banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: bolzano_1989  XML
Profile for bolzano_1989 Messages posted by bolzano_1989 [ number of posts not being displayed on this page: 0 ]
 
Tốt nhất là bạn dùng một live boot cd để copy file vào ổ đĩa di động.
Tìm cách lấy file gửi lên mới có người xem cho bạn chứ.

dhn46 wrote:
Vâng, cảm ơn bạn. Tôi đã sử dụng bản portable rồi và dường như tất cả các bản portable đều bị chặn. Thiết nghĩ hệ thống không đủ khả năng kiểm soát nên mới cấm. Dùng Chrome hay 7Zip cũng là phần mềm Free mà. Các ah chị em có giải pháp nào mong nhận được sự giúp đỡ
Tks! 


Tôi đã nói rồi, bạn cần xác định cách thức mà phần mềm ở cty nhận diện và chặn các phần mềm portable bạn cần dùng.
Bạn cần xác định cách thức mà phần mềm ở cty nhận diện và chặn các phần mềm portable bạn cần dùng.

Bạn đã thử dùng bản command line của 7-Zip chưa?
Google Chrome Portable:
http://portableapps.com/apps/internet/google_chrome_portable
download.com.vn không liên quan gì đến trang download.com của CNET uy tín, mọi người cần cẩn trọng, tốt nhất là tìm đến trang chủ của phần mềm để tải về, đừng vào mấy trang trung gian của mấy ông Việt Nam.
Chưa xem file bạn gửi nhưng theo triệu chứng bạn miêu tả thì tui biết đây là dòng lây file Ramnit.
Có đấy bạn smilie .
http://www.nguyenthihoi.com/Bai%20giang%20ATBM%20TT%20DN%20Khoa%20S/Yeu%20cau%20thao%20luan%20mon%20ATBMTT%20Doanh%20nghiep.doc

Theo tôi, bạn nên hỏi cô chi tiết về đề tài để hiểu rõ hơn về đề tài. Cô của bạn có cho email liên lạc đó, bạn thử liên hệ cô xem.
download.com.vn không liên quan gì đến trang download.com của CNET, bà con cần cẩn trọng, tốt nhất là tìm đến trang chủ của phần mềm để tải về, đừng vào mấy trang trung gian của mấy ông Việt Nam.
Tôi xem nhanh qua các log bạn elt0m thì thấy cần thu thập những file độc hại sau từ bạn elt0m hay bất cứ bạn nào có các file này trên máy tính:
C:\Windows\Installer\MSIDC92.tmp
%AppData%\HTML Help\help.dat
%Temp%\tmp2349230A98.tmp
%SystemRoot%\system32\c6to4.dll
%SystemRoot%\system32\wbem\rdpuser.mof
%UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\drwtsn32.exe
%UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\DrWatson.dll
%UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\DrWatson.cfg
%ProgramFiles%\Common Files\microsoft shared\Stationery\cversions.2.db
%SystemRoot%\inf\ndiscap64.inf
%SystemRoot%\CSC\Starter.xml
%AppData%\Mozilla\profile.ini
%AppData%\Microsoft\Office\OrgDB01.pip

Một số file lạ, có thể chứa mã độc hại:
C:\Windows\Twunk001.MTX
C:\Windows\Twain001.Mtx
C:\Windows\UAExcel.dll
C:\Windows\UWeb.exe
C:\Windows\UAWord.dll
C:\Windows\UAPoint.dll
C:\Windows\UCode.dll
C:\Windows\System32\unrar.dll
C:\Windows\unins000.exe
C:\Windows\unins000.dat

Các file có dạng sau cũng cần được thu thập:
Các file có phần mở rộng file là .tmp trong thư mục %Temp% (trong trường hợp ở máy bạn là: C:\Users\Administrator\AppData\Local\Temp )

Thư mục ẩn sau cũng cần được thu thập:
C:\EQTKA
[2012/04/07 23:33:51 | 000,377,269 | RHS- | C] () -- \EQTKA

Người nước ngoài cũng nhiễm virus của stl, cũng có biểu hiện như chủ topic:
http://www.hackforums.net/showthread.php?tid=2833850
Theo log được gửi ở link diễn đàn hackforums.net trên thì cách đây 1 tuần, file này vẫn còn hoạt động liên tục mỗi lần máy tính được khởi động:
http://pastebin.com/HeJrdu7N
SRV - [2009-11-06 20:24:22 | 000,116,224 | --S- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\c6to4.dll -- (Irmon) 


Theo tôi thì việc gửi các log public lên forum thế này đã đánh động đám stl và chúng đã tiến hành xóa dấu vết rồi.
Đây cũng là lí do mà bạn khi chạy TCPView thì không còn thấy process explorer.exe connect đến các IP lạ ở trên nữa. Trong tình hình stl đã kịp tẩu thoát, có lẽ chỉ còn hi vọng có ai đó đã lưu ảnh đĩa và có thể trích xuất các file trên ra được để điều tra tiếp thôi.

@elt0m: Từ giờ về sau khi được mình yêu cầu gửi log thì bạn chỉ nên gửi log cho mình và anh TQN thôi.
Từ giờ về sau, mình cũng sẽ yêu cầu gửi log chỉ cho riêng mình và anh TQN cũng như gửi hướng dẫn lấy mẫu cho riêng từng người (không gửi public ở forum nữa) khi có dấu hiệu của virus do đám stl viết.

Khi chạy Internet Explorer, bạn sẽ thấy trang chủ là 1 trang web của Tàu: http://www.2345.com/?751
Bạn có biết từ trước đến giờ đã có những phần mềm có nguồn gốc liên quan đến Trung Quốc được cài đặt ở máy tính này không?
Lần này thì CRIME Attack chắc chắn sẽ là một trong những lí do chính để bà con đến với TetCon 2013 smilie .

Full Disclosure: ekoparty Security Conference and Trainings - 8th edition
http://seclists.org/fulldisclosure/2012/Sep/30
elt0m, 1 khả năng có thể xảy ra là nhóm người biết mà không quen thấy động nên muốn lẫn trốn đó. Những file log nên được gửi riêng cho mình thay vì gửi public vì cơ bản cũng chỉ có mình xem cho bạn, nếu có vấn đề gì đáng chú ý, mình sẽ gửi log public lên diễn đàn.

Một điều quan trọng khi thực hiện malware forensics là cần lưu ảnh đĩa của ổ đĩa hệ điều hành đang bị lây nhiễm phần mềm độc hại, việc này nên được thực hiện nếu bạn không thiếu dung lượng ổ cứng để lưu ảnh đĩa bằng các chương trình (Ghost,...), khi thực hiện việc này thì nhóm tội phạm mạng đó không thể xóa dấu vết ở máy tính của bạn đi được.

Việc restore máy ngay mà không điều tra là không nên vì sẽ làm mất dấu vết và mất đi cơ hội biết được mức độ ảnh hưởng đến dữ liệu, thông tin cá nhân của bạn trên máy tính do phần mềm độc hại gây ra.
Chào bạn elt0m, bạn hãy thực hiện từng bước một theo đúng tuần tự và chuẩn xác các bước sau, có gì khó khăn cứ nói nhé, nhiều hôm nay bận nhưng mình sẽ theo vụ này đến cùng. Bọn này ngày càng tinh vi. Từ giờ trở đi, ở chủ đề này, khi được yêu cầu scan để lấy log với các công cụ, bạn vui lòng đổi tên file .exe công cụ thành tên iExplore.exe hoặc firefox.exe trước khi chạy file với quyền administrator.

Thực hiện tắt các chương trình giả lập CD với DeFogger theo hướng dẫn sau:
http://support.cmclab.net/vn/index.php?topic=6533.0

Thực hiện scan và gửi log Rootkit Unhooker, RootRepeal, GMER cho mình theo đúng trình tự các hướng dẫn sau:
Hướng dẫn scan và gửi log Rootkit Unhooker:
http://support.cmclab.net/vn/index.php?topic=6527.0
Hướng dẫn scan và gửi log RootRepeal:
http://support.cmclab.net/vn/index.php?topic=6372.0
Hướng dẫn scan và gửi log GMER với tên file ngẫu nhiên:
http://support.cmclab.net/vn/index.php?topic=6422.msg33887#msg33887

Sau đó khởi động lại máy tính rồi scan và gửi log OTL, boot log với Process Monitor cho mình theo các hướng dẫn sau:
Hướng dẫn scan và gửi log OTL:
http://support.cmclab.net/vn/index.php?topic=6593.0
Hướng dẫn scan và gửi boot log với Process Monitor:
http://support.cmclab.net/vn/index.php?topic=7636.0
Bạn nên chụp ảnh hoặc quay video cho bà con xem thử.
elt0m làm theo yêu cầu trong tin nhắn của mình gửi bạn hôm qua nhé.
Khả năng lớn là gặp lại nhóm người biết mà không quen.
Bạn tạm thời dừng các hoạt động quét và diệt virus với các phần mềm tìm và diệt virus tự động cho đến khi mình điều tra xong nhé. Ngoài ra ở máy tính đang dùng này, bạn đừng đăng nhập các tài khoản online quan trọng.

Trong trường hợp này, bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau:

Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/index.php?topic=7637.0

Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/index.php?topic=7918.0

Hướng dẫn scan và gửi log TCPView
http://support.cmclab.net/vn/index.php?topic=7620.0
Bạn có thể dùng IDA Pro.
Event này bình thường, xuất hiện khi 1 user trong mạng truy cập 1 tài nguyên được chia sẻ qua mạng của server này (chia sẻ file, chia sẻ máy in).

Sử dụng khóa registry sau nếu bạn muốn giới hạn truy cập anonymous:
RestrictAnonymous: Core Services
http://technet.microsoft.com/en-us/library/cc783167(v=ws.10).aspx
Bạn gửi file chứa trojan đó lên thì mọi người mới coi được.
Lạ thật, sau bấy nhiêu rắc rối mà bạn vẫn dùng Bkav free (?) gì đó à?
Nếu là tui thì sẽ gỡ cái của nợ đó ra ngay và đặc biệt là xóa bỏ đống rác của Bkav còn lại trong máy tính.
Khởi động lại máy, rồi thử vào lại web, scan và đọc log (Wireshark,...).
Thử dụng trình duyệt Firefox portable tải từ máy khác xem có vào được Internet không.

vudinhhoc wrote:
Hiện này em thấy nhiều phần mềm sử dụng khoá cứng để bảo vệ phần mềm,các anh cho em hỏi có biện pháp nào để crack phần mềm đã dùng khoá cứng đó không ạ ? 


Mình nghĩ bạn nên miêu tả cụ thể:
Bạn đã định hình rõ mục tiêu crack dongle này của bạn là gì chưa? Hiện thời bạn đã nắm trong tay những gì liên qua đến phần mềm sử dụng dongle đó rồi?

xuanphongdocco wrote:
Khoá cứng là cái gì vậy bác? Có liên quan đến Việt-Tiệp không? 

Software protection dongle - Wikipedia, the free encyclopedia
http://en.wikipedia.org/wiki/Software_protection_dongle
Lên Google search có đầy, bạn gặp khó khăn gì sao?
Làm sao phát hiện và xóa vết trong trường hợp malicious proxy và malicious TOR node? Bạn nào dùng TOR hay các loại proxy cần chú ý trường hợp sau:

Owning "bad" guys {and mafia} with Javascript botnets:
https://media.blackhat.com/bh-us-12/Briefings/Alonso/BH_US_12_Alonso_Owning_Bad_Guys_Slides.pdf
http://media.blackhat.com/bh-us-12/Briefings/Alonso/BH_US_12_Alonso_Owning_Bad_Guys_WP.pdf
Theo mình hiện tại bạn nên tắt hẳn (disable) plugin Uploadify đi. Plugin này đang có lỗ hổng bảo mật, bạn nên chờ đến khi có bản cập nhật đã vá lỗ hổng đã được phát hiện này rồi cập nhật và dùng lại plugin này nếu cần.

Uploadify, Uploadify and Uploadify – The New TimThumb? | Sucuri
http://blog.sucuri.net/2012/06/uploadify-uploadify-and-uploadify-the-new-timthumb.html

WordPress modules holed by Uploadify - The H Security: News and Features
http://www.h-online.com/security/news/item/WordPress-modules-holed-by-Uploadify-1626030.html

WordPress Exploit Alert: Uploadify.php » IT Pixie | Your Personal IT Helper
http://itpixie.com/2012/06/wordpress-exploit-alert-uploadify-php/#.UB04SU3iZcQ
Bạn chụp cái ảnh lên xem.
Phân tích hộ (??), bạn nhờ người khác phân tích mà không cho biết là bạn cần những kết quả phân tích về nội dung gì?

computerline wrote:
Bạn nào có cuốn The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities có thể cho mình xin link tải được không ?

Cảm ơn các bạn ! 


Index of /~zahhar.kirillov/andmeturve
Bạn chủ topic phải tự xác định nguyên nhân dẫn đến registry bị hỏng.
This error is a sign that the registry has become corrupt. This usually happens because of an interruption of the power supply at the time when Microsoft® Windows® was accessing Registry files. This issue may also be caused by Windows® XP (first release) bugs. 


Bạn nên tham khảo 2 link sau:
How to recover from a corrupted registry that prevents Windows XP from starting
http://support.microsoft.com/kb/307545
How to resolve Microsoft® Windows® XP '\WINDOWS\SYSTEM32\CONFIG\SYSTEM' errors
http://www.rm.com/Support/TechnicalArticle.asp?cref=TEC210734
Không có chuyên gia nào dọn sẵn cho bạn đâu.

AutoIt
http://www.autoitscript.com/autoit3/docs/

chiro8x wrote:

Đang tính viết lại đây ! mà lười quá ! giờ lại cài window à =.=! hồi trước mình viết trên windows xp sp2. Compile với TASM32. 


Vui cho bớt căng thẳng ở topic này chút thôi chiro8x không cần cài Windows đâu smilie , mình đã tạo được một file .exe như bạn chiro8x miêu tả bằng NASM, khi chạy sẽ tạo một message box, nếu dùng Dependency Walker thì sẽ không thấy User32.dll cũng như bất cứ thư viện liên kết động nào khác được import nhưng khi chạy file .exe trong Windows, nếu xem bằng Process Explorer của Sysinternals thì sẽ thấy các DLL này (User32.dll, kernel32.dll,...) được ánh xạ vào không gian địa chỉ của chương trình đang chạy. Mình cũng phải tìm địa chỉ cơ sở của DLL nếu theo đường này.
=> confirm ý của chiro8x.

Bạn MinhHung1122 hình như bị lạc đề khi đề cập về kernel32.dll, ntdll.dll do chủ topic đã ghi rõ "file dll này riêng, không phải của máy".

Quay lại câu hỏi của chủ topic là "làm thế nào để chương trình chính bỏ gọi một file dll - file dll này riêng, không phải của máy và không phát sinh lối khi bỏ gọi", theo ý của mình bạn có thể xóa cấu trúc IMAGE_IMPORT_DESCRIPTOR (của DLL được gọi) trong Import Directory và để không gặp lỗi bạn có thể xóa các lệnh gọi hàm được import từ DLL trên trong file .exe. Nhưng như vậy vẫn có thể gặp các lỗi nội tại khác của chương trình do bạn đã patch các lời gọi hàm trên, bạn cần tiếp tục điều chỉnh.

Mình thấy nếu bạn chủ topic không tìm hiểu chuyên sâu về mảng này thì bạn chắc chắn không làm được đâu, cũng không có ai chỉ rõ tường tận cho bạn như bạn đề nghị "phân tích rõ" được. Đã vào Reverse Code Engineering thì không thể lấy lý do "không chuyên IT" để lười tự thân tìm hiểu được smilie .
 
Go to Page:  First Page Page 1 3 4 5 Page 6 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|