..::Cộng Đồng Teen Việt::..
Chào mừng bạn đến với diễn đàn Vboy.4rumer.net Chỉ có thành viên của Vboy.4rumer.net mới có thể xem được toàn bộ liên kết bên trong. Chúc các bạn có 1 nơi giải trí thật lành mạnh dành cho tuổi teen !!!
Vui lòng ĐĂNG NHẬP để xem tiếp. Hoặc ĐĂNG KÝ MỚI




Trang ChínhCalendarPublicationsTrợ giúpTìm kiếmThành viênĐăng kýĐăng Nhập





Share | 
 

 Kinh nghiệm phát hiện Keylogger

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down 
Tác giảThông điệp
Mr.Bi
General Director
 General Director
avatar

Bài gửi : 2225
Gold : 2094702
Birthday : 29/05/1989
Join date : 18/06/2009
Age : 28

Bài gửiTiêu đề: Kinh nghiệm phát hiện Keylogger   Tue Nov 17, 2009 1:47 pm

Mình share một ít kiến thức về phát hiện Keylogger nhé

Các chương trình sử dụng :

* Process Explorer
* MsConfig (có sẵn trong Windows)
* RegEdit (có sẵn trong Windows)



Phần I : Các chương trình chạy lúc khởi động :
Hầu hết các máy đều có nhiều chương trình được chạy lúc khởi động ( VD : Yahoo, Skype, MSN ...) ...
Bạn có thể dùng MsConfig để xem có bao nhiêu chương trình, services đang chạy trên máy ...


Theo mình nghĩ bạn nên tắt hết những chương trình đang chạy đi, trừ những cái thật sự cần thiết ....

Phần II : Registry - địa chỉ những chương trình chạy lúc khởi động :
Đường dẫn các chương trình được khởi động cùng máy sẽ nằm ở 3 chỗ : Startup Menu và Registry và Group Policy (gpedit.msc - mình không đề cập đến Group Policy ở phần này do các chương trình KeyLogger không sử dụng phương pháp này) ... danh sách những nơi trong Registry chứa các chương trình cày lúc khởi động :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnceEx
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunService
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\Windows -> load

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnceEx
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunService
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Shell
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Windows -> AppInit_DLLs
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\WinLogin -> Shell

Phần III : Cơ bản về KeyLogger, điển hình Perfect Keylogger : Bản thân Keylogger không phải là một chương trình có sức hấp dẫn đối với nạn nhân, do đó hacker sẽ đính kèm Keylogger vào một chương trình gì đó để "dụ dỗ" nạn nhân. Đặc điểm của những chương trình bị nhiễm Keylogger là bạn chạy chương trình ở chỗ này, nhưng lại thấy nó ở chỗ khác

õ ràng chương trình của mình trong C:\Documents and Settings\User\My Documents\Azn AutoLogin

Nhưng sau khi chạy nó lại nằm trong thư mục Temp nào đó, chứng tỏ có Keylog mad2.gif (Hình trên là mình dùng Process Explorer )

Do đa số chương trình đều không phải là một file đơn lẻ (ví dụ AutoPlay cần thêm file Hook ...) mà chức năng đính kèm của Perfect Keylogger lai chỉ có 1 file, để chương trình vẫn có thể chạy bình thường, hacker sẽ dùng một số chương trình Join nhiều file lại với nhau (mình thấy đa số ở VN dùng WinRAR Self-Extractor hoặc WinZIP, đặc điểm là khi click chuột phải vào sẽ có một context menu là "Extract ..."

Phần IV : Process Explorer : Bản thân Windows cũng có sẵn chương trình Task Manager nhưng nó thật sự là cùi mía (không hiển thị đường dẫn chương trình đang chạy, không kill
được những chương trình mạo danh svchost, csrss, smss .... một số chương trình lại ẩn được trên Task Manager ) Mình thường dùng Process Explorer thay cho Task Manager để xem chương trình nào đang chạy trên máy, cái nào không cần thiết thì cứ tắt nó đi cho nhẹ máy jeje.gif

Để dùng Process Explorer bạn phải học cách phân biệt giữa những Process của hệ thống và Process của người dùng ... hình trên bạn sẽ thấy nó phân biệt rõ ràng 2 phần là System và Explorer, đa số Keylog đều không nằm trên phần System mà ở dưới Explorer (trừ một số Keylog Made In China mình thấy trên System, kèm theo Guard nữa, kill không được
sad.gif ) Ở dưới phần Explorer là danh sách các chương trình đang chạy, nếu bạn thắc mắc không biết nó là cái gì thì có thể click chuột phải vào, chọn Window->Bring to Front để xem nó là gì

Nếu không có menu Bring to Front có nghĩa là nó đang chạy ẩn không có giao diện .... tốt nhất là bạn cứ tắt nó đi happy.gif
Sau một thời gian tìm hiểu, bạn sẽ biết chương trình nào cần giữ lại, chương trình nào cần tắt


Chủ tịch Cộng Đồng Teen Việt !
Về Đầu Trang Go down
http://vboy.4rumer.net/
 
Kinh nghiệm phát hiện Keylogger
Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang 
Trang 1 trong tổng số 1 trang
 Similar topics
-
» [04122010][news]JYJ làm khuynh đảo kinh tế Hàn Quốc
» [04022011][news]Ngàn người rơi lệ vì tình yêu của Xiah Junsu với cô gái Việt
» [23032011][News] Kim Jaejoong của JYJ có khí chất lãnh đạo của một đạo diễn chuyên nghiệp: “Ngay bây giờ, kiểm soát sân khấu”
» [16022011][News]Ngắm SNSD giản dị với "mặt mộc toàn tập"
» [09122010][Info] Tổng hợp về vụ việc GDA 2010

Permissions in this forum:Bạn không có quyền trả lời bài viết
..::Cộng Đồng Teen Việt::.. :: Thế Giới Học Tập :: Thế Giới IT :: Thủ thuật máy tính-
Chuyển đến 

Skin Rip By Mr.Bi
Free forum | © phpBB | Free forum support | Liên hệ | Report an abuse | Create your own blog