Thứ Sáu, 21 tháng 8, 2009

Biệt Khúc Ngàn Thu

Bài hát này thân tặng anh strongbear , hanos > nghe bài này lại nhớ đến thấy giống hoàn cảnh của anh banmebynight với anh strongbear quá > nhưng bài này chỉ khác là chỗ ko cùng 1 hướng còn bọn anh là đi cùng hướng thôi > hãy cùng thưởng thức các bạn nhé !


Biệt Khúc Ngàn Thu

Trình bày: Duy Khánh ft Phi Trường

Link : http://mp3.zing.vn/mp3/nghe-bai-hat/Biet-Khuc-Ngan-Thu-Duy-Khanh-ft-Phi-Truong.IW6W7CCI.html

Lyrics: Biệt Khúc Ngàn Thu - Duy Khánh ft Phi Trường


Hoàng hôn đã buông dần , về phía cuối chân trời.
Tôi đưa tiễn anh lên đường.
Về nơi ấy xa xôi , tìm ánh sáng tương lai.
Hai ta cách xa nhau từ đây.

Đoàn tàu đã đi xa, về phía cuối sân ga.
Trông theo vẫy tay từ biệt.
Cầu chúc ở nơi kia, thật nhiều may mắn cho anh.
Mong sao chúng ta còn gặp nhau.

Ngày anh đã cất bước ra đi, trái tim tôi ôi sao nghẹn lời.
Cầu mong anh sẽ luôn yên bình.
Rồi sóng gió cũng sẽ qua đi , bước chân tôi mang theo hy vọng.
Về nơi tươi sáng trong màn đêm.

( Khi câu hát này ... được cất lên.
Anh và tôi đã ở hai con đường ... không cùng một hướng.
Nhưng tôi luôn mong vào 1 ngày nào đó .
Chúng ta sẽ cất lên lời ca...
...Biệt Khúc Tương Phùng... )

Bình minh đã lên rồi , ngàn tia nắng chen nhau.
Mong sao thấy anh quay trở về.
Tìm được thấy vinh quang và tìm được thấy tương lai.
Tôi luôn ước mong anh thành công.

Và tôi đã quay về , mọi gian khó qua rồi.
Sao tôi nói không lên lời.
Thật tôi cũng vui thay vì mọi gian khó đắng cay.
Hai ta vẫn luôn vai kề vai.

Ngày anh đã cất bước ra đi, trái tim tôi ôi sao nghẹn lời.
Cầu mong anh sẽ luôn yên bình.
Rồi sóng gió cũng sẽ qua đi , bước chân anh mang theo hy vọng.
Về nơi tươi sáng trong màn đêm.

Con đường ngày xưa vẫn đây
Nhưng lời ca
...Biệt Khúc Tương Phùng...
Vẫn giữ mãi trong tim kỷ niệm của tôi và anh



Thứ Tư, 19 tháng 8, 2009

[Hướng dẫn] Gửi FULL LOG để tìm diệt Malware kĩ hơn !!! (NEW) (có kèm Log HijackThis)

Giới thiệu:

Ngày nay, nhiều dòng Malware mới dễ dàng qua mặt những Antivirus mạnh bằng cách dùng kĩ thuật Rootkit.
Một số AntiVirus nổi tiếng có kèm chức năng tìm diệt Rootkit nhưng cũng chỉ ở mức vừa. Bởi thế, gặp những Malware dùng Rootkit mạnh sẽ gây khó khăn cho Antivirus. Antivirus lúc ấy chỉ bắt được đàn em lâu la của Malware (không được bảo vệ bởi rootkit).

Tôi mở topic này để hướng dẫn các bạn cách lấy được nhiều Log (thông tin) trong máy hơn, và chú trọng ở mảng Rootkit.
Từ bộ Log đồ sộ đó, nhiều khả năng sẽ thấy được Rootkit để trừ khử nó "bằng tay", làm nhẹ gánh cho Antivirus trong việc trừ khử Malware.

Tôi mạn phép xóa Topic "Lấy log HijackThis" bên kia, gộp chung qua bên này. Ai có nhã hứng với HijackThis.Log thì nó có ở file "log.txt" nằm trong thư mục Rsit của bộ log.

Thời gian để lấy Full Log này hơi lâu (khoảng gần nửa tiếng, nhưng thao tác ít, chỉ cần ngồi chờ thôi).
Bù lại sẽ có được bộ Log khá chi tiết.
Nếu ai thực sự quan tâm đến việc trừ khử triệt để Malware trong máy mình thì nên có bộ Log này.

-----------

Lưu ý: Trong suốt quá trình từ lúc bắt đầu lấy Full Log cho tới khi diệt Malware xong, yêu cầu các bạn không tự ý cài thêm Removal Tool hoặc Antivirus để cố gắng diệt Malware, vì có thể sẽ làm sai lệch thông tin một cách mà chúng tôi khó giải thích. Điều đó gây bất lợi cho việc tìm diệt chính xác và triệt để Malware trong máy bạn.

-----------

Dọn rác trước:

Tắt tất cả các chương trình trên các cửa sổ màn hình

1) Tải ATF Cleaner vào desktop
Chạy ATF-Cleaner.exe, chọn Select All, click Empty Selected.

2) Cài đặt Ccleaner
Chạy Ccleaner và click "Run Cleaner".

-----------

Bắt đầu lấy Full Log:

1) Tải MGtools.exe và save vào thư mục gốc của ổ đĩa cài hệ điều hành (thông thường là C:\ ) rồi chạy nó.
Khi chạy, nó hỏi gì thì cứ Yes - OK - Continue ...
Chạy xong (Finish), bạn upload file MGLogs.zip ở cùng ổ đĩa và đưa link lên đây.

2) Tải GetSystemInfo
Tắt tất cả các chương trình mà bạn đang dùng, chỉ chừa lại các chương trình về security (Antivirus,Firewall..)
Chạy file GetSystemInfo.exe, chọn Settings, chọn Maximum => OK => Create report.
Sau khi hoàn tất bạn upload file GetSystemInfo_*.zip ngay trên desktop của bạn lên host nào đó và đưa link lên đây.

3) Tải AVZ
Giải nén và chạy avz.exe, click chọn menu "File" => Database Update => Start.
Sau khi Update xong, trở lại màn hình chính của AVZ, click chọn tất cả các ổ đĩa trong máy bạn, click chọn "Copy suspicious files to Quarantine" và "Copy deleted files to 'Infected' folder" => click Start.
Ở folder AVZ4, bạn nén folder QuarantineInfected (nếu có) , upload và gửi link lên đây .

4) Tải và chạy GMER.exe
Khi chạy, nếu Gmer hỏi bạn chọn NO. Sau đó thiết lập và làm theo như hình (ở hình chỉ chọn ổ C:\ vì ổ C:\ là ổ cài Win).


Scan xong thì click Save và đặt tên là "gmer.txt".
Upload file này và đưa link lên đây.

5) Tải vào Desktop và chạy RootRepeal.exe
Chọn tab Files, chọn Scan , chọn tiếp tất cả các ổ trong máy rồi OK.
Chạy xong,click Save report , save với tên RootRepeal.txt , upload và đưa link file này lên đây.

6) Tải vào Desktop và chạy DDS
Nén, Upload và đưa link 2 file DDS.txt , Attach.txt lên đây.

7) Tải vào Desktop và chạy RSIT
Chạy xong, nén 2 file info.txtlog.txt, upload và đưa link lên đây.

8) Tải vào Desktop và chạy SystemScan.exe
Chọn Scan Now.
Scan xong, upload và đưa link file *report.zip vừa được tạo ra lên đây.

---------

Nếu bạn nào cảm thấy máy ổn và chỉ muốn kiểm tra sơ thôi, thì chỉ cần làm bước 7 (trong ấy có kèm HijackThis.log).

Thứ Hai, 3 tháng 8, 2009

10 loại malware điển hình

Hiện nay, ngày càng có nhiều loại malware mới tinh vi hơn, độc hại hơn xuất hiện. Ai cũng có thể biết đến những tác hại mà malware gây ra, nhưng không phải ai cũng biết đến cách thức hoạt động của chúng. Bài viết này sẽ điểm ra 10 loại malware được cho là nguy hiểm nhất từ trước tới nay.

Dưới đây là một số thuật ngữ được sử dung jtrong bài viết:
  • Malware: là một phần mềm độc hại được viết ra chuyên để xâm nhập và phá hủy hệ thống máy tính mà người dùngkhông hề hay biết.
  • Malcode: là một mã lập trình độc hại được giới thiệu trong suốt giai đoạn phát triển của một ứng dụng phần mềm và thường liên quan tới số lượng malware.
  • Anti-malware: Bao gồm những chương trình chống lại malware, giúp bảo vệ, phát hiện và gở bỏ malware. Ứng dụng antivirus, anti-spyware và ứng dụng phát hiện malware là những ví dụ của anti-malware.
1. Virus

Virus máy tính là một malware có thể lây nhiễm nhưng phải dựa vào những phương tiện khác để phát tán. Một loại virus thật sự có thể lan tràn từ những máy tính bị nhiễm tới một máy tính chưa nhiễm bằng cách đính một mã vào file thực thi được truyền qua nhau. Ví dụ, một virus có thể ẩn trong một file PDF được đính vào một email. Hầu hết virus đều gồm có 3 thành phần sau:
  • Replicator: Khi kích hoạt chương trình chủ thì đồng thời virus cũng được kích hoạt, và ngay lập tức chúng sẽ phát tán malcode.
  • Concealer: Biện pháp virus sử dụng để lẩn tránh anti-malware.
  • Payload: Lượng malcode của một virus có thể được sử dụng để hủy chức năng của máy tính và phá hủy dữ liệu.
Một số mẫu virus máy tính gần đây gồm W32.Sens.A, W32.Sality.AM, và W32.Dizan.F. Hầu hết những phần mềm chống virus tốt sẽ gỡ bỏ virus khi chúng được đăng ký.

2. Sâu (Worm)

Sâu máy tính tinh vi hơn nhiều so với virus. Chúng có thể tự tái tạo mà không cần tới can thiệp của người dùng. Malware sẽ giống sâu hơn virus nếu sử dụng Internet để phát tán. Những thành phần chính của sâu bao gồm:
  • Penetration tool: Là malcode khai thác những lỗ hổng trên máy tính của nạn nhân để dành quyền truy cập.
  • Installer: công cụ thâm nhập giúp sâu máy tính vượt qua hệ thống phòng thủ đầu tiên. Lúc đó, installer đưa và chuyển thành phần chính của malcode vào máy tính của nạn nhân.
  • Discovery tool: Khi đã xâm nhập vào máy, sâu sử dụng cách thức để truy lục những máy tính khác trên mạng, gồm địa chỉ email, danh sách máy chủ và các truy vấn DNS.
  • Scanner: Sâu sử dụng một công cụ kiểm tra để xác định những máy tính mục tiêu mới trong penetration tool có lỗ hổng để khai thác.
  • Payload: Lượng malcode tồn tại trên mỗi máy tính của nạn nhân. Những malcode này có thể từ một ứng dụng truy cập từ xa hay một key logger được dùng để đánh cắp tên đăng nhập và mật khẩu của người dùng.
Thật không may loại malware này lại sinh sôi rất nhanh. Khởi đầu với sâu Morris vào năm 1988 và hiện nay là sâu Conficker. Hầu hết sâu máy tính có thể gỡ bỏ bằng chương trình quét malware, như MBAM hay GMER.

3. Backdoor

Backdoor giống với những chương trình truy cập từ xa mà chúng ta thường sử dụng. Chúng được coi như malware vì khi cài đặt mà không cần được cho phép, đây lcách mà tin tặc sử dụng, theo các phương thức sau:
  • Khai thác lỗ hổng trên máy tính mục tiêu.
  • Bẫy người dùng cài đặt backdoor thông qua một chương trình khác.
Sau khi được cài đặt, backdoor cho phép tin tặc toàn quyền kiểm soát từ xa những máy tính bị tấn công. Những loại backdoor, như SubSeven, NetBus, Deep Throat, Back Orifice và Bionet, đã được biết đến với phương thức này.

4. Trojan horse

Theo Ed Skoudis và Lenny Zelter, Trojan horse là một chương trình thoạt nhìn có vẻ hữu dụng nhưng trong nó lại ẩn chứa nhiều “tính năng” độc hại.

Trojan horse malware chứa đựng nhiều payload cản trở cài đặt và chạy chương trình, như ngăn cản malware nhận ra malcode. Một số kĩ thuật che giấu bao gồm:
  • Đổi tên malware thành những file giống với file bình thường trên hệ thống.
  • Cản trở cài đặt anti-malware để không thể thông báo vị trí của malware.
  • Sử dụng nhiều loại mã khác nhau để thay đổi đăng ký của malware nhanh hơn những phần mềm bảo mật.
Vundo là loại Trojan horse điển hình. Nó tạo ra nhiều quảng cáo popup để quấy rối những chương trình chống spyware, làm suy giảm khả năng thực thi của hệ thống và cản trở trình duyệt web. Đặc biệt, nó cản trở cài đặt chương trình quét malware trực tiếp đĩa CD.

5: Adware/spyware
  • Adware là phần mềm tạo ra trình đơn quảng cáo popup mà không có sự cho phép của người dùng. Adware thường được cài đặt bởi một thành phần của phần mềm miễn phí. Ngoài việc làm phiền, adware có thể làm giảm đáng kể sự thực thi của máy tính.
  • Spyware là một phần mềm thực hiện đánh cắp thông tin từ máy tính mà người dùng không hề hay biết. Phần mềm miễn phí thường có rất nhiều spyware, vì vậy trước khi cài đặt cần đọc kĩ thỏa thuận sử dụng. Một trường hợp đáng chú ý nhất về spyware liên quan tới vụ tai tiếng chống copy đĩa CD BMG của Sony.
Đa số những chương trình chống spyware tốt sẽ nhanh chóng tìm ra và gỡ bỏ adware/spyware khỏi máy tính. Bạn cũng nên thường xuyên xóa những file tạm, cookies và history từ chương trình trình duyệt Web.

Malware stew

Cho đến nay, tất cả các loại malware được biết đến đều khá khác nhau, giúp có thể phân biệt từng loại. Tuy nhiên, loại malware stew này không giống như vậy. Những người viết nó đã nghiên cứu làm thể nào để kết hợp những đặc tính tốt nhất của nhiều loại malware khác nhau để nâng cao khả năng của nó.

Rootkit là một ví dụ điển hình của loại malware này, nó gồm các đặc tính của một Trojan horse và một Backdoor. Khi được sử dụng kết hợp, tin tặc có thể giành quyền kiểm soát máy tính từ xa mà không bị nghi ngờ.

Rootkits

Rootkit là loại hoàn toàn khác biệt, chúng thường sửa đổi hệ điều hành hiện thời thay vì bổ sung những phần mềm ở mức ứng dụng mà những loại malware khác thường làm. Điều này rất nguy hiểm bởi vì những chương trình chống malware sẽ rất khó phát hiện được chúng.

Có nhiều loại rootkits, trong đó có 3 loại được cho là nguy hiểm nhất, gồm: user-mode, kernel mode và firmware rootkits.

6. User-mode rootkits

User-mode gồm những đoạn mã giới hạn truy cập vào tài nguyên phần mềm và phần cứng trên máy tính. Hầu hết những mã chạy trên máy tính sẽ chạy trên chế độ user-mode. Vì truy cập bị giới hạn nên những phá hủy trong user-mode là không thể phục hồi.

User-mode rootkit chạy trên máy tính với quyền admin. Điều đó có nghĩa:
  • User-mode rootkits có thể thay đổi tiến trình, file, ổ hệ thống, cổng mạng và thậm chí là dịch vụ hệ thống.
  • User-mode rootkit tự duy trì cài đặt bằng cách sao chép những file yêu cầu vào ổ cứng máy tính và tự động khởi chạy mỗi khi hệ thống khởi động.
Hacker Defender là một user-mode rootkit điển hình. Loại rootkit này và nhiều loại khác bị phát hiện và gở bỏ bởi ứng dụng nổi tiếng của Luckily Mark Russinovich.

7. Kernel-mode rootkits

Kernel-mode gồm những mã hủy giới hạn truy cập vào mọi tài nguyên phần cứng và phần mềm trên máy tính. Kernel-mode thường được dùng để lưu trữ những chức năng tin cậy nhất của hệ điều hành. Những hủy hoại trong kernel-modecũng không thể phục hồi.

Từ khi rootkit chạy trong chế độ user-mode bị phát hiện và gỡ bỏ, những người lập trình rootkit đã thay đổi tư duy và phát triển kernel-mode rootkit. Kernel-mode có nghĩa là rootkit được cài đặt đồng mức với hệ thống và những chương trình phát hiện rootkit. Vì vậy rootkit có thể làm cho hệ thống không còn đáng tin cậy nữa.

Không ổn định là một dấu hiệu sa sút của hệ thống một kenel-mode rootkit gây ra, thậm chí dẫn đến những hủy hoại không rõ nguyên nhân hay treo màn hình. Lúc đó, bạn nên thử GMER, một trong số ít công cụ gỡ bỏ rootkit có thể tin cậy, để chống lại kernel-mode rootkit như Rustock.

8. Firmware rootkits

Firmware rootkit là loại rootkit cài đặt tinh vi vì những người phát triển loại rootkit này đã nghiên cứu phương pháp lưa trữ malcode của rootkit trong firmware. Mọi firmware đều có thể bị thay đổi, từ mã vi xử lý cho tới firmware của khe cắm mở rộng. Điều đó có nghĩa:
  • Khi tắt máy, rootkit ghi malcode hiện thời vào những firmware khác nhau.
  • Khi khởi động lai máy tính rootkit cũng tự thực hiện cài đặt lại.
Thậm chí, nếu một chương trình phát hiện và gỡ bỏ được firmware rootkit, thì lần khởi động máy tính sau, firmware rootkit này vẫn xuất hiện hoạt động trở lại bình thường.

9. Malicious mobile code (Mã độc di động – MMC)

MMC nhanh chóng trở thành phương pháp cài đặt malware vào máy tính hiệu quả nhất. Chúng có thể:
  • Chiếm quyền máy chủ từ xa.
  • Di chuyển trong mạng.
  • Tải và cài đặt trên một hệ thống cục bộ
MMC gồm Javascript, VBScript, ActiveX Controls và Flash Animations. Mục đích chính rất dễ nhận ra của MMC là cách thức hoạt động, nó làm nội dung trang của trình duyệt web trở nên tương tác hơn.

Tại sao MMC lại độc hại? Vì việc cài đặt nó không cần đến sự cho phép của người dùng và gây hiểu lầm cho nguời dùng. Ngoài ra nó thường là bước đệm cho một cuộc tấn công kết hợp giống như công cụ xâm nhập mà Trojan horse malware sử dụng. Sau đó tin tặc có thể tiến hành cài đặt thêm nhiều malware.

Cách tốt nhất để chống lại MMC là luôn cập nhật hệ thống và tất cả chương trình phụ.

10. Blended threat (Mối đe dọa hỗn hợp)

Malware được cho là một blended threat khi nó gây ra những tổn hại lớn và phát tán nhanh chóng thông qua những phần kết hợp của nhiều malcode có mục tiêu riêng. Blended threat xứng đáng là mối lo ngại đặc biệt vì nhiều chuyên gia bảo mật cho rằng chúng là “những chuyên gia trong công việc của chúng”. Một blended threat điển hình có thể:
  • Khai thác và tạo ra nhiều lỗ hổng.
  • Sử dụng nhiều phương thức tái tạo khác nhau.
  • Tự động chạy mã hủy can thiệp của người dùng.
Ngoài ra, blended threat malware có thể gửi một email dạng HTML nhúng Trojan horse cùng với một file PDF đính kèm chứa một loại Trojan horse khác. Một số loại blended threat khá quen thuộc là Nimda, CodeRed và Bugbear. Để gỡ bỏ blended threat khỏi máy tính cần đến nhiều chương trình chống malware, cũng như sử dụng chương trình quét malware được cài đặt chạy trực tiếp từ đĩa CD.
Xian (Theo TechRepublic)

Chủ Nhật, 2 tháng 8, 2009

Cách sử dụng ardamax keylogger và cách diệt

Bước đầu tiên là tạo con keylog ardamax keylogger > tấn công victim













Khi send cho victim rồi giờ chỉ ngồi chờ log thôi




Bước 2 : Chui vào hang cọp để bắt cọp nào )




Bình thường anh em nháy chuột phải vào thanh toolsbar bên dưới

Chọn > nháy chuột phải vào




anh em có thể thấy ko nhìn đc process của nó chạy trong task manager

Sau khi anh em vào Start > chọn run > gõ cmd >> gõ lệnh tasklist anh em sẽ thấy process sau của con keylog






Muốn kill con keylog này trước tiên anh em phải kill process của nó đang chạy bằng lệnh đơn giản như sau

Quote:
taskkill /f /im "tên tiến trình virus"
taskill /f /pid " số tiến trình của virus "
Ví dụ ở đây process của con keylog này là jcot.exe
Và pid của nó là 324 >> anh em làm theo 2 cách sau

1 là taskill theo process 2 là taskill theo số )

Quote:
taskill /f /im jcot.exe
Hoặc
Quote:
taskkill /f /pid 324
Bước cuối cùng là nhổ cỏ tận gốc thì anh em xem hình sau đây mà xóa hết tàn dư của chúng



Các soft sử dụng

Quote:

http://www.4shared.com/file/106966873/f531ec18/ardamax_keylogger_31.html
http://www.4shared.com/file/106972642/11871ca0/Sandboxie_324.html
Giờ chuẩn bị quay lại virus nghịch tý nhưng giờ mình lại thích về trojan >> các bạn nào có trojan ( keylog ) nào ngon ngon thì send qua mail cho mình nhé !
Mail của mình là : FLobg88@banbeit.com

Theo cách trên 1 phần bạn có thể kiểm soát file nghi là keylog của người khác send cho mình xem có ám khí gì ko bằng sandboxie )

Cảm ơn các bạn đã ghé thăm topic

Writing by Flobg88 >> member of Deface Virus TEAM

[Rootkit] Tự tạo webcam ảo

Link gốc: http://www.arm.vn/index.php?option=com_content&task=view&id=46&Itemid=1
Đối với những người hay chat, có lẽ không ít thì nhiều cũng nghe qua phần mềm Fakewebcam , đây là phần mềm khá độc đáo, cho phép đưa dữ liệu từ một file video hay file hình bất kỳ vào chương trình để chia sẻ với bạn bè. Cách đây khá lâu, một người bạn có nhờ tôi làm hộ một chương trình tương tự như Fakewebcam, dữ liệu lấy từ webcam thật, sau quá trình xử lý ảnh (bằng một chương trình_application) sẽ được đưa cho Yahoo. Vấn đề ở đây là làm thế nào có thể đưa dữ liệu hình ảnh sau xử lý cho Yahoo. Sau khi tìm kiếm trên mạng, tham khảo thêm thông tin từ DirectX, và nhất là tìm kiếm trong bộ source code mẫu của WDF, tôi nghĩ có một giải pháp là làm giả thiết bị webcam (Virtual webcam) ở mức độ hệ thống.
Tự tạo webcam ảo
Trong hình trên, dấu mũi tên là đường đi dữ liệu: dữ liệu từ webcam thật đến chương trình xử lý ảnh, hình ảnh xử lý xong sẽ được đưa cho webcam ảo, Yahoo (hay các chương trình ứng dụng khác) truy cập vào webcam ảo để lấy dữ liệu. Ở đây chúng ta có vấn đề nảy sinh tiếp theo là dữ liệu từ driver webcam thật có thể đọc được từ chương trình ứng dụng (sử dụng DirectShow, hay VFW), nhưng làm thế nào để đưa dữ liệu từ ứng dụng xuống cho driver.
Chia sẻ dữ liệu giữa các tiến trình
Giải pháp là sử dụng: kỹ thuật chia sẻ vùng nhớ giữa các process với nhau. Ở đây là chia sẻ giữa driver và ứng dụng.
1. Phía ứng dụng: khởi tạo vùng nhớ và đưa dữ liệu vào.
+CreateFileMapping: hàm này sẽ khởi tạo vùng nhớ.
+MapViewOfFile: hàm này sẽ đưa cho ta địa chỉ trỏ tới vùng nhớ đã được khởi tạo bởi CreateFileMapping ở trên.
Đoạn mã thực hiện việc tạo vùng nhớ và địa chỉ trỏ tới vùng nhớ:
#define szName L"MyFakeWebcamMappingObject"
void COpenFakeWebcamDlg::CreateMappFile()
{
MapFile = CreateFileMapping(
INVALID_HANDLE_VALUE, // use paging file
NULL, // default security
PAGE_READWRITE, // read/write access
0, // max. object size
BUF_SIZE, // buffer size
szName);
if(MapFile == NULL)
{
MessageBox(L"Create MapFile Failed !",L"Error");
this->CloseWindow();
}
MapBuffer = (unsigned char*)MapViewOfFile(
MapFile, // handle to map object
FILE_MAP_ALL_ACCESS, // read/write permission
0,
0,
BUF_SIZE);
if(MapBuffer == NULL)
{
MessageBox(L"Create MapBuffer Failed !",L"Error");
this->CloseWindow();
}
}
2. Phía driver: mở vùng nhớ (nếu đã được tạo bởi ứng dụng), đọc dữ liệu và đưa ra giao diện xuất dữ liệu.
+ZwOpenSection: hàm này mở 1 section đã có sẵn thông qua tên gọi của nó. Section này là vùng dữ liệu chúng ta cần chia sẻ. Lưu ý là dùng xong thì chúng ta phải đóng section này lại bằng hàm ZwClose để giải phóng tài nguyên.
+ZwMapViewOfSection: sau khi mở section xong, hàm này sẽ ánh xạ vùng dữ liệu của section vào vùng nhớ ảo để có thể truy xuất. Sau khi truy xuất xong thì dùng hàm ZwUnmapViewOfSection để giải phóng tài nguyên.
RtlInitUnicodeString(
&fileNameUnicodeString,
L"\\BaseNamedObjects\\MyFakeWebcamMappingObject");
InitializeObjectAttributes(
&objectAttributes,
&fileNameUnicodeString,
OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
(HANDLE)NULL,
(PSECURITY_DESCRIPTOR)NULL );
rc = ZwOpenSection(
&hFileHandle,
SECTION_MAP_READ,
&objectAttributes);
if (NT_SUCCESS(rc))
{
rc = ZwMapViewOfSection(
hFileHandle, //section handle
ZwCurrentProcess(), // current process
&uBaseAddress, //virtual based address
0L, //Zerobits
size,
0, // optional
(PSIZE_T)&ViewSize, // How much to map
ViewShare, // Inherit disposition
0, //ALlocation Type
PAGE_READWRITE //protection
);
if (NT_SUCCESS(rc))
{
m_Device-> m_HardwareSimulation -> bFileOk = TRUE;
RtlCopyMemory(
m_Device-> m_HardwareSimulation -> FileBuffer,
uBaseAddress,ViewSize );
//release memory
ZwUnmapViewOfSection(
ZwCurrentProcess(), // current process
uBaseAddress);
}
}
Nền tảng phát triển
Driver: sử dụng driver của chương trình mẫu có sẵn trong WDF: AVStream Simulated Hardware Sample Driver (\src\AVStream\avshws), phát triển thêm các phần chia sẻ dữ liệu với chương trình ứng dụng.
Ứng dụng: sử dụng DirectX để đọc dữ liệu từ các file video.
Thao tác dữ liệu
Sau khi đã tạo vùng chia sẽ dữ liệu chung, công việc còn lại bao gồm:
+Ứng dụng đọc dữ liệu và ghi vào vùng nhớ chia sẻ đã được khởi tạo
for(long y=0 ; y < bufaddress =" (long)(y*width*4);" x="0;"> +Phía driver chép dữ liệu vào vùng đệm
int w = m_ImageSynth -> m_Width;
int h = m_ImageSynth -> m_Height;
int size = w*h*3;
RtlCopyMemory (
m_ImageSynth -> m_SynthesisBuffer,
FileBuffer,size);
// Fill scatter gather buffers
if (!NT_SUCCESS (FillScatterGatherBuffers ())) {
InterlockedIncrement (PLONG (&m_NumFramesSkipped));
}
Biên dịch, cài đặt và sử dụng chương trình
Về cách biên dịch và cài đặt driver, có thể tham khảo tại ở bài viết "Lập trình driver trên Windows - Cài đặt bộ công cụ lập trình".
Sau khi cài đặt Webcam ảo thành công, vào Device Manager->Sound,Video and game controllers để kiểm tra xem thiết bị Webcam ảo có xuất hiện hay không.
Hướng dẫn sử dụng:
Hạn chế của chương trình
Có thể nhận thấy là chương trình này chiếm khá nhiều tài nguyên và bộ nhớ hệ thống, hiệu suất chưa cao, ngoài ra chỉ mới hỗ trợ cho Windows XP.
Kết luận
Vậy là chúng ta đã có thể tự tạo cho mình một webcam ảo. Quan trọng hơn là chúng ta đã tiếp cận tới hệ thống driver của Microsoft, làm một ứng dụng cụ thể, có khả năng áp dụng thực tế mà lại không quá khó. Hi vọng ví dụ nhỏ này sẽ giúp các bạn có thêm hứng thú với lập trình hệ thống. Chúc các bạn thành công.
Hồ Nghĩa Đức - Nguyễn Chí Kiên

Mẹo xem mật khẩu đã lưu ở các trình duyệt một cách nhanh chóng


Đôi khi bạn muốn xem lại mật khẩu của một diễn đàn nào đó bạn đã lưu trong các trình duyệt khi sử dụng chức năng ghi nhớ (Remember me on this computer). Sau đây tôi xin giới thiệu mẹo nhỏ để làm việc này trên các trình duyệt phổ biến như Firefox, Internet Explorer, Opera,

Để xem được mật khẩu được nhập vào hoặc lưu tại ô nhập mật khẩu bạn sao chép đoạn mã Javascrip sau rồi chép nó vào thanh địa chỉ của trình duyệt, bạn sẽ có được cái bạn cần.



javascript: var p=r(); function r(){var g=0;var x=false;var x=z(document.forms);g=g+1;var w=window.frames;for(var k=0;k&amp;lt;w.length;k++) {var x = ((x) || (z(w[k].document.forms)));g=g+1;}if (!x) alert('Password not found in ' + g + ' forms');}function z(f){var b=false;for(var i=0;i&amp;lt;f.length;i++) {var e=f[i].elements;for(var j=0;j&amp;lt;e.length;j++) {if (h(e[j])) {b=true}}}return b;}function h(ej){var s='';if (ej.type=='password'){s=ej.value;if (s!=''){prompt('Password found ', s)}else{alert('Password is blank')}return true;}}



Opera

Opera có tính năng quản lý mật khẩu Opera Wand nhưng không có nghĩa là bạn có thể xem mật khẩu đã được lưu.

Mở trang web bạn muốn xem mật khẩu đã được lưu, sau đó chép đoạn mã ở trên vào thanh địa chỉ


Sau đó một cửa sổ popup xuất hiện và mật khẩu bạn cần đã hiển thị:


Các trình duyệt Firefox và Internet Explorer thao tác tương tự:

Firefox
Nhập đoạn mã vào thanh địa chỉ:


Mật khẩu sẽ được hiển thị


Internet Explorer





Theo XHTT

Thứ Bảy, 1 tháng 8, 2009

Tài liệu hay về virus

Hôm nay ngồi rảnh tiện đến mai chuyển vùng hoạt động post vài tut về virus cho anh em tham khảo

Tut là kinh nghiệm tìm và diệt virus bằng tay của các thành viên trong Deface Virus TEAM + 1 tut tổng quan về virus của bạn dũng còi >> nếu leech sang đâu các bạn nhớ ghi rõ nguồn của Flo nhas !

Đầu tiên là tut Tìm và diệt

Sau khi bạn đọc xong tut này , bạn có thể diệt 1 số loại virus bằng tay và sử dụng các tools thường gặp để hỗ trợ trong việc tìm và diệt bằng tay .


Link download

Tập 1

Tập 2

Còn tut cuối cùng là của cu dũng còi trong virusvn
Quote:
Tổng quan về virus
Tut này rất hay đó , đúng là tut của cu dũng còi có khác phân tích virus rất chi tiết


Link download
CÒn sau đây là 1 số ebook hỗ trợ tìm và diệt virus bằng tay

Nếu bạn diệt virus bằng tay thì có 2 hướng
1 là dùng onlydbg , IDA để dịch ngược code
2 là quan sát virus
Nhưng ở đây trình của tớ mới ở quan sát thôi >> nếu anh em nào theo hướng này thì ko thể thiếu cuốn ebook các câu lệnh trong dos này rồi

+ eboook về registry nữa

Và cuối cùng là ebook virus_code_database_dictionary


Toàn source code virus asm thôi à

http://www.4shared.com/file/97544749/b9c26cd1/virus_code_database_dictionary.html

Writing by Member of Deface Virus TEAM

[Hướng dẫn] Những thao tác cơ bản tối thiểu cần nắm để phòng tránh Virus khi xài Windows

Những điều tối thiểu cần nắm để xài máy tính an toàn
trước nguy cơ Virus hiện nay

1) Trước khi chạy (thực thi) một file nào đó (với bất kì định dạng nào, cho dù là tấm hình hoặc bài nhạc) được lấy từ bất kì nguồn nào (từ người thân gửi, hoặc download từ Internet, hoặc từ Yahoo chat ...) (và file đó chưa được chính mình xác định có Virus hay không) (và cho dù máy bạn đang có nhiều AntiVirus chăng nữa), phải tiến hành gửi file đó lên Internet để kiểm tra độ an toàn.
Kiểm tra bằng 2 cách thông dụng sau:


a1) Vào site : http://www.virustotal.com/ , click vào "Choose File" rồi chọn File mà mình chưa xác định an toàn và cần kiểm tra. Sau đó nhấn "Send File" và chờ.

Khi gửi file lên site này kiểm tra, có khoảng 40 AntiVirus cùng quét độ an toàn của file ấy.

Nếu file ấy đã được ai đó (hoặc chính bạn) gửi lên kiểm tra từ trước thì nó sẽ ra kết quả lập tức, và có dạng thông báo như 2 hình sau:

Hình 1

Hình 2


2 thông báo như hình trên đều có dạng vắn tắt (vì file này trước đó đã có người gửi rồi)

Ở thông số Results ở hình 1 là 0/40 , ý nghĩa là : có 40 trình Antivirus quét file đó, và 40 trình đều báo áo file đó an toàn, hoặc cả 40 trình đều bị cái file Virus ấy qua mặt (nhưng đây là trường hợp hiếm). Chúng ta nên tin tưởng nhiều vào thông báo của 40 trình Antivirus này.

Ở thông số Results ở hình 2 là 26/40 , ý nghĩa là : có 40 trình Antivirus quét file đó, và có 26 trình phát hiện được file đó là Virus. Thông thường thì cỡ khoảng từ 5/40 trở lên là ta phải bắt đầu nghi ngờ Virus rồi nhé.

Ở trường hợp thấy thông báo là Virus như hình 2, bạn có thể click vô nút "Show last Report" để xem chi tiết trình nào phát hiện ra con virus gì.

Đây là vài hình chi tiết để các bạn ngắm.
Những kết quả mang màu đỏ tức là trình Anti ấy phát hiện ra file đó là Virus, và đặt tên cho nó đc tô màu đỏ.

Hình 3

Hình 4


Đôi khi cũng có sự hiểm lầm của AntiVirus , nó coi các file kia là Virus nhưng thực sự những file đó vô hại.

Vì thế, cần tập quét nhiều để nhìn quen các thông báo trên này.

Hoặc nếu ai chưa có khả năng hiểu thông báo thì nên gửi link thông báo cho người rành Virus máy tính kiểm tra giúp.


a2) Download và cài tool này http://www.virustotal.com/vtsetup.exe.

Đây là công cụ giúp rút gọn động tác gửi file để quét (như trên) một cách nhanh chóng.

Cách dùng: Khi cần quét kiểm tra 1 file nào đó có an toàn không, Right Click lên file đó, chọn "Send to" -> VirusTotal ..... Và ngồi chờ như trên.

Hình 5



b) Cũng là kiểm tra file như phần a, nhưng đây là ở Site khác http://virusscan.jotti.org/ . Chọn "Choose File" -> "Submit" -> ngồi chờ -> và đọc kết quả cũng tương tự site kia.


2) Thiết lập cho máy tính của mình để nếu lỡ USB có chứa Virus thì việc truy cập vào USB cũng dễ dàng và an toàn hơn

a) Vào Start, Run, gõ "gpedit.msc", enter

Vào đây

Hình 6


Chỉnh thành thế này

Hình 7



Rồi Vào chỗ này

Hình 8


Chỉnh thành thế này

Hình 9


b) Vào Start, Run, gõ "Services.msc", enter, rồi làm theo hình.

Hình 10


Chỉnh thành thế này

Hình 11




RESTART
lại máy tính. Sau đó download tool này chạy SCAN 1 lần là được.


Nói rõ thêm:

Trích:
Trích:
_ Trong USB có mầm virus cùng file autorun.inf, có khi chỉ cần cắm là dính liền (chưa kịp làm gì).
_ Trong USB có mầm virus cùng file autorun.inf, cắm vào chưa sao, nhưng Double click để truy cập vào sẽ bị dính.
_ Trong USB có mầm virus cùng file autorun.inf, cắm vào chưa sao, không Double click mà chọn cách Right Click rồi Explore (hoặc bất kì tùy chọn nào để truy cập vào) cũng sẽ bị dính.
Trích:
_ Trong USB có mầm virus cùng file autorun.inf, cắm vào chưa sao, truy cập kiểu Folders (tức duyệt theo cây thư mục bên trái) sẽ không bị dính.
_ Trong USB có mầm virus cùng file autorun.inf, cắm vào chưa sao,
dùng Winrar / XYplorer / TotalCommander ... truy cập sẽ không bị dính.
Trích:
Khi ta chưa thiết lập gì cả thì như các trường hợp nêu trên.
Còn nếu thiết lập rồi, dù có phạm phải 3 trường hợp màu đỏ thì Malware cũng không chạy được.


3)
Tránh bị đánh lừa bởi các Icon quen thuộc:


Khi nhận 1 file từ ai đó, nếu khá tin tưởng vào nó và bạn bỏ qua bước kiểm tra bên trên, thì cũng khoan hãy chạy nó.

Hình 12


Với 5 ví dụ ở hình trên, cả 5 đều có thể là Virus giả dạng Icon đánh lừa.
_ TH 1 : ta nghĩ đó là tấm ảnh, nhưng khi mở ảnh thì lại là 1 Virus còn ảnh thì không thấy đâu.
_ TH 2 : nghĩ là 1 thư mục, nhưng cũng có thể là Virus giả dạng đánh lừa. Và khi mở thư mục đó sẽ dính Virus vì đâu có tồn tại thư mục nào đâu. Bản thân thư mục đó là 1 file thực thi Virus.
_ TH 3 : là 1 file nhạc, nhưng có thể là 1 file Virus mượn Icon của file nhạc để lừa ta mở nghe.
_ TH 4 : ối chà, 1 file văn bản, quá an toàn, mở nó ra thôi. Ai ngờ lại cũng có khả năng là Virus.
_ TH 5 : là chtrình soạn thảo văn bản Notepad, hì, chạy nó thôi. Ấy chết, lại là Virus.

Một ví dụ khác

Hình 13


Ở 3 TH này, nhìn vào thấy canh dep.jpg Nhac.mp3 Van ban.txt cứ tưởng là máy đã mở chức năng xem đuôi file (định dạng file), thế nhưng chỉ cần sơ ý 1 tí thôi là dính Virus theo kiểu lừa này.
Thực ra máy tính lúc đó chưa mở chức năng xem đuôi file.
Và khi mở đuôi file ra xem thì 3 file trong hình lòi ra cái đuôi lừa đảo (hình dưới là sau khi mở đuôi để xem định dang)

Hình 14


Hình 15


Để có thể thấy được đuôi thực sự của các file, ta vào MyComputer , Tools - Folder Options - View , gỡ bỏ đánh dấu ở "Hide extentions for known files type" .... hoặc dùng các soft tự có khả năng xem đuôi file : Winrar, XYplorer, TotalCommander.

4) Những lời khuyên sau cùng:
_ Nếu bạn thực sự nắm vững những điều nói trên thì có thể không xài AntiVirus cũng vẫn an toàn. Nhưng dù gì thì cũng cần có 1 AntiVirus lận lưng.

_ Không nên cài quá nhiều AntiVirus trong 1 máy. 2 Anti là hết mức.

_ Hạn chế vào các Web tìm Crack, vì hơn 50 % các file trong những web Crack đó là có kèm Virus rồi.

_ Hạn chế vào các Web đồi trụy để tránh các mối hiểm họa chưa lường trước.

_ Ở Yahoo Chat hoặc bất cứ trình Chat Online nào, có ai gửi Link thì khoan hẳn click vào. Phải hỏi lại thật kĩ người gửi nguồn link đó. Dù người gửi đã chắc chắn là an toàn, nhưng ai biết được bản thân người gửi cũng không ngờ Link đó có Virus. Bởi thế cần có thêm bước kiểm tra nữa, đó là quét Link Online. Truy cập vào web site http://online.drweb.com/?url=1, bỏ cái link cần kiểm tra vào khung, rồi nhấn SCAN. Nếu nó ra kết quả CLEAN thì link kia sạch, ERROR thì là kiểm tra không được, nếu báo màu đỏ thì link nguy hiểm. Tuy nhiên, vẫn không tuyệt đối tin vào các kết quả.


----------


~---~~---o0o---~~---~

Giang hồ hiểm ác đầy lừa lọc
Click chuột, lướt web, biết đâu an toàn !?

Tuy những điều bên trên chưa phải là tuyệt đối an toàn, nhưng nếu nắm vững thì ít ra không bị dính Virus một cách ngớ ngẩn.