English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Em có thắc mắc một chút về virut?  XML
  [Question]   Em có thắc mắc một chút về virut? 18/03/2012 12:20:36 (+0700) | #1 | 259201
[Avatar]
 gatapchoi
Member
[Minus]    0    [Plus]
Joined: 12/03/2012 07:44:00
Messages: 7
Offline
[Profile] [PM]
Em rất thích học về cách phòng và diệt virut. Nhưng em không biết làm thế nào mà nhận biết được 1 đoạn mã code là một chương trình tốt hay là một chương trình xấu( được gọi là virut hay trojan gì đó ạ)? Mong các pro chỉ dùm em với ạ!!! Thank./.
»-(¯`v´¯)-» (¢hi¢keñ) »-(¯`v´¯)-»
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 18/03/2012 12:41:29 (+0700) | #2 | 259203
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

gatapchoi wrote:
Em rất thích học về cách phòng và diệt virut. Nhưng em không biết làm thế nào mà nhận biết được 1 đoạn mã code là một chương trình tốt hay là một chương trình xấu( được gọi là virut hay trojan gì đó ạ)? Mong các pro chỉ dùm em với ạ!!! Thank./. 


Hiểu rõ cách làm việc của hệ điều hành.
Nắm vững lập trình (C và ASM).
Nắm vững hệ thống binary, hexadecimal.

Chưa bò thì tập bò trước khi chạy.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 18/03/2012 12:51:17 (+0700) | #3 | 259205
[Avatar]
 gatapchoi
Member
[Minus]    0    [Plus]
Joined: 12/03/2012 07:44:00
Messages: 7
Offline
[Profile] [PM]
Anh ơi. C thì em có rồi, nhưng mà ASM thì em không có. Anh có nguồn nào không cho em với, tiếng việt anh nhé, vì tiếng anh em kém lắm. Hi hi, thank anh./.
»-(¯`v´¯)-» (¢hi¢keñ) »-(¯`v´¯)-»
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 18/03/2012 13:17:32 (+0700) | #4 | 259209
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

gatapchoi wrote:
Anh ơi. C thì em có rồi, nhưng mà ASM thì em không có. Anh có nguồn nào không cho em với, tiếng việt anh nhé, vì tiếng anh em kém lắm. Hi hi, thank anh./. 


Nguồn gì? ASM có tiếng Việt hồi nào?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 18/03/2012 13:25:34 (+0700) | #5 | 259211
Levis
Member
[Minus]    0    [Plus]
Joined: 14/03/2012 10:31:11
Messages: 27
Location: REPT
Offline
[Profile] [PM] [WWW] [MSN]
Học về RE, debug virus đi bạn smilie
my personal blog:
http://www.ltops9.wordpress.com
(poor english level, but i'm trying to make better)
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 20/03/2012 04:25:20 (+0700) | #6 | 259337
[Avatar]
 minhhath
Member
[Minus]    0    [Plus]
Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline
[Profile] [PM]

conmale wrote:

gatapchoi wrote:
Em rất thích học về cách phòng và diệt virut. Nhưng em không biết làm thế nào mà nhận biết được 1 đoạn mã code là một chương trình tốt hay là một chương trình xấu( được gọi là virut hay trojan gì đó ạ)? Mong các pro chỉ dùm em với ạ!!! Thank./. 


Hiểu rõ cách làm việc của hệ điều hành.
Nắm vững lập trình (C và ASM).
Nắm vững hệ thống binary, hexadecimal.

Chưa bò thì tập bò trước khi chạy. 


anh cho em hai từ khoá để tìm nguồn
Hiểu rõ cách làm việc của hệ điều hành.
Nắm vững hệ thống binary, hexadecima
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 20/03/2012 04:45:32 (+0700) | #7 | 259339
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

minhhath wrote:

conmale wrote:

gatapchoi wrote:
Em rất thích học về cách phòng và diệt virut. Nhưng em không biết làm thế nào mà nhận biết được 1 đoạn mã code là một chương trình tốt hay là một chương trình xấu( được gọi là virut hay trojan gì đó ạ)? Mong các pro chỉ dùm em với ạ!!! Thank./. 


Hiểu rõ cách làm việc của hệ điều hành.
Nắm vững lập trình (C và ASM).
Nắm vững hệ thống binary, hexadecimal.

Chưa bò thì tập bò trước khi chạy. 


anh cho em hai từ khoá để tìm nguồn
Hiểu rõ cách làm việc của hệ điều hành.
 

---> sử dụng hệ điều hành nào, đọc tài liệu hệ điều hành đó.

minhhath wrote:

Nắm vững hệ thống binary, hexadecima 

Học lập trình từ căn bản đến nâng cao.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 20/03/2012 08:28:45 (+0700) | #8 | 259348
[Avatar]
 chiro8x
Member
[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]

gatapchoi wrote:
Anh ơi. C thì em có rồi, nhưng mà ASM thì em không có. Anh có nguồn nào không cho em với, tiếng việt anh nhé, vì tiếng anh em kém lắm. Hi hi, thank anh./. 


Học tiếng anh trước đi bạn ! sau đó kiếm tài liệu mà đọc. Không ai bán đồ ăn sẳn đâu. Để bước chân vào một bộ môn nào đó bạn cần phải lí giải hết các thuật ngử nó dùng đã, đừng vội lao đầu vào như thế.

Assembly bạn có thể tìm hiểu về NASM cấu trúc của nó khá gần với TASM32. MASM32 thì mình không khuyên vì nó "auto" nhiều quá. Còn TASM32 thì chỉ hổ trợ Windows ngoài ra nó là sản phẩm thương mại. NASM mình sử dụng thấy cũng khá ổn, sau quá trình biên dịch kiểm tra lại thấy nó ít tạo ra các "đoạn mã rác" như MASM. Trong quá trình này đòi hỏi nhiều kiến thức liên quan khác về hệ điều hành, thanh ghi, stack, API,... bạn phải đi vào quá trình tự học để giải thích cho từng khái niệm đó. Sau quá trình học này về cơ bản bạn sẽ biến cái đoạn mã assembly này nó nói về cái gì. Để nâng cao tay nghề bạn tập đọc một số đoạn chương trình. Hoặc thử debug một số chương trình mình tự viết để xem sự khác biệt khi viết và sau khi được biên dịch.
while(1){}
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 20/03/2012 20:48:36 (+0700) | #9 | 259399
[Avatar]
 DemonKnight_newbie
Member
[Minus]    0    [Plus]
Joined: 12/02/2012 18:49:45
Messages: 14
Location: Sentinal
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
lulzSec
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 20/03/2012 22:15:13 (+0700) | #10 | 259407
miyumi2
Member
[Minus]    0    [Plus]
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
[Profile] [PM]
Theo mình thì trước khi "xét nghiệm" chuyên sâu (tức là dịch ngược mã máy chương trình sang ngôn ngữ assembly, RCE - Reverse Code Engineering) bạn cũng nên tìm hiểu về "chẩn đoán lâm sàng", vì virus, trojan, shellcode cũng là một dạng chương trình thực thi do con người tạo chứ không phải là cái gì đó "hư không", cụ thể là nó phải hiện thân tồn tại ở dạng 1 tập tin trên 1 ổ đĩa, một vùng nhớ trong bộ nhớ,...

Thử "chẩn đoán lâm sàng" tìm các dấu hiệu cho trường hợp thường gặp là các virus, trojan lây lan qua các ổ đĩa rời gắn qua cổng usb:

(1) Tập tin có phần mở rộng (ext) là .exe, .com, .bat, .pif, .cpl, .vmx đặt thuộc tính ẩn (hidden) hoặc hệ thống (system) và chỉ đọc (read only);
(2) Nằm trong các thư mục RECYLER, Recyled hoặc các thư mục có tên ngẫu nhiên (chữ hoa chữ thường, chữ số lộn xộn không có ý nghĩa);
(3) Phần mở rộng (ext) nhiều cấp, vd: 123.doc.exe, 123.xls.exe,... và có biểu tượng (icon) giả là hình icon folder của Windows hoặc icon của Word, Excel;
(4) Tên tập tin có trong Autorun.inf;
(5) Ngoài ra có thể xem xét file có bị nén (pack) hay không bằng cách dùng hex editor xem mã ASCII và đoán mật độ phân bố dữ liệu (entropy) có chặt hay không, có thể dùng một số tool để kiểm tra packer...

Khi tìm ra các file có các dấu hiệu nghi ngờ như trên thì ta bắt đem về nuôi và dùng RCE "xét nghiệm" "xẻ thịt" tiếp smilie.
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 21/03/2012 00:22:45 (+0700) | #11 | 259419
konoka
Member
[Minus]    0    [Plus]
Joined: 14/03/2012 07:46:48
Messages: 3
Offline
[Profile] [PM]
Một số cách static analysis đơn giản mình học từ cuốn Practical Malware Analysis:

- Upload file nghi ngờ lên VirusTotal.com.
- Kiểm tra xem file có bị packed hay không, có thể dùng PEiD và PEView và so sánh kích thước trên RAM và kích thước trên đĩa của các sections. 1 dấu hiệu nữa của việc file bị packed đó là xem bằng Dependency Walker thấy có quá ít hàm được imported.
- Liệt kê các chuỗi (strings) trong file (có thể dùng tool Strings của Mark Russinovich) xem có gì khả nghi không (ví dụ nếu thấy chuỗi "kerne132.dll" chẳng hạn thì rõ là virus muốn đóng giả file "kernel32.dll" của Win bằng cách thay chữ l bằng số 1 ^^ ).
- Dùng Dependancy Walker để xem thử file import/export những hàm nào, từ đó nắm sơ bộ file này sẽ làm gì khi được chạy.
- Dùng Resource Hacker để xem thử có resource nào đáng nghi không (ví dụ executable code được nhúng vào resource).

Thường thì ít file "bình thường" nào mà được packed và có nhúng executable trong resource. Nếu bạn thấy 2 dấu hiệu này thì nhiều khả năng file là malware (hoặc là BKAV ^^ ). Mấy cách trên chỉ là để xem sơ bộ, bước đầu thôi, còn tất nhiên muốn analyze cẩn thận thì bạn phải chạy/debug file đang nghi ngờ (trên máy ảo), và cần có kiến thức chuyên sâu hơn.
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 25/03/2012 16:56:25 (+0700) | #12 | 259803
[Avatar]
 9aa6
Member
[Minus]    0    [Plus]
Joined: 08/01/2012 21:50:50
Messages: 30
Location: bờ đê lộng gió ,,,,
Offline
[Profile] [PM] [WWW]
ASM khá hay . Thườg dùng để lập trình vi điều khiển .vây cố học đi b nhé
Đừng tưởng xinh gái mà vội kiêu
có tý nhan sắc vẫn chưa siêu
mà này anh bảo cho mà biết
khi nào mát trời anh sẽ yêu
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 28/03/2012 18:01:10 (+0700) | #13 | 260151
[Avatar]
 chiro8x
Member
[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]

9aa6 wrote:
ASM khá hay . Thườg dùng để lập trình vi điều khiển .vây cố học đi b nhé 


Assembly cho vi điều khiển là cái khác, mỗi dòng chip hoặc mỗi nhà sản xuất có Assembly riêng cho dòng chip của mình. Cấu trúc thanh ghi và tập lệnh của vi điều khiển khác với cấu trúc và tập lệnh của x86. Đừng đánh đồng chúng với nhau, người ta đọc vào sẽ thấy rối.
while(1){}
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 28/03/2012 18:13:31 (+0700) | #14 | 260152
[Avatar]
 sasser01052004
Member
[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]

conmale wrote:

gatapchoi wrote:
Anh ơi. C thì em có rồi, nhưng mà ASM thì em không có. Anh có nguồn nào không cho em với, tiếng việt anh nhé, vì tiếng anh em kém lắm. Hi hi, thank anh./. 


Nguồn gì? ASM có tiếng Việt hồi nào? 


Asm cũng có tiếng việt mà anh, trong quyển hợp ngữ và lập trình ứng dụng á.

Em học xong thấy chán ngán mấy cái lập trình trên windows.

Anh có tài liệu nào về lập trình hợp ngữ hệ AT&T trên linux thì chia sẻ với em chút nhé.
Ask me why, don't ask me what.
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 28/03/2012 19:08:00 (+0700) | #15 | 260154
TQN
Elite Member
[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Mới đọc mà đã chán ngán rồi rao ? Vậy thì làm sao tìm hiểu được virus trên Windows được ?
Bản chất ASM cho x86 là như nhau, chỉ khác syntax. Cố gắng học cho tới nơi tới chốn.
Hồi xưa cố lắm, cuối cùng tui còn viết Game cho Win32 = MASM32, dựa trên document OpenGL của NeHe. Cái gì cũng có cái giá của nó, bỏ ra 1 thì nhận 1.
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 28/03/2012 20:39:07 (+0700) | #16 | 260168
[Avatar]
 xuanphongdocco
Member
[Minus]    0    [Plus]
Joined: 19/08/2009 08:25:03
Messages: 247
Offline
[Profile] [PM]

sasser01052004 wrote:

conmale wrote:

gatapchoi wrote:
Anh ơi. C thì em có rồi, nhưng mà ASM thì em không có. Anh có nguồn nào không cho em với, tiếng việt anh nhé, vì tiếng anh em kém lắm. Hi hi, thank anh./. 


Nguồn gì? ASM có tiếng Việt hồi nào? 


Asm cũng có tiếng việt mà anh, trong quyển hợp ngữ và lập trình ứng dụng á.

Em học xong thấy chán ngán mấy cái lập trình trên windows.

Anh có tài liệu nào về lập trình hợp ngữ hệ AT&T trên linux thì chia sẻ với em chút nhé. 


Bạn phải xem lại cách tiếp cận vấn đề thôi. Cứ thích những cái dễ, có sẵn, có công cụ sẵn thì rất dễ đi theo ma đạo thôi.
Xuân Phong Nguyễn
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 29/03/2012 12:23:15 (+0700) | #17 | 260258
[Avatar]
 sasser01052004
Member
[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]
Mới đọc mà đã chán ngán rồi rao ? Vậy thì làm sao tìm hiểu được virus trên Windows được ?
Bản chất ASM cho x86 là như nhau, chỉ khác syntax. Cố gắng học cho tới nơi tới chốn.
Hồi xưa cố lắm, cuối cùng tui còn viết Game cho Win32 = MASM32, dựa trên document OpenGL của NeHe. Cái gì cũng có cái giá của nó, bỏ ra 1 thì nhận 1.
 


CÁi này học lâu rồi anh ơi, học xong mới thấy chán.

Mấy con virus trên windows thì dissassemler nó, xem có cái gì zui ko thôi.

Em đang tìm hiểu về hệ AT&T. ^^

Ask me why, don't ask me what.
[Up] [Print Copy]
  [Question]   Em có thắc mắc một chút về virut? 29/03/2012 12:36:51 (+0700) | #18 | 260259
phuongnvt
Member
[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]
Có ai viết virus trên hệ Microchip Pic chưa vậy ? smilie
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|