banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: canon  XML
Profile for canon Messages posted by canon [ number of posts not being displayed on this page: 0 ]
 
Cái này chỉ thực hiện thành công trên win xp mà thôi. Không thực hiện được trên các hđh khác

tmd wrote:
Người post cái log này hỏi cái nào "xấu" đã dính vào máy.

Đọc tut của Hijackthis để biết chi tiết cấu trúc log.Bà con nên coi mấy cái process bình thường của windows, từng chử một. Để phân biệt với các process nhái . Ví dụ như svhost hay svohost .v.v . Các soft bình thường mình hay dùng như Yahoo Messenger, IDM, flashget,Yahoo toolbar....


Code:
C:\WINDOWS\system32\adirss.exe
C:\WINDOWS\system32\lnwin.exe


Bình thường ít có software nào chêm .exe vào system32. Cũng hiếm soft chêm .dll vào chổ này.

Bà con có thể search google để biết chi tiết 2 cái .exe đó. Tụi này đều là trojan. Sau đó vào registry search theo tên file,thông tin từ internet để biết thêm vài thứ có liên quan. Đừng search ngoài explorer, search ngoài đó làm sinh key trong registry, mất công vô ích.

Code:
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\STARDO~1\SDIEInt.dll

Cái dòng này để (no name) có thể thông tin registry về software này tiêu tùng rồi. Bạn search nó trên google luôn.

Code:
O4 - HKLM\..\Run: [sysinter] C:\WINDOWS\system32\adirss.exe
O4 - HKLM\..\Run: [lnwin.exe] C:\WINDOWS\system32\lnwin.exe


Hai cái key này của 2 con trojan, giúp cho nó chạy. Bà con có thể làm quen với cách rút gọn đường dẫn registry đó.

Code:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll


Dòng này để no name, nhưng bạn có thể nhìn vào đường dẫn, tên file để biết thêm thông tin.

Code:
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll


Cái này là cảnh báo windows không có bản quyền.

Một số malware không bộc lộ gì để bị Hijackthis bắt thông tin , như rootkit hoặc ngay cả vài loại lợi dụng hole của microsoft(IE).


 

Những kinh nghiệm này rất bổ ích. Bác cho chúng em một số kinh nghiệm khi phân tích log nữa với không ạ. Đây chỉ là một trường hợp trong rất nhiều trường hợp. Bác cho bọn em một số kinh nghiệm nữa được không ạ

tmd wrote:
Người post cái log này hỏi cái nào "xấu" đã dính vào máy.

Đọc tut của Hijackthis để biết chi tiết cấu trúc log.Bà con nên coi mấy cái process bình thường của windows, từng chử một. Để phân biệt với các process nhái . Ví dụ như svhost hay svohost .v.v . Các soft bình thường mình hay dùng như Yahoo Messenger, IDM, flashget,Yahoo toolbar....


Code:
C:\WINDOWS\system32\adirss.exe
C:\WINDOWS\system32\lnwin.exe


Bình thường ít có software nào chêm .exe vào system32. Cũng hiếm soft chêm .dll vào chổ này.

Bà con có thể search google để biết chi tiết 2 cái .exe đó. Tụi này đều là trojan. Sau đó vào registry search theo tên file,thông tin từ internet để biết thêm vài thứ có liên quan. Đừng search ngoài explorer, search ngoài đó làm sinh key trong registry, mất công vô ích.

Code:
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\STARDO~1\SDIEInt.dll

Cái dòng này để (no name) có thể thông tin registry về software này tiêu tùng rồi. Bạn search nó trên google luôn.

Code:
O4 - HKLM\..\Run: [sysinter] C:\WINDOWS\system32\adirss.exe
O4 - HKLM\..\Run: [lnwin.exe] C:\WINDOWS\system32\lnwin.exe


Hai cái key này của 2 con trojan, giúp cho nó chạy. Bà con có thể làm quen với cách rút gọn đường dẫn registry đó.

Code:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll


Dòng này để no name, nhưng bạn có thể nhìn vào đường dẫn, tên file để biết thêm thông tin.

Code:
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll


Cái này là cảnh báo windows không có bản quyền.

Một số malware không bộc lộ gì để bị Hijackthis bắt thông tin , như rootkit hoặc ngay cả vài loại lợi dụng hole của microsoft(IE).


 

Những kinh nghiệm này rất bổ ích. Bác cho chúng em một số kinh nghiệm khi phân tích log nữa với không ạ. Đây chỉ là một trường hợp trong rất nhiều trường hợp. Bác cho bọn em một số kinh nghiệm nữa được không ạ
Mình là một client muốn gửi gói tin tới 1 địa chỉ B nào đó. Mình muốn biết gói tin của mình có bị sniff hay không va nếu bị sniff thì ở tầng nào?

chiro8x wrote:

canon wrote:
Theo bạn thì tầng nào dễ bị sniff nhất? Quá trình chặn bắt gói tin đó nó diễn ra như thế nào? smilie  

Vậy bạn trả lời câu hỏi bạn đứng ở đâu ? sniff cái gì ? 

Mình là một client muốn gửi gói tin tới 1 địa chỉ B nào đó. Mình muốn biết gói tin của mình có bị sniff hay không va nếu bị sniff thì ở tầng nào?
Theo bạn thì tầng nào dễ bị sniff nhất? Quá trình chặn bắt gói tin đó nó diễn ra như thế nào? smilie
Anh có thể nói sơ qua về cơ chế giao thức bị sniff trong OSI cho em với được không ạ. Bọn em đang tìm hiểu về phần này mà chưa biết rõ được cơ chế sniff của nó ntn? A có thể phân tích rõ hơn?
Vấn đề sniff thì chắc có lẽ ai cũng biết đến. Nhưng tìm hiểu sâu về nó thì chắc có lẽ cũng ít người. Bọn em đang làm về đề tài sniff.
Tìm hiểu về các giao thức bị sniff trên các tầng của mô hình OSI 
Mọi người cho em ý kiến đề hoàn thiện hơn cái ạ. Em đang tìm tài liệu về phần các giao thức bị sniff mà không thấy. Mong các pro giúp đỡ
 

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|