Messages posted by: RECON

Mình đang xài thằng WinDBG nhưng mà ko hiểu sao,lúc mình gõ lệnh "g" để nó bắt đầu debug thì nó chạy cũng xong rồi mà nó chứ hiện chữ *BUSY* không cho mình gõ lệnh típ....giờ làm sao hả mấy bạn???
Giúp mình cái.....

DanhNam wrote:

Vâng, cho em hỏi là có phải quá trình cơ bản của việc thực hiện hack là phải hiểu rõ quá trình hoạt động của nó rồi mới hiểu đến các ngôn ngữ lập trình của nó và tìm những lổ hổng không ạ?

Trước tiên là phải tìm lỗi trước.....rồi tìm hiểu quá trình hoạt động của nó...sau đó..kiểm tra xem vị trí trả về là ở đâu...xong tính ra.....kiểm tra đc bao nhiêu để mà làm shellcode......

Mình ko hiểu làm như thế nào để chạy perl trên Win để check Stack Buffer overflow?
Có thể hướng dẫn phần đó đc không nhỉ??

hezman87 wrote:

Cho hỏi phải dùng trình biên dịch nào biên dịch code C để OllyDbg có thể revert được. Do em dùng Borland C thì ollyDbg báo không đọc được.

Thử dùng C-free PRo đi bạn.

panfider wrote:

không biết có server nào có lỗi để học không ?

Cái này mình thử trên máy ở nhà cũng đc chứ làm gì cần server :-s.có phải remote đâu.

Nếu ai cũng bí tiếng Anh như mình thì lên wWw.TrAnSlATe.GoOgLe.CoM

em thử cái này,mà sao nó có DDOS đc đâu???

Điều phối viên cho virus Trend Micro Mỹ Latin Jose Lopez Tello trong thời gian gần đây phát hiện một phần mềm độc hại tấn công rất thú vị mà có vẻ (lần đầu tiên blush) liên quan đến những trang trước Banamex lừa đảo e-mail thông báo cuối tháng một và trước đó trong tháng này.

Tương tự với những cuộc tấn công vừa qua, phần mềm độc hại này nhằm mục đích lấy cắp tiền của khách hàng mục tiêu của Banamex, các Ngân hàng điện tử lớn nhất tại Mê-hi-cô.

Tuy nhiên, thay vì bằng cách sử dụng DNS ngộ độc như là phương pháp tấn công trong quá khứ, phần mềm độc hại này sử dụng một tập lệnh để thay đổi các thiết lập DNS của người sử dụng, và cũng có thể cài đặt một botnet khách hàng được lưu trữ trên máy chủ tại một máy chủ IRC ở một nhà cung cấp dịch vụ lưu trữ Mỹ.

Trên cơ sở phân tích của Tello, các nhiễm trùng thường là chuỗi khởi xướng bởi một giả chào eCard rằng một người dùng nhận được qua email. ECard này có chứa một liên kết, mà khi được tải về các tệp tin độc hại Gusanito.exe.

Trend Micro phát hiện tập tin này như BKDR_VBBOT.AE. Sự khác biệt giữa các cuộc tấn công mới này và các cuộc tấn công này là trước đó, khoảng thời gian này, các độc hại thực thi tải về không bị chất độc của người sử dụng máy chủ tập tin hay địa phương, bộ định tuyến của DNS bảng. Thay vào đó, nó thay đổi các DNS bị ảnh hưởng từ các máy tính của người dùng bằng cách sử dụng các tập lệnh đơn giản sau đây:

dns tên mã nguồn = = tĩnh addr = [địa chỉ IP] đăng ký = PRIMARY

Vì vậy, khi người dùng cố gắng truy cập www.banamex.com, ông được chuyển đến một trang web lừa đảo (trong đó là thực sự nằm tại cùng một máy chủ DNS giả mạo).

Các mã số khách hàng Botnet (BKDR_VBBOT.AE) cũng mở ra một IRC kết nối vào nào được nêu ra khác, hệ khác nhau dựa trên máy chủ và các kênh để chờ lệnh từ các botmaster, là nhằm thực sự để gửi chi tiết của cùng một, ban đầu, không có thật eCard chào mừng email.

Như các văn bản này, có hơn 650 nguồn ~ đã được kết nối với botnet này C & C (Command & Control Server) và được gửi cho hầu hết các lẽ ra tấn giả chào Ecards tại thời điểm này rất. "Trong thực tế, bạn có thể xem danh sách tất cả các email đó sẽ được nhắm mục tiêu," nói Tello.

Các liên kết độc hại đã được gửi đến Trend Micro an ninh nội dung cho các đội xử lý và ngăn chặn. Thích hợp việc thi hành pháp luật và các nhà cung cấp nội dung cũng đã được cảnh báo này.

(Xin cám ơn Paul Ferguson bổ sung cho nền tảng kỹ thuật.)

-Cập nhật: June 29, 2008 --

BKDR_VBBOT.AE đã được đổi tên thành để WORM_KELVIR.EI.