Messages posted by: totden

1. Bác thu thập từ ~1.500 từ tiếng việt ở đâu vậy? Sao ko lấy từ từ điển ra. Mình thấy dự án Free Vietnamese Dictionary cũng làm được bộ >30k từ, nếu tính từ đơn chắc cũng >5k smilie

2. Cách bác lấy 2 từ kiểu j. Mình thấy trong xử lý ngôn ngữ tự nhiên thì việc tách từ đạt hiệu quả khá cao, >90% thì phải. Vậy có thể lấy các đoạn văn bản trên các báo,... rồi tách từ để lấy cụm 2 từ.

Đoạn này thực sự giá trị.

- Số từ trong mật khẩu: 2 hoặc 3
- Theo như tôi thống kê từ khá nhiều DB tôi tiếp cận được ( trong qua trình nghiên cứu, các DB này do các hacker vứt bừa bãi trên các diễn đàn mạng, tôi down về phân tích ). Các password được coi là “mạnh” ở Việt Nam thường có dạng:
+ Cụm 2-3 tự tiếng Việt có nghĩa
+ Chữ cái đầu viết hoa – 2 từ tiếng Việt có nghĩa – từ 3 đến 4 chữ số
+ Ký tự @#$! - Chữ cái đầu viết hoa – 2 từ tiếng Việt có nghĩa – từ 3 đến 4 chữ số - Ký tự @#$!

Hồi trước cũng có thấy 1 e như thế. Bác Symantec có làm 1 paper về con này, nhưng rồi mẫu mới của e ấy cũng ko diệt đc smilie

Code nó ngoài việc chèn đan xen giữa code thật, malware ra còn có code rác quá nhiều. E cũng nản smilie

Về nguyên tắc sau khi click vào cái link đó, nó sẽ down 1 cái extension của chrome về, nếu firefox, IE thì ko sao.
Trong cái extension đó nó sẽ thực hiện việc check login vào facebook, twitter, và vài cái nữa mà mình ko biết.

Đối với facebook thì nó thực hiện like, follow,... một loạt các ID (cái file js này được lưu trên server của nó).

Theo e hiểu thì:
E chưa rõ tốc độ cụ thể thế nào, nhưng việc đến 1 vị trí cố định để scan thì dựa theo phân tích.
Cái này chỉ là việc chọn 1 kiểu chữ ký mới thôi a ạ. Theo e mỗi file nó chỉ scan vài chục lines thôi ạ.

Bạn chiro8x có thể cho mình hỏi tí:
Mình ko hiểu cụ thể cái sandbox của chiro8x là làm cái gì nhỉ? Theo mình hiểu sandbox thì nó chỉ cho phép các ứng dụng chạy trong đó không tác động ra ngoài.
Như vậy nó cần 1 ứng dụng nữa để đưa đầu vào và đầu ra cho ứng dụng đc test nữa đúng ko?

Tập dữ liệu bất thường đó cũng là đc xây dựng cho từng ứng dụng khác nhau nó cũng sẽ khác nhau đúng ko?

Nghe như bạn mô tả thì có vẻ RIPS nó giống với cái mà bạn nói, nhưng mình ko thấy có gì là sandbox ở trong đó cả.

Thêm 1 câu nữa: bạn có mô hình nào cụ thể để mình hiểu về QA dựa theo sandbox này đc ko?

Liệu nó có dùng socket để gửi gói tin đi ko nhỉ? Em tính hook socket để xem, nhưng tiến trình system thì ko thể hook được. Còn driver thì em chưa làm bao giờ.

Chào các anh, cho em hỏi:
máy công ty em có hiên tượng nó tự động gửi gói smb2 này đến server, đã xác định được máy gửi nhưng chúng em muốn tìm ra module nào đã gửi gói tin này (xác định phần mềm tấn công) nhưng hiện tại chưa có cách nào.

Cụ thể: dùng tcp mon thì cứ sau tầm 5' nó gửi gói tin 1 lần, tiến trình tìm thấy lại là system.exe => một trong các module của nó đã gửi đi.

Em đã thử viết 1 driver hook TDI để lần ngược lên, nhưng đáng tiếc là gói smb này nó ko qua tầng TDI.

Mong các anh có thể giới thiệu cho e 1 tool nào có thể làm được: (xem module nào đã gửi gói SMB2 này) Hoặc 1 định hướng để e tìm hiểu được không ạ.

mv1098 wrote:

94.242.203.16 ở LUXEMBOURG

option.drfound.net với mx2.thesmartsignature.com là 1

nhân tiện các bác phân tích giúp em thằng này, em download ở thesmartsignature.com về

http://www.mediafire.com/?bdybn6hsyvm9vci

link gốc

Code:
http://thesmartsignature.com/cgi-bin/updater-cgi?7LmQrC8pRrqF6iRQGJtYlQF9eW%2FIL8EMYLxfycFpK3nzZejuR6l3rSYOmNp3RABmOEdHGWZEv9IjSwi5D%2Fm5EWToI2ZwfDx7Ingr1BiyQmqJLdOxrPlLL1Br6Iwdw9xnyaCTblidOq1ZzxL78NmglKgnEBmxqeoNyz5E2dxubSMEi3p2B1Hh7oMvhe8%2BGbwtMhjGli%2FZymYjcWN7ZhZDLSMbJSDJp8DG1bGBldUgct5JJ%2BJPnFgdGmYV5EVexygoe2Sd2AhezpM%3D

Mình xem qua, bạn này là file sạch bạn ah.

TQN wrote:

Thằng coder của con fake ITunes này là coder C++, chỉ quen dùng C++ ATL/MFC string, trong khi toàn bộ source của libcurl là pure C.

em không biết nó vô ý hay cố tình chứ em thấy code lần này khó đọc vãi ... smilie

)

Theo em nghĩ là không nên viết tool, trước e thấy có mấy vụ post tool đã fake lên rồi.
Con này mới build, vậy nhờ bot nào để nó phát tán nhanh dữ vậy, có cách nào phát hiện để dẹp nó tận gốc đc ko ah?

Nếu vẫn chưa được thì bạn thử dùng Wireshark bắt gói tin rồi gửi lên mọi người phân tích xem sao?

Theo mình thì không có cách nào cố định đâu bạn ah, vì nếu có thì packer sẽ làm khác đi.
Bạn cứ down cuốn "REA Unpacking Ebook" về làm dần cho quen thôi. Thường thì cứ thấy nó GetProcessAddress, chú ý stack trả về, chú ý ở mấy hàm jmp eax,... (theo kinh nghiệm thôi). Còn e thì chả biết gì mấy đâu.

Bạn phải nói rõ là đang phân tích gì, vướng mắc ở đâu chứ?

Nếu là mã nguồn 1 trang web thì bạn post toàn bộ page đó lên, có thể mọi người giúp đc đó!

Theo mình nếu thực sự muốn ứng dụng sau này thì nên đọc về cUrl. nếu bạn biết về php thì chỉ mất khoảng 1h là sử dụng được thôi mà.

Ý bác conmale là nếu trang mà bạn đã login bị dính lỗi XSS thì người ta có thể khai thác để lấy cookie của bạn (đúng ko nhỉ? smilie

)
Bạn có thể tìm hiểu về XSS trên link của bác conmale

Sony79 wrote:

Mình xem Propeties của file MS.Word đính kèm mail gửi tới thì thấy họ edit lần cuối lúc 13h53’ và thời gian mail nhận được là 14h19’ cùng ngày ( thứ 7). Mình đoán là họ gửi mail ở nhà vào ngày nghỉ chứ chuyện này nhạy cảm có lẽ họ không mượn máy người khác hoặc ra tiệm nét.
Mình vào trang IP2location.com và trang Geobytes.com/IpLocator.htm?GetLocation thì thấy IP 113.161.71.106 này ở Tp. Hồ Chí Minh, trong khi nơi mình ở lại không phải Tp. Hồ Chí Minh.
Vậy cho mình hỏi IP đó là của máy đt dùng để kết nối Internet hay là số đó của nhà cung cấp dịch vụ Internet vậy bạn?

theo em: cái này chỉ phân ra hà hội và HCM thôi, ko có tỉnh cụ thể.
mà để đến bây giờ check thì IP đã đổi rồi!