English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... how to show dll-injected ?  XML
  [Question]   how to show dll-injected ? 15/08/2008 02:57:35 (+0700) | #1 | 146875
luckylac
Member
[Minus]    0    [Plus]
Joined: 19/08/2004 00:39:12
Messages: 30
Offline
[Profile] [PM]
Mình có câu hỏi về diệt virus bằng tay, mong các cao thủ giúp đỡ...
Trước giờ diệt virus bằng tay theo kiểu vô hiệu hóa việc đăng ký của .exe và .sys để chạy khi khởi động thì ko vấn đề..
Nhưng khi 1 dll được inject vô các process hợp lệ .. như explorer, system, svchost, winlogon... thì rất khó để tìm ra dll đc inject vì số lượng dll mà 1 process sử dụng là rất lớn.. rất khó để compare và tìm ra nghi vấn..
Vậy có cách nào, tool nào có thể show ra các dll được 1 process sử dụng mà ko đăng ký trong resource của process đó hay ko?
- chà .. nói sao nhỉ.. tức là show ra các dll dc inject chứ ko phải do process tự load runtime.....
cái process explorer của sysinternals.com list all dlls .. nhưng ko lọc ra được dll inject...
Về mặt coding.. thì mình nghĩ chắc là ko khó .. khi mà đã list được dll runtime rồi thì list ra dll đăng ký trong resource nữa là compare được... Nhưng hiện tại có tool nào tốt ko...???

Các cao thủ giúp mình nha.... Thanks
[Up] [Print Copy]
  [Question]   Re: how to show dll-injected ? 15/08/2008 10:22:07 (+0700) | #2 | 146970
[Avatar]
 4hfoo
Elite Member
[Minus]    0    [Plus]
Joined: 29/01/2007 01:50:20
Messages: 115
Offline
[Profile] [PM]
Bạn thử load mấy phần mềm dưới đây về thử xem sao:

InjectedDLL
http://www.nirsoft.net/utils/injected_dll.html

Process Guard
http://www.diamondcs.com.au/processguard

Advanced Process Manipulation
http://www.brothersoft.com/advanced-process-manipulation-40655.html

Thân
[Up] [Print Copy]
  [Question]   Re: how to show dll-injected ? 15/08/2008 21:31:42 (+0700) | #3 | 147025
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Injected-dll:
Ví dụ cho con Ckvo



======
Advanced Process Manipulation:
mình thấy nó cũng như bao chtrình show dll khác thôi, chưa hữu dụng lắm.

======

Process Guard :
Haha, cái này hay à.
Với con Ckvo này, chả thấy nó trong Process đâu, vậy mà trình này thấy lồ lộ smilie


PS: Vậy cuối cùng, con Ckvo này núp theo cách nào mà mấy trình coi process (cũng khá pro) kia lại không thấy, mà ProcessGuard nì lại thấy ?

======
Giờ để ý lại mớ dll của 1 số process được thể hiện trong ProcessExplorer của SYS, thấy rõ ràng ckvo0.dll được nó Highlight. Vậy cách này cũng nhận biết được hả ta ??


======

Thanks 4hfoo
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Re: how to show dll-injected ? 15/08/2008 23:10:41 (+0700) | #4 | 147038
congminh923
Member
[Minus]    0    [Plus]
Joined: 26/02/2008 22:35:52
Messages: 278
Location:
Offline
[Profile] [PM] [Yahoo!]
Vậy còn con http://www.google.com.vn/search?hl=en&q=serverx.exe&btnG=Google+Search&meta= thì làm sao? Mình định thử nó nhưng nhớ lại sức phá hoại ghê gớm của nó nên mình không dám thử. Có ai đã thử với nó chưa? (bằng cách dùng các chưa trình mà 4hfoo đã đưa ra)
[Up] [Print Copy]
  [Question]   Opss 16/08/2008 00:28:29 (+0700) | #5 | 147053
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]

congminh923 wrote:
Vậy còn con http://www.google.com.vn/search?hl=en&q=serverx.exe&btnG=Google+Search&meta= thì làm sao? Mình định thử nó nhưng nhớ lại sức phá hoại ghê gớm của nó nên mình không dám thử. Có ai đã thử với nó chưa? (bằng cách dùng các chưa trình mà 4hfoo đã đưa ra) 

Mấy tools trên để hỗ trợ đa phần cho việc "diệt bằng tay" mà bồ.
Diệt bằng tay thì dùng đối với mấy em nào không lây file hoặc lây nhất định 1 số rất ít file nào đó mà thôi.
Tools để hỗ trợ cho việc dò những kĩ thuật "Núp" của mấy ẻm.

Chứ con virus của bồ thuộc dạng lây tùm lum vào file, sao mà diệt bằng tay được.

Tóm lại, một khi dính loại nào mà lây tùm lum vào file số lượng lớn thì phải nhờ đến Soft ANTI rồi, chứ mắt người đâu biết được nó lây file nào, và dù có biết thì làm được gì với số lượng lớn đó.
Họa may thì có thể dùng tools bằng tay để hỗ trợ chút ít cho Anti thôi.
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Re: how to show dll-injected ? 16/08/2008 04:11:26 (+0700) | #6 | 147097
congminh923
Member
[Minus]    0    [Plus]
Joined: 26/02/2008 22:35:52
Messages: 278
Location:
Offline
[Profile] [PM] [Yahoo!]
Hôm trước mình chat với bạn là mình dính con này, bạn bảo mình diệt bằng tay mà. smilie
[Up] [Print Copy]
  [Question]   Re: how to show dll-injected ? 16/08/2008 11:35:12 (+0700) | #7 | 147154
luckylac
Member
[Minus]    0    [Plus]
Joined: 19/08/2004 00:39:12
Messages: 30
Offline
[Profile] [PM]
thanks kìu very nhiều .. giá như nó detect được thằng nào inject vô thì hay nhỉ.....
[Up] [Print Copy]
  [Question]   Re: how to show dll-injected ? 18/08/2008 02:17:15 (+0700) | #8 | 147423
dungcoi_vb
Member
[Minus]    0    [Plus]
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
[Profile] [PM]
Mình dùng soft thông thường là ProcessXP có tính năng Verify Image Sign cũng có thể lọc ra những dll inject. Nhưng tính năng này khá chậm, đôi lúc làm đứng chương trình.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|