<![CDATA[Messages posted by "canon"]]> /hvaonline/posts/listByUser/207958.html JForum - http://www.jforum.net Thiết lập môi trường thử nghiệm Hacking & Security cơ bản /hvaonline/posts/preList/44268/274363.html#274363 /hvaonline/posts/preList/44268/274363.html#274363 GMT Topic phân tích log Hijackthis

tmd wrote:
Người post cái log này hỏi cái nào "xấu" đã dính vào máy. Đọc tut của Hijackthis để biết chi tiết cấu trúc log.Bà con nên coi mấy cái process bình thường của windows, từng chử một. Để phân biệt với các process nhái . Ví dụ như svhost hay svohost .v.v . Các soft bình thường mình hay dùng như Yahoo Messenger, IDM, flashget,Yahoo toolbar.... Code:
C:\WINDOWS\system32\adirss.exe
 C:\WINDOWS\system32\lnwin.exe
Bình thường ít có software nào chêm .exe vào system32. Cũng hiếm soft chêm .dll vào chổ này. Bà con có thể search google để biết chi tiết 2 cái .exe đó. Tụi này đều là trojan. Sau đó vào registry search theo tên file,thông tin từ internet để biết thêm vài thứ có liên quan. Đừng search ngoài explorer, search ngoài đó làm sinh key trong registry, mất công vô ích. Code:
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\STARDO~1\SDIEInt.dll
Cái dòng này để (no name) có thể thông tin registry về software này tiêu tùng rồi. Bạn search nó trên google luôn. Code:
O4 - HKLM\..\Run: [sysinter] C:\WINDOWS\system32\adirss.exe
O4 - HKLM\..\Run: [lnwin.exe] C:\WINDOWS\system32\lnwin.exe
Hai cái key này của 2 con trojan, giúp cho nó chạy. Bà con có thể làm quen với cách rút gọn đường dẫn registry đó. Code:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
Dòng này để no name, nhưng bạn có thể nhìn vào đường dẫn, tên file để biết thêm thông tin. Code:
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
Cái này là cảnh báo windows không có bản quyền. Một số malware không bộc lộ gì để bị Hijackthis bắt thông tin , như rootkit hoặc ngay cả vài loại lợi dụng hole của microsoft(IE).  
Những kinh nghiệm này rất bổ ích. Bác cho chúng em một số kinh nghiệm khi phân tích log nữa với không ạ. Đây chỉ là một trường hợp trong rất nhiều trường hợp. Bác cho bọn em một số kinh nghiệm nữa được không ạ]]>
/hvaonline/posts/preList/7693/274166.html#274166 /hvaonline/posts/preList/7693/274166.html#274166 GMT
Topic phân tích log Hijackthis

tmd wrote:
Người post cái log này hỏi cái nào "xấu" đã dính vào máy. Đọc tut của Hijackthis để biết chi tiết cấu trúc log.Bà con nên coi mấy cái process bình thường của windows, từng chử một. Để phân biệt với các process nhái . Ví dụ như svhost hay svohost .v.v . Các soft bình thường mình hay dùng như Yahoo Messenger, IDM, flashget,Yahoo toolbar.... Code:
C:\WINDOWS\system32\adirss.exe
 C:\WINDOWS\system32\lnwin.exe
Bình thường ít có software nào chêm .exe vào system32. Cũng hiếm soft chêm .dll vào chổ này. Bà con có thể search google để biết chi tiết 2 cái .exe đó. Tụi này đều là trojan. Sau đó vào registry search theo tên file,thông tin từ internet để biết thêm vài thứ có liên quan. Đừng search ngoài explorer, search ngoài đó làm sinh key trong registry, mất công vô ích. Code:
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\STARDO~1\SDIEInt.dll
Cái dòng này để (no name) có thể thông tin registry về software này tiêu tùng rồi. Bạn search nó trên google luôn. Code:
O4 - HKLM\..\Run: [sysinter] C:\WINDOWS\system32\adirss.exe
O4 - HKLM\..\Run: [lnwin.exe] C:\WINDOWS\system32\lnwin.exe
Hai cái key này của 2 con trojan, giúp cho nó chạy. Bà con có thể làm quen với cách rút gọn đường dẫn registry đó. Code:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
Dòng này để no name, nhưng bạn có thể nhìn vào đường dẫn, tên file để biết thêm thông tin. Code:
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
Cái này là cảnh báo windows không có bản quyền. Một số malware không bộc lộ gì để bị Hijackthis bắt thông tin , như rootkit hoặc ngay cả vài loại lợi dụng hole của microsoft(IE).  
Những kinh nghiệm này rất bổ ích. Bác cho chúng em một số kinh nghiệm khi phân tích log nữa với không ạ. Đây chỉ là một trường hợp trong rất nhiều trường hợp. Bác cho bọn em một số kinh nghiệm nữa được không ạ]]>
/hvaonline/posts/preList/7693/274165.html#274165 /hvaonline/posts/preList/7693/274165.html#274165 GMT
Tìm hiểu về các giao thức bị sniff trên các tầng của mô hình OSI /hvaonline/posts/preList/42757/266228.html#266228 /hvaonline/posts/preList/42757/266228.html#266228 GMT Tìm hiểu về các giao thức bị sniff trên các tầng của mô hình OSI

chiro8x wrote:

canon wrote:
Theo bạn thì tầng nào dễ bị sniff nhất? Quá trình chặn bắt gói tin đó nó diễn ra như thế nào? :)  
Vậy bạn trả lời câu hỏi bạn đứng ở đâu ? sniff cái gì ? 
Mình là một client muốn gửi gói tin tới 1 địa chỉ B nào đó. Mình muốn biết gói tin của mình có bị sniff hay không va nếu bị sniff thì ở tầng nào?]]>
/hvaonline/posts/preList/42757/266226.html#266226 /hvaonline/posts/preList/42757/266226.html#266226 GMT
Tìm hiểu về các giao thức bị sniff trên các tầng của mô hình OSI /hvaonline/posts/preList/42757/266172.html#266172 /hvaonline/posts/preList/42757/266172.html#266172 GMT Tìm hiểu về các giao thức bị sniff trên các tầng của mô hình OSI /hvaonline/posts/preList/42757/265852.html#265852 /hvaonline/posts/preList/42757/265852.html#265852 GMT Tìm hiểu về các giao thức bị sniff trên các tầng của mô hình OSI Tìm hiểu về các giao thức bị sniff trên các tầng của mô hình OSI  Mọi người cho em ý kiến đề hoàn thiện hơn cái ạ. Em đang tìm tài liệu về phần các giao thức bị sniff mà không thấy. Mong các pro giúp đỡ]]> /hvaonline/posts/preList/42757/265835.html#265835 /hvaonline/posts/preList/42757/265835.html#265835 GMT