banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Chống keylogger bằng cách vô hiệu hóa smtp ,ftp ????  XML
  [Question]   Chống keylogger bằng cách vô hiệu hóa smtp ,ftp ???? 23/05/2007 09:35:01 (+0700) | #1 | 61085
concocnho
Member

[Minus]    0    [Plus]
Joined: 24/03/2007 17:44:22
Messages: 21
Offline
[Profile] [PM]
Theo em biết keylogger muốn gởi thông tin nó thu thập được cho chủ của nó thì chỉ có 1 trong 2 cách :
+ Gởi mail bẳng giao thức SMTP
+ upload lên host bằng giao thức ftp
vậy chỉ cần em vô hiệu hóa các giao thức này trên máy là keylogger coi như vô nghĩa nhưng vô hiệu hóa các giao thức này bằng cách nào xin được các anh hướng dẩn cụ thể
[Up] [Print Copy]
  [Question]   Chống keylogger bằng cách vô hiệu hóa smtp ,ftp ???? 23/05/2007 13:46:44 (+0700) | #2 | 61126
[Avatar]
Z0rr0
Q+WRtaW5pc3RyYXRvc+g

Joined: 14/08/2002 12:52:01
Messages: 1323
Location: Underground
Offline
[Profile] [PM] [WWW] [Yahoo!]
Trao đổi giữa các máy trên mạng ko chỉ thông qua SMTP (mail) và FTP (file transfer) đâu em. Còn rất nhiều giao thức và kĩ thuật khác có thể sử dụng để truyền thông tin.
Các dịch vụ mạng như trên đi kèm với software quản lý và sử dụng nó, em tìm hiểu cách bảo mật cho nó là cách tiếp cận dễ dàng nhất.
Hibernating
[Up] [Print Copy]
  [Question]   Chống keylogger bằng cách vô hiệu hóa smtp ,ftp ???? 23/05/2007 22:06:29 (+0700) | #3 | 61169
pnco
HVA Friend

Joined: 24/06/2005 16:33:48
Messages: 515
Offline
[Profile] [PM] [WWW]
Đúng rồi, vậy nếu keylogger nó gửi qua http thì sao, bạn vô hiệu hóa luôn http à, vậy thì nối mạng để làm chi nữa? smilie)
Ở đẳng cấp cao những chương trình độc hại không tự nhiên truyền thông tin khơi khơi sẽ dễ dàng bị phát hiện nên nó tìm cách inject packet vào những chương trình chính thức như iexplore. Vì vậy nếu muốn kiểm soát truyền thông thì nên tìm hiểu về sniffer và phân tích giao thức. Khi đó bạn sẽ có cái nhìn chính xác hơn. Tuy nhiên nếu bạn nghi ngờ máy mình bị nhiễm các chương trình độc hại thì cách tốt nhất là format đĩa cứng và cài lại.
[Up] [Print Copy]
  [Question]   Re: Chống keylogger bằng cách vô hiệu hóa smtp ,ftp ???? 23/05/2007 22:34:34 (+0700) | #4 | 61177
[Avatar]
SuicideBlackMan
Member

[Minus]    0    [Plus]
Joined: 21/04/2007 12:57:57
Messages: 12
Location: BlackWorld
Offline
[Profile] [PM] [Yahoo!]
Không phải ISA có tính năng chặn trên Layer 7 sao. Đó là tính năng chặn Application đó. vd: muốn cấm nó chat bằng port 5050 thì nó đi port 80 proxy, thế thì ta phải cấm 80 luôn ah. phải lên layer 7 cấm chứ, nếu thấy từ ymsgr thì drop packet đó. Nếu cấm SMTP thì bỏ luôn port 25, cấm POP3 thì bỏ luôn port 110, cấm web bỏ 80 thì máy đó khác gì không nối mạng.
Chúng ta thử filter trên layer 7 xem. Khi thấy packet đó đi port 80 chẳng hạn, nhưng trong nội dung có những từ ngữ là những password có trên máy mình thì mình drop ngay. không cho gửi đi tiếp. thế là logic.
Nhưng việc nó gửi Image thì em chưa tính tới. Mong các pro tiếp
[Up] [Print Copy]
  [Question]   Chống keylogger bằng cách vô hiệu hóa smtp ,ftp ???? 24/05/2007 02:10:21 (+0700) | #5 | 61221
[Avatar]
Z0rr0
Q+WRtaW5pc3RyYXRvc+g

Joined: 14/08/2002 12:52:01
Messages: 1323
Location: Underground
Offline
[Profile] [PM] [WWW] [Yahoo!]
Lọc dữ liệu cho các application ở layer 7 cũng ko hiệu quả hoàn toàn.
Vẫn có thể gửi dữ liệu bằng cách tạo socket qua các port ko application nào sử dụng như 12345 hoặc kèm dữ liệu vào vùng reserve của các gói ICMP chẳng hạn.
Nếu muốn filter đàng hoàng thì phải filter cả ở layer 4, 3.

Anh thấy cách tiếp cận tốt nhất là đóng hết, chỉ mở những service mình cho phép sử dụng.
Hibernating
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|