Up] [Print Copy]
  [Question]   Re: QuickRemove 11/10/2007 21:20:04 (+0700) | #8 | 90043
L0ng3ta
Locked

[Minus]    0    [Plus]
Joined: 17/09/2002 13:47:43
Messages: 264
Location: Địa cầu
Offline
[Profile] [PM]
Mặc dù em bé còn thiếu niên như khả năng PR rất tốt, anh có lời khuyên nữa cu học xong rồi tốt nghiệp đừng theo nghiệp IT, đổi nghề đi, bán keo bãy chuột coi bộ có ăn hơn đó:

"Keo bẫy chuột, một loại hóa chất mà không có một thứ gì so sánh đươc ... "

Đùa tí thôi cu Dung_coi à, nói chung cu nên coi lại một chút, cái gì làm ra chưa tới đâu thì đừng quá bô bô lên như thế. Nào là giải phát tuyệt vời, ý tưởng độc đáo. Hãy học hỏi thật nhiều từ những kinh nghiệm người đi trước mà rút kết cho bản thân mới khá nổi. smilie) smilie), đừng suốt ngày vào ba cái như planet-source-code vớ được mớ source nào về rồi hí hoáy làm theo nhưng nền tảng thì chẳng có gì. Anh nói thiệt cho cu những thứ như ba cái diệt virus với trojan với virus gì chứ source VB thì cả kho. Điều quang trọng là mình đọc source người ra mình rút ra được những gì chứ không phải đọc source của người ta rồi cứ bê nguyên xi như thế thì hơi nhạt đấy smilie) , cũng đừng nên tự mình viết virus rồi tự mình đứng ra viết chương trình diệt nó rồi công bố "khắp thiên hạ" thì hơi bị nhàm.
[Up] [Print Copy]
  [Question]   Re: QuickRemove 12/10/2007 09:38:36 (+0700) | #9 | 90202
dungcoi_vb
Member

[Minus]    0    [Plus]
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
[Profile] [PM]
1. Em đã nói rõ trong bài viết (Có virus kèm theo, và để tránh nhầm lẫn của người dùng mà vô tình ấn nhầm vào, em đã để rõ luôn cái tên RealWorm và nén lại ) ?
2. Em chỉ viết để test nhanh coi mình có làm dc cái dạng này ko (Còn dạng Radom name em định làm cái nhận theo mã SHA, nhưng lười nên ko code thêm)

3. Cách nhận dạng icon em đã nói luôn trong mấy bài viết trước, "Ko có tương lai".Ok

Cách em còn lại Ok, right
[Up] [Print Copy]
  [Question]   Re: QuickRemove 12/10/2007 11:20:49 (+0700) | #10 | 90220
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

2. Em chỉ viết để test nhanh coi mình có làm dc cái dạng này ko (Còn dạng Radom name em định làm cái nhận theo mã SHA, nhưng lười nên ko code thêm)
 

cách này cũng vô ích, MD5, SHA chỉ hữu dụng khi dữ liệu không thay đổi. Nếu malware thêm 1 vài space ở cuối file thì kết quả hash cũng đã khác rồi smilie
[Up] [Print Copy]
  [Question]   Re: QuickRemove 13/10/2007 00:47:53 (+0700) | #11 | 90309
dungcoi_vb
Member

[Minus]    0    [Plus]
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
[Profile] [PM]



:?smilie
[Up] [Print Copy]
  [Question]   Re: QuickRemove 13/10/2007 01:51:42 (+0700) | #12 | 90319
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Đã bảo rồi, sao mà cứng đầu quá ko chịu nghe vậy ta smilie).
Người ta là sử dụng thuật toán chứ không phải 2 cái maps đối chiếu như vậy, mệt ghê.
[Up] [Print Copy]
  [Question]   Re: QuickRemove 13/10/2007 08:04:45 (+0700) | #13 | 90377
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Bó tay với cái cậu Dungcoi, kiến thức gom nhặt trên Internet, làm lung tung những cái trò bậy bạ.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|