..::Cộng Đồng Teen Việt::..
Chào mừng bạn đến với diễn đàn Vboy.4rumer.net Chỉ có thành viên của Vboy.4rumer.net mới có thể xem được toàn bộ liên kết bên trong. Chúc các bạn có 1 nơi giải trí thật lành mạnh dành cho tuổi teen !!!
Vui lòng ĐĂNG NHẬP để xem tiếp. Hoặc ĐĂNG KÝ MỚI





IndexCalendarTrợ giúpTìm kiếmThành viênĐăng kýĐăng Nhập




Copyright © 2008-2009 vboy.us.to . All rights reserved

Share|
Tiêuđề

Kinh nghiệm phát hiện Keylogger

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down
Tác giảThông điệp

Mr.Bi
Thành Viên Thân Thiết

Yahoo vboymaster Bài gửi Bài gửi : 2223
Gold Gold : 2093352
Birthday Birthday : 29/05/1989
Join date Join date : 18/06/2009
Age Age : 27

Tài năng của Mr.Bi Người này hiện đang:
Level: Thành Viên Thân Thiết
Danh vọng:2223%/%
Tài năng:27%/100%

Bài gửiTiêu đề: Kinh nghiệm phát hiện Keylogger Tue Nov 17, 2009 1:47 pm

Mình share một ít kiến thức về phát hiện Keylogger nhé

Các chương trình sử dụng :

* Process Explorer
* MsConfig (có sẵn trong Windows)
* RegEdit (có sẵn trong Windows)



Phần I : Các chương trình chạy lúc khởi động :
Hầu hết các máy đều có nhiều chương trình được chạy lúc khởi động ( VD : Yahoo, Skype, MSN ...) ...
Bạn có thể dùng MsConfig để xem có bao nhiêu chương trình, services đang chạy trên máy ...


Theo mình nghĩ bạn nên tắt hết những chương trình đang chạy đi, trừ những cái thật sự cần thiết ....

Phần II : Registry - địa chỉ những chương trình chạy lúc khởi động :
Đường dẫn các chương trình được khởi động cùng máy sẽ nằm ở 3 chỗ : Startup Menu và Registry và Group Policy (gpedit.msc - mình không đề cập đến Group Policy ở phần này do các chương trình KeyLogger không sử dụng phương pháp này) ... danh sách những nơi trong Registry chứa các chương trình cày lúc khởi động :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnceEx
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunService
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\Windows -> load

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnceEx
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunService
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Shell
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Windows -> AppInit_DLLs
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\WinLogin -> Shell

Phần III : Cơ bản về KeyLogger, điển hình Perfect Keylogger : Bản thân Keylogger không phải là một chương trình có sức hấp dẫn đối với nạn nhân, do đó hacker sẽ đính kèm Keylogger vào một chương trình gì đó để "dụ dỗ" nạn nhân. Đặc điểm của những chương trình bị nhiễm Keylogger là bạn chạy chương trình ở chỗ này, nhưng lại thấy nó ở chỗ khác

õ ràng chương trình của mình trong C:\Documents and Settings\User\My Documents\Azn AutoLogin

Nhưng sau khi chạy nó lại nằm trong thư mục Temp nào đó, chứng tỏ có Keylog mad2.gif (Hình trên là mình dùng Process Explorer )

Do đa số chương trình đều không phải là một file đơn lẻ (ví dụ AutoPlay cần thêm file Hook ...) mà chức năng đính kèm của Perfect Keylogger lai chỉ có 1 file, để chương trình vẫn có thể chạy bình thường, hacker sẽ dùng một số chương trình Join nhiều file lại với nhau (mình thấy đa số ở VN dùng WinRAR Self-Extractor hoặc WinZIP, đặc điểm là khi click chuột phải vào sẽ có một context menu là "Extract ..."

Phần IV : Process Explorer : Bản thân Windows cũng có sẵn chương trình Task Manager nhưng nó thật sự là cùi mía (không hiển thị đường dẫn chương trình đang chạy, không kill
được những chương trình mạo danh svchost, csrss, smss .... một số chương trình lại ẩn được trên Task Manager ) Mình thường dùng Process Explorer thay cho Task Manager để xem chương trình nào đang chạy trên máy, cái nào không cần thiết thì cứ tắt nó đi cho nhẹ máy jeje.gif

Để dùng Process Explorer bạn phải học cách phân biệt giữa những Process của hệ thống và Process của người dùng ... hình trên bạn sẽ thấy nó phân biệt rõ ràng 2 phần là System và Explorer, đa số Keylog đều không nằm trên phần System mà ở dưới Explorer (trừ một số Keylog Made In China mình thấy trên System, kèm theo Guard nữa, kill không được
sad.gif ) Ở dưới phần Explorer là danh sách các chương trình đang chạy, nếu bạn thắc mắc không biết nó là cái gì thì có thể click chuột phải vào, chọn Window->Bring to Front để xem nó là gì

Nếu không có menu Bring to Front có nghĩa là nó đang chạy ẩn không có giao diện .... tốt nhất là bạn cứ tắt nó đi happy.gif
Sau một thời gian tìm hiểu, bạn sẽ biết chương trình nào cần giữ lại, chương trình nào cần tắt






Hãy cảmơn bài viết của Mr.Bi bằng cách bấm vào "" nhé!!!

Về Đầu Trang Go down

http://vboy.4rumer.net/

Tiêuđề

Kinh nghiệm phát hiện Keylogger

Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang
Trang 1 trong tổng số 1 trang
.::Host up ảnh miểnphí: Clickhere! - Hướng dẩn sử dụng Diễn đàn:Clickhere!::.
Permissions in this forum:Bạn không có quyền trả lời bài viết
..::Cộng Đồng Teen Việt::.. :: Thế Giới Học Tập :: Thế Giới IT :: Thủ thuật máy tính-