| |
|
|
|
Bộ bạn suốt ngày mở miệng cứ "Em thì" thôi hả, không có ý định thì đừng có lôi cái đam mê ra mà biện hộ, học cho tốt để đỡ phí tiền, phí thời gian của gia đình bạn, thanh niên bây giờ bạc nhược cả lũ, mình nói không phải quơ đũa cả nắm nhé, tuổi ăn học không lo học hành, tập luyện cho khoẻ, suốt ngày online lao đầu vào ba cái thứ huyễn hoặc. Lời nói thật thì luôn mất lòng, ráng mà suy nghĩ cho kĩ, 1 ngày đẹp trời !!!
|
 |
|
|
|
mình đóng góp ý kiến như vậy, bài viết chả có gì mang tính kĩ thuật gì liên quan đến RE ngoài việc dùng tool 1 cách vô tội vạ, dòm String thôi có cần phải lôi IDA ra không vậy ? Những topic như thế này chẳng có giá trị về mặt kĩ thuật ngoài việc load file vào IDA, dẫn chứng thì mơ hồ, chẳng thuyết phục. Chào bạn
|
|
|
|
|
Mình bị hack thì mình coi lại cách mình xài máy và rút kinh nghiệm , vấn đề của mình mình phải giải quyết chứ sao lại lôi người ta vào nhỉ ? Mình mà là bạn mình dùng tiền hậu tạ đó làm cái khác có ích hơn trong cái thời buổi kinh tế bây giờ chứ không làm mấy cái tào lao như bạn đâu, thiệt lòng đó.
|
|
|
|
Nếu bạn biết chắc không ai chấp nhận thì bạn post làm cái quái gì ?
Mình thích những bạn trẻ như bạn, mình nghĩ gì, mình có quan điểm gì thì mình cứ nói ra, ăn thua là bạn phải sửa những lỗi cơ bản người ta đã góp ý cho bạn trước
vì đó là cách bạn cho người ta thấy
" Ờ, TAO CHỈNH SỬA LẠI BÀI TAO ĐÚNG CHÍNH TẢ, TAO TÔN TRỌNG Ý KIẾN TỤI BÂY, CÒN TỤI BÂY ĐÓ, TỤI BÂY CŨNG NÊN TẬP CÁCH TÔN TRỌNG Ý KIẾN NHỮNG NGƯỜI NHƯ TỤI TAO NHA"
Ý kiến thì mỗi người 1 ý, bạn đã dám nói thì bạn phải dám đấu tranh cho nó . Chí ít dù bạn sai, bạn vẫn nhận được sự tôn trọng để phân biệt bạn với cái đám không dám đấu tranh mà chỉ biết nghe theo số đông.
|
|
|
|
- À chiro nói đúng đặc điểm khó hiểu chỗ script rồi . Thiệt ra ông gác cổng đó có nhiệm vụ là phân loại đối tượng thôi mà tự vì
+ 1 là nếu mình vô hva theo cách của 1 user bình thường thì chắc chắn không bao giờ nhìn thấy được cái href giấu ở dưới góc phải trang(không nói đến view source - mà co view cũng ko thấy được  - hoặc dùng addon web developer)
+ 2 là nếu đã thấy href ở dưới mà vẫn cứ bám theo dù biết là chỉ dừng mãi ở trang đó thì có thể xác định đối tượng thứ 2 này là ai
Bởi vậy mình mới nghĩ nên bắt đầu từ đoạn xì ríp đó ví dụ như trên dòng dowload 1 tí là indexOf("external") chẳng hạn hay là hàm doUrchin được gọi từ đâu và getElementByTagName('A') với ngụ ý gì ...! hehe
|
|
|
|
|
hình thức chỉ là 1 phần của chân lý mà ở đây href chỉ là cái hình thức được chường ra để che cái chân lý được đám javascript kia hide đi . Vậy muốn tìm chân lý? Chắc em phải bắt đầu từ cái mớ javascript quá phải không anh ?
|
|
|
|
vậy 11 năm sau Microsoft lại tuyên bố không hỗ trợ win 8 và cho ra đời win 9 à  )
Cô lập nổi không ? )
|
|
|
|
|
khủng hoảng mà, công ty nào cũng giảm biên chế, cắt nhân sự. Vậy mới thấy kiếm tiền cực khổ, hên là chưa có bạn gái - kiếp FA ).
|
|
|
|
|
đâu thử dùng XueTr -> viewhandle coi nó bị thăng nào used rồi close thằng đó rồi copy to, còn lì nữa thì bạn coi trong process -> view thread ,view handle coi thằng nào đang used nó, close hay kill luôn rồi nén coi. Nếu thấy khó quá để lại cái yahoo vô inbox mình cũng được hihi.
|
|
|
|
@lucinda :
http://www.eazyupload.net/download/VhRFdrZK/007149426X.zip.htm
|
|
|
|
|
RCE Bios điiiii! BIOS Diassembly Uncovered ebook !!
|
|
|
|
Compression Ratio In the Midle Exploits  !
|
|
|
|
|
bạn dùng tool XueTr (lên google search nha) -> tab File -> chọn file cần copy -> click phải chọn copy to đến usb của bạn ^.^
|
|
|
|
@C0denam3 :
- Bạn có thể phân tích rõ hơn nguyên tắc thứ 2 mà anh ấy đề cập không đúng ở chỗ nào và tại sao được không, REASON ?
Lưu ý rằng đối tượng anh male dùng để khai triển cho nguyên tắc thứ 2 rất cụ thể là các CHUỖI MÁY CHỦ và các DỊCH VỤ chứ không phải là "một đống".
- Khi bạn cho rằng "chỉ install những thứ chắc chắn là sẽ dùng", mình nghĩ là còn sót 1 vế vì những thứ này sẽ cung cấp những DỊCH VỤ đảm nhận nhiều chức năng khác nhau - tuỳ vào đối tượng cụ thể nhé , lấy ví dụ, bạn phải cài 1 antivirus thì antivirus đó có nhiều chức năng như update, protect ...vv- . Vì vậy khi install những đối tượng này, quan trọng như anh male đề cập :
"Nếu dịch vụ nào đó không được cung cấp thì không việc gì phải mở nó ra. Chẳng những mở nó hao tổn tài nguyên mà còn mở cửa cho một hoặc nhiều khả năng exploit. Bất cứ một dịch vụ nào được mở ra luôn luôn phải kèm theo các lý do thoả đáng tại sao nó được mở ra và cái gì dùng để kiểm soát và bảo đảm sự bảo mật của nó. "
|
|
|
|
Mình xin đưa ra 1 số ý kiến :
- 1 trong những vấn đề lớn nhất trong việc bảo mật mạng ngày nay đó là người quản trị mạng thường hay suy nghĩ bảo mật là 1 cái gì đó được thực hiện ngay sau khi network đã được thiết kế. Cho nên đây có lẽ là điểm cần khắc phục đầu tiên.
- Vulnerable, Threats hay Exploits luôn mở đường cho những cuộc tấn công. Chúng dẫn đầu trong danh sách những phương pháp tấn công mạng và là 1 vấn đề không dễ để tìm được 1 giải pháp giải quyết triệt để . Việc ta hạn chế những hành động gây được sự đỗ vỡ trong 1 hệ thống không dễ dàng nhưng không phải là không thể.
- Chúng ta cứ track down và hạn chế tối đa toàn bộ lỗ hổng bảo mật có thể có trong hệ thống, bởi vì kẻ xâm nhập chỉ cần 1 lỗ hổng và khai thác nó. Và trong vài trường hợp, kẻ xâm nhập có thể khai thác dựa trên 1 phần cụ thể của phần mềm, misconfiguration hoặc cấu hình device 1 cách lỏng lẻo hay có lẽ là những điểm yếu trên giao thức, TCP/IP là 1 ví dụ.. Phương thức này được phát triển từ lâu khi người thiết kế không nhìn trước được những vấn đê liên quan đến bảo mật mà chúng ta phải gặp ngày nay. Ví dụ những thiếu sót trong giao thức dẫn đến các attack vector như IP Spoofing, source routing, syn flood, smurf attack, application tunnelling và nhiều hơn nữa.
Trước khi nhìn gần hơn vào khía cạnh technique của mitigation, Chúng ta cần phân loại rõ ràng các hình thức tấn công :
Có thể chia các cuộc tấn công thành 3 loại đặc trưng mà diễn đàn hva đã, đang và sẽ gặp trong tương lai :
* Trinh sát : (Reconnaissance) : là loại tấn công được xem như là bước đầu tiên của quá trình thăm dò mục tiêu như unauthorized discovery và mapping hệ thống, các dịch vụ hoặc lỗ hổng trên mục tiêu. Kĩ thuật discovery và mapping phổ biến được biến đến nhiều nhất là Scanning và Enumeration với các công cụ dòng lệnh và tiện ích phổ biến được sử dụng cho việc scan và enumeration như là ping, telnet,nslookup, finger, rpcinfo, file explorer, srvinfo, và dumpacl. Những thirdparty khác như Sniffer,Satan,saint,nmap,netcat,wirkshark..vv hoặc những custom script được tạo ra để sử dụng cho tiến trình này.
* Đạt quyền kiểm soát(gain access): tấn công chiếm quyền truy cập nghĩa là thao tác với dữ liệu không được chứng thực(unauthorized data) nhằm giúp cho attacker quyền truy cập hệ thống hoặc leo thang đặc quyền trên máy nạn nhân hoặc thỏa hiệp 1 host. Unauthorized data đơn giản là các hành động reading, writing, copying và moving những file không được cho phép hoặc đã được authorize bởi attacker. Một số hành động thực hiện trong giai đoạn này như exploiting pass, accessing confidential information, exploting poorly configuration hoặc unmanaged service, acess remote registry hay ip source routing và file sharing...vv
* Denial of servie : Đây là loại tấn công xảy ra nhằm khóa, vô hiệu hóa hoặc phá hủy mạng, dịch vụ hệ thống với mục đích là từ chối dịch vụ người dùng hợp lệ. Những cuộc tấn công này gây cản trở nguồn tài nguyên có sẵn làm cho người dùng hợp lệ bị crash hệ thống hoặc truy cập chậm . ví dụ phổ biến là tcp syn flood, icmp ping flood, buffer overflow...vv
Những loại tấn công trên đều chung mục đích là đạt quyền truy cập đến tài khoản người dùng , leo thang đặc quyền và khai thác hệ thống nạn nhân để sử dụng cho việc tấn công hệ thống khác hay với 1 mục đích khác ...!
Mình xin trình bày 1 số attack vector nhưng mitigation thì xin cùng các bạn thảo luận vì có những attack vector đòi hỏi kiến thức sâu về 1 mảng mà kiến thức mình thì giới hạn !
Trước hết ta cần hiểu attack vector là những phương thức được sử dụng nhằm lấy được quyền kiểm soát máy tính hoặc hệ thống mạng để cho attacker có thể lợi dụng.
có thể chia làm các loại như sau :
++Viruses : là những phần mềm độc hại hoặc những đoạn mã nhằm phá hủy dữ liệu hoặc lây nhiễm vào hệ thống
++Worm : sâu máy tính là phần mềm độc hại có khả năng tự nhân bản, tương tự virus, sâu và virus có thể tồn tại trong bộ nhớ của hệ thống và có khả năng tự phát tán đến các máy khác trong mạng. Worm thường được thiết kế để exploit các lỗ hổng well-know cũng như undocument trên máy tính
++Trojan : là những malicious program làm ra vẻ là 1 ứng dụng hiền lành, nhưng thực chất ẩn chứa bên trong những hành vi độc hại như keystroke logger hoac capture all pass và thông tin nhạy cảm mà ko cần sự đồng ý của user
++Pass cracking : là loại tấn công pass bao gồm bruteforce, ip spoofing and packet sniffer.
++Buffer overlow: buffer là vị trí bộ nhớ trong hệ thống được sử dụng để chứa dữ liệu và thường chỉ chứa được 1 kích thước cố định được định nghĩa từ trước. Buffer overflow xảy ra khi chương trình thử chứa dữ liệu trong buffer, mà nó lớn hơn kích thước mà buffer được cung cấp. Giống như là mình đổ đầy 1.5 lít nước vô 1 cái ly(buffer) chỉ chứa dc 1 lít nước (data).
++Ip spoofing : xảy ra khi kẻ xâm nhập cố gắng ngụy trang bản thân bằng cách giả dạng là 1 nguồn địa chỉ IP đáng tin cậy để đạt được nguyền truy xuất đến 1 tài nguyên trên 1 host nhất định.
++Address Resolution Protocol (ARP) spoofing: ARP spoofing xẩy ra khi kẻ xâm nhập cố gắng ngụy trang 1 địa chỉ MAC – là hiện thân cho 1 hosted trust -. Đây là 1 bước quan trọng để mở màng cho các cuộc tấn công khác.
++Man-in-the-middle attack (TCP hijacking): man-in-the-middle (MITM), ngoài ra còn được biết với cái tên như là TCP hijacking, là 1 cuộc tấn công well-known mà trong đó attacker có thể chặn những gói tin qua lại giữa 1 giao tiếp hợp lệ từ 2 điểm và có thể dễ dàng thay đổi hoặc điều khiển TCP seion mà không cần sự biết đến giữa người gửi và nhận của session đó. TCP hijaking là 1 exploit trên những mục tiêu như telnet,ftp,smtp hoặc http session. Attacker ngoài ra có thể sniffing để theo dõi gói tin qua lại giữa 2 bên.
Ping sweeps: hay còn có 1 tên khác là Internet Control Message Protocol (ICMP) sweep, là kĩ thuật quét sử dụng để xác định 1 host(computer) có còn sống hay không trong 1 mạng . Bao gồm ICMP echo request gửi đến nhiều host tại 1 thời điểm. Nếu host còn sống thì sẽ send lại 1 gói ICMP echo.
++Port scanning: Port scanning là phương thức được sử dụng để liệt kê các dịch vụ đang chạy trên hệ thống. intruder sẽ gửi ngẫu nhiên các request trên các port khác nhau và nếu host trả lời lại request đó, intruder sẽ xác nhận port đó đang active và trong chế độ lắng nghe ( listen mode), attacker có thể lên kế hoạch để exploit những vulnerabilities đã được biết đến qua các trang chuyên về khai thác lỗ hổng. Đây là kĩ thuật chính dc sử dụng để thăm dò dịch vụ và tiến hành.
++Sniffing:Là hành động bắt gói tin do 1 phần mềm chuyên dùng để bắt gói – sử dụng card mạng trong chế độ promiscuous để passively capture toàn bộ gói tin được vận chuyển xuyên qua mạng-.
++Flooding: Flooding xảy ra khi số lượng dữ liệu không mong muốn được gửi đi quá mức cho phép và kết quả dẫn đến sự đổ vỡ của tính chất data availability.
++DoS/DDoS: Đây là loại tấn công mà hva đang thường xuyên phải đối mặt.Nó tước đoạt sự truy cập hợp lệ của người dùng, flooding nạn nhân với những gói tin quá mức cho phép (excessive volume of packet)và có những dấu hiệu bất thường .
Về phần mitigation thì mình thấy những post ở trên rất giá trị, mình sẽ tiếp tục tìm tòi và sau khi đã hiệu chỉnh toàn bộ các ý và câu văn sẽ post lên sau. Bài viết không thể tránh khỏi sai sót. Thân !
|
|
|
|
|
Nguồn chính xác mình có là từ exetools forum !
|
|
|
|
- Ok mình nói vài điểm chính cho bạn dễ hình dung
Thứ nhất, game online có nhiều dạng bao gồm dạng chơi trên web hoặc dạng chơi như ứng dụng trên máy tính.
==> Nếu mình là attacker mình sẽ nghĩ ra 2 hướng tấn công khác nhau
+ Với dạng web (ở đây là dạng tổng quát, thực tế còn rất nhiều biến thái của dạng game web ).
Khi bạn đăng nhập vào game thì trình duyệt sẽ đóng gói cặp giá trị Username và Password trong 1 request để vận hành đến trạm xác thực, nhìn chung đây là 1 quá trình mà rủi ro bị attacker nắm được thông tin là có thể xảy ra vì các yếu tố sau :
* 1 là dữ liệu bị vận chuyển dưới dạng Clear Text và nếu attacker nắm được thì done!
* 2 là do yếu tố misconfiguration đến từ phía programmer, sysad...vv
* 3 là do máy bạn sử dụng đã dính mã độc có khả năng keylog .
* 4 là do game có bug và attacker khai thác được.
...vv
Vậy ta có thể thấy ở góc độ cơ bản, để hiểu được tại sao ta bị như vậy, ta phải hiểu rõ cơ chế làm việc của các đối tượng có liên quan và cách chúng phối hợp với nhau
Computer - Browser - Game Application based web (flash...vv)- Server ...
Mỗi đối tượng trong dây chuyền trên đều có những điểm yếu có thể khai thác nhằm đạt được mục đích mong muốn của attacker.
+ Với dạng Application trên máy tính
- Bạn cần tìm hiểu về cấu trúc file exe và hình dung được rằng đang có 1 process của game đó chiếm 1 vùng nhớ trong Ram của bạn để thực hiện công việc (nạp module, tạo request...vv) nên attacker có thể áp dụng kĩ thuật sniffing mạng nếu username hoặc pass của bạn được gói trong 1 packet đi xuyên ra internet.
- Rootkit, keylogger....
Những kiến thức khác mình không tiện đề cập vì trọng tâm câu hỏi của bạn chỉ nằm ở how ?
Bạn nên cố gắng để xây 1 cái nền thật vững !
|
|
|
|
- chào anh mrro, em bổ sung thêm 1 cuốn hiếm hoi của anh héc cơ Michal Zalewski:
Silence on the wire : a Field Guide to passive reconnaissance and indirect attacks
Link dowload :
_http://www.eazyupload.net/mdtSsA68
hav fun ^.^!
|
|
|
|
|
1 câu nói của anh Thái trong hội thảo Tetcon : "Ngoài đam mê thì bạn cần phải có thêm 1 yếu tố đó là kỉ luật!", bây giờ nhiều sân chơi giao lưu rồi, đam mê không đôi khi dễ lạc hướng lắm hì.
|
|
|
|
- Riêng track thứ 2 - tấn công từ bên trong - anh conmale đưa ra tình huống như trên đã gợi ý phần nào điểm mạnh của dạng tấn công này :
+ Khi máy con (5.5.5.6) tấn công 1 cách trực tiếp đến máy đích (5.5.5.5) sẽ để lại nhiều dấu vết -như anh có đề cập ở trên- , vậy ta phải chuyển sang dạng gián tiếp, tức là qua nhiều công đoạn hơn.
Từ đây ta thấy điểm mạnh đầu tiên có thể xem xét ở đây chính là tối thiểu hoá lượng dấu vết có thể để lại trong quá trình tấn công. (Xét theo góc độ cover track anh cũng đã đề cập ở trên, firewall chỉ có thể thấy được lượng traffic đi từ máy con đến (2.2.2.2) và sau đó mất hút. Rõ ràng rất khó để có được chút manh mối.)
+ Khi máy con trong kịch bản anh đề ra sử dụng nhiều bước trung gian thì điểm mạnh kế tiếp hẳn nhiên là tăng độ anonymously,, vì bắt đầu từ giai đoạn tạo ssh trong tunnel http thì mọi thứ đã được mã hoá - dĩ nhiên là attacker có thể áp dụng khoá riêng cho việc kết nối 2 bên bao gồm máy con (5.5.5.6) và (2.2.2.2) để tăng độ an toàn thông qua việc xác thực - cho đến giai đoạn jump sang 1 server anonymous thì khi tấn công đích (5.5.5.5), mọi dấu vết thu lại (nếu có) đều gây bất lợi cho việc điều tra
(Xét theo góc độ cover track thì attacker cũng có thể áp dụng những kịch bản nhằm đánh lạc hướng sự điều tra , 1 ví dụ anh conmale đã nêu rõ bên trên.)
- Xét về điểm yếu có thể có trong cách tấn công trên thì với ý kiến cá nhân ( có thể còn thiếu sót ) em xin nêu ra 1 vài điểm như sau :
- Do hành động này là gián tiếp cho nên phải thông qua nhiều giai đoạn - nên nhớ rằng kịch bản đưa ra đã được đơn giản hoá do thực tế còn muôn vàn cách biến hoá khác nhau - cho nên điểm yếu đầu tiên đó là ta đã tăng sự phân tán trong việc xoá vết bởi vì sao ? Chỉ cần 1 động tác thừa hoặc 1 chi tiết bỏ sót thì mọi khả năng bị trace lại đều khả hữu. Vì vậy ở mỗi giai đoạn attacker cần có 1 kế hoạch cụ thể để dựa vào đó mà thực hiện việc cover tracks 1 cách hiệu quả.
- ( Đây là điểm em chưa đủ kinh nghiệm để có thể khẳng định! ) Do máy con được nêu ra ở đây (5.5.5.6) thuộc cùng mạng của máy đích (5.5.5.5) cho nên khi attacker thực hiện tấn công sẽ phải thực hiện ngay trên máy tại công ty, việc này có thể dẫn đến 1 vài điểm yếu khác , ta giả tỉ rằng máy con này của công ty bị giới hạn quyền hạn nên khi máy đích bị tấn công, nếu họ triển khai theo hướng điều tra nội bộ, ắt hẳn phải điều tra máy trong cùng mạng, vì vậy nhiều rủi ro tại công đoạn này cũng có thể xảy ra.
|
|
|
|
Hoàn cảnh : 2 chuyên gia vừa tốt nghiệp khoá hacker mũ xích lô đang lên kế hoạch về cách thâm nhập và xoá dấu vết của 1 server chuyên kinh doanh vé số khuya sổ sau khi đọc chủ đề case studies Cover Tracks trên diễn đàn hva.
Anh A: Với kiến thức và kinh nghiệm của 1 sysadmin thì chúng dễ dàng khám phá được hệ thống bị xâm nhập và sẽ thử trace ra chúng ta.
Anh B : hầu hết các attacker kinh nghiệm đều theo 1 series guideline khi thâm nhập hệ thống. Trong giai đoạn thăm dò, tui sẽ khảo sát kĩ lưỡng mạng mục tiêu để tìm được điểm yếu, quá trình này dĩ nhiên là chủ động nên vì thế hầu hết ta cần thực hiện nó đằng sau 1 cái proxy server chẳng hạn như socks…vv. À, để chắc ăn thì MAC address của ta cũng thay đổi luôn . Còn 1 thứ nữa là phải xác định kĩ mục tiêu không nên là 1 cái honeypot thì tui mới chơi sau đó ta sẽ xoá log hoặc nhiễu log và … chơi rootkit.
Anh B: Hừm để ta đoán vậy là chú sẽ sử dụng 1 proxy servers như SOCKS kết hợp với ssh chứ gì.
Anh A : trừ khi tui dùng private proxy vì proxy server thường giữ log lưu toàn bộ ai sử dụng kết nối của họ và như thế thì ko đúng tiêu chí của tui là anonymous. Vậy tui sẽ chọn cách đi qua nhiều 1 loạt numerous server trước khi tui đạt được tới đích.
- Không nói đâu xa, 1 cái phổ biến mà tui thấy mấy anh giang hồ hay xài là Tor (http://tor.eff.org) vì nó sử dụng cryptography để tạo forward secrecy giữa các router vì thế dữ liệu ban đầu ko thể nhìn thấy.
- Thêm vào đó, đám router này được sử dụng ở khắp các quốc gia khác nhau với những stricter privacy law khác nhau hơn là ở VN hihi. Ngoài ra tui cũng có thể xài program khác như proxy chain chẳng hạn (http://www.proxychains.sourceforge.net).
Anh B : Hừm chú em nên nhớ 1 câu mà anh Nguyễn Minh Đức đã nói à : “… sớm hay muộn thủ phạm cũng sẽ bị bắt” Anh chưa phục đâu, hồi nãy chú em nói đến honey pot ta mới nhớ, thế nhỡ họ xài honey pot thì làm sao đây, giờ anh giả sử họ có honey pot với máy ảo vmware đấy !
Anh A : honeypot là 1 cái hũ mật ong để bẫy mấy chú ong với giả lập 1 hệ thống bị lỗi ( fictitious vunerable system) phải không anh, nhưng mà anh ơi năm nay là năm Thìn, năm cao số của em mà, giới hacker từ lâu đã phát triển những kĩ thuật để detect và disable logging trên hệ thống rồi mà anh hihi.
-Theo em biết thì có 2 loại honey pot : honey id là low-interaction và honey net là high-interaction, đặc tính thì anh lên google kiếm giùm em, dù vậy cả 2 đều có đặc điểm là xài virtual machine để mô phỏng nhiều máy như VMWare chẳng hạn, ok em sẽ fingerprinting nó trên window và detect nó trên linux, how?
Có nhiều cách để detect mình chạy dứơi vmware như :
Copyright Vendor strings trong những file khác nhau
VMware specific hardware drivers
VMware specific BIOS
VMware specific MAC addresses
Installed VMware tools
Issues of the hardware virtualization (e.g. virtual sets of some registers)
Trong VMware, toàn bộ việc truy xuất bộ nhớ đều thông qua GDT và LDT, cà 2 bảng chứa những segment cung cấp base address, access right, type, length và usage cho mỗi segment
1 interrupt descriptor table (IDT) tương tự như GDT và LDT, nhưng nó chứa gate descriptors cung cấp truy cập đến interrupt and exception handlers. Mỗi bảng lại được tham chiếu bởi SGDT, SLDT, và SIDT …( Để tránh việc lạc đề, em xin tạm dừng vì nó liên quan đến từng tầng kernel trên mỗi os – window thì phải sử dụng i/o backdoor - thì cách detect khác nhau.)
Anh B : Ok chú nói nhiều mệt quá, ta hỏi chú nếu chú xâm nhập rồi thì chú định làm gì, để lại file hacked à ?
Anh A : Dạ không, tuỳ hệ điều hành của server mà em sẽ dùng những biện pháp khác nhau nhưng tựu chung là em sẽ cài 1 con rootkit lên server anh để tiện theo dõi và … xoá vết vì có muôn vàn cách để anh trace em, thôi thì em thiên biến vạn hoá tuỳ động thái mấy ảnh vậy, mặc dù em biết đây cũng là con dao 2 lữơi hihi. Vậy vấn đề em cần bàn ở đây sẽ là Giấu file mã độc ( Hiding data ) trên server, trên windows thì em dùng tính năng Alternate Data Stream (ADS) cho NTFS, còn Linux thì em dùng ext2hide chẳng hạn. Sau đó em sẽ sửa chữa hoặc remove luôn con log…vv
Anh B : Vậy tóm lại nãy giờ anh với chú nói chuyện thì anh sẽ tổng kết mấy ý của chú như sau :
- Dùng Proxy để thăm dò
- Xác định target có phải là honey pot
- Cài rootkit để tiện cover tracks
- Tấn công log các kiểu
Ok đón xe ôm về cà mau, chú nhớ mang cục 3G theo nha, mang nhiều sim rác vô nha, vào đó vừa tắm biển vừa hack nó mới đã !
|
|
|
|
Sau khi đã tham khảo những giải pháp thiết thực và hữu ích từ những bài viết trên, em xin điểm thêm một vài chi tiết nhỏ để chúng ta có thể đưa đến 1 giải pháp tốt nhất cho case study này :
Về đối ngoại :
- Điểm đầu tiên, đã là một công ty tức phải có nhiều nhân sự và nhiều bộ phận, thiết nghĩ họ nên có chính sách rõ ràng cho từng bộ phận với nhiệm vụ và mục đích khác nhau khi đối phó với sự cố này. Ở đây ta thấy trang web là bộ mặt của một công ty - nơi khách hàng thường xuyên vào để cập nhật thông tin và tìm hiểu về sản phẩm - , nhất là với 1 công ty chuyên về bảo mật thì uy tín là rất quan trọng vì độ bảo mật luôn tỉ lệ thuận cũng sự uy tín.
+ Vậy giải pháp cần triển khai đầu tiên để đảm bảo uy tín trước tiên là ... tăng cường lại độ bảo mật. How ? Người làm bảo mật thì luôn đi kèm trách nhiệm cao, vì vậy ta cần thẳng thắn thông báo ,giải thích một cách chính xác và rõ ràng về sự 'bất thường' trên bằng cách tạo 1 trang thông báo về sự cố vừa qua - đối với home page - hoặc 1 thread - đối với forum - , dĩ nhiên là sau khi liên hệ bộ phận R&D để remove trang defaced, ta thấy có 2 điểm mang lại dấu hiệu tích cực
.1 là các phóng viên của các trang báo mạng vừa có thể cập nhật nguồn tin cho báo mình, vừa lọc được những đối tựơng khi họ liên hệ với ta để cập nhật thêm nguồn tin khác.
.2 là làm diệu dư luận với nội dung cô đọng, không quá che giấu sai lầm.
- Điểm thứ hai, Forum là 1 diễn đàn được công ty đầu tư để trở thành 1 nơi giao lưu giữa người sử dụng, khách hàng ...vv với đại diện của công ty, vì vậy chí ít ban quản trị diễn đàn cũng là 1 phần thể hiện cho bộ mặt, thái độ cũng như lời nói của công ty
+ Vậy giải pháp cần triển khai kế tiếp chỉ là chọn lựa những thành viên có kĩ năng mềm tốt - vì em không lầm thì ngành nào chúng ta cũng được đào tạo kĩ năng mềm dù ít hay nhiều - nhằm xoa diệu dư luận, giải thích bằng sự tỉnh táo, tránh áp dụng các hình thức dễ gây tiêu cực cho thành viên tham gia thảo luận như banned - trừ khi họ vi phạm nghiêm trọng luật đề ra - .
Về đối nội :
- Điểm thứ ba , rõ ràng ta cần phải xem xét hiện trừơng, ở đây em cũng có vài thắc mắc, BKAV cũng từng có vài bài post về hệ thống HoneyPot của họ, vậy với dấu hiệu cho thấy sự hiện diện của DDOS trên forum của họ thì HoneyPot lúc này đang đóng vai trò gì ?
+ Vậy giải pháp lúc này là : Liên hệ với bộ phận R&D hay technican để thực hiện truy cứu nguyên nhân, yêu cầu họ làm 1 bản report mô tả đầy đủ sự kiện với các tư liệu cụ thể vì đây là các bằng chứng quan trọng, mặt khác ta làm 1 công văn liên hệ với các cơ quan có thẩm quyền để cung cấp sự kiện, vật chứng, đẩy mạnh điều tra vì họ là những người có nghiệp vụ. Quan sát nội dung attacker để lại, ta có thể đặt giả thiết gì về mối quan hệ của những attacker này với đồng phạm bị bắt ? Cân nhắc kĩ trước khi quyết định vì thoả thuận không đạt có thể dẫn đến nhiều điều rắc rối khác - Rõ ràng attacker đã có DB nên xét cho cùng họ đang có lợi thế - .
-Cuối cùng, ta cần xem lại chuỗi mắc xích từ các tầng ứng dụng web, do mỗi đối tựơng có những phiên bản khác nhau nên :
+ Cần kết hợp các thông tin bảo mật về các lỗi 0 day nhằm thực hiện cập nhật các bản vá
+ Đưa ra các chính sách an toàn cho người dùng vì DB đã bị tiết lộ
+ Thực hiện các biện pháp kĩ thuật dựa trên kết cấu hạ tầng mà họ là người nắm rõ nhất.
+ Liên tục tham khảo các bài viết mang tính thiết thực ở các diễn đàn uy tín (như HVA chẳng hạn ) !
|
|
|
|
- chào huy_chuoi :
+ Hiện nay ngành tester ở VN đã phát triển từ cách đây lâu rồi, điển hình là công ty LogiGear, bạn có thể vào trang --> http://logigear.vn để tìm hiểu thêm về product TestArchitech của họ và những quyển sách có thể giúp bạn hiểu thêm về ngành này , ngoài ra phần resource cũng có nhiều liên kết hay.
+ tester chỉ quan tâm đến đọc review , lập test case cho từng input output tương ứng với requirement của khách hàng, sau đó viết báo cáo bug rồi gửi lại cho bộ phận dev,khi bạn đọc vài tài liệu bên trên thì sẽ hiểu là tester có 2 hướng : test tay và test tự động cho nên đã xác định vào làm tester thì bạn hãy luyện kĩ năng viết script vì nó sẽ giúp bạn "ngủ ngon" hơn với công nghệ aumation testing ^.^ . À trong đó có bảng thăng cấp theo từng bậc liên quan đến thắc mắc cơ hội nghề nghiệp của bạn đó.
+ "Mức lương phụ thuộc năng lực của bạn "
|
|
|
|
- bạn làm mình nhớ tới 1 công cụ 1 thời ( cũng 5 năm rồi :">
- PRIAMOS -> http://www.priamos-project.com/versions.htm
dowload về rồi reverse nó thử đi ^.^
|
|
|
|
Nguyên nhân thì nhiều loại, nếu thùng cpu lâu ngày không vệ sinh dẫn đến đóng bụi thì phần tản nhiệt ở quạt sẽ không thể hoạt động do bụi thì máy cũng sẽ không hiển thị, giải pháp đơn giản là vệ sinh quạt nếu bạn biết cách,không thì đem ra tiệm ( cũng rẻ thôi) , 1 khả năng khác
có thể đến từ Ram, hoặc con cpu dưới chân quạt, cũng không loại trừ cả main board và 2 chú chip trên main
|
|
|
|
- mình xin chia sẽ thêm, thường thì đứng ở vai trò developer , mình hay dùng những kĩ thuật cơ bản như sau để chống sql-injection tuỳ từng trường hợp :
1/ Paramiterize all queries :
- Theo cách này thì khi nhận được malicious code độc hại trong biến thì sql vẫn trả về 1 blank result set và có nghĩa là đoạn mã độc hại nào đó sẽ không bao giờ thực hiện được ( drop table chẳng hạn), hầu hết những ORM như SQLAlchemy đều tự động dùng kĩ thuật này để làm nền tảng chống sql-inj
2/ Use Only Stored Procedures :
- Cách này thì đặc biệt là không cung cấp trực tiếp việc chống lại các cuộc tấn công sql-injection, tuy nhiên nó tăng tính "comprehensive" cho việc phòng thủ, vì vậy nên kết hợp với phương pháp paramiterize input, tuy nhiên nếu store procedure sử dụng 1 dynamic sql thì store vẫn có thể thực hiện 1 malicious code vì vậy phải kết hợp parameterizing luôn đới với dynamic sql thông qua sp_executesql.
3/ Limiting Permissions :
- Cách này sẽ hạn chế quyền người dùng để hạn chế tác hại tới sql
4/Validating Input :
5/ Concealing Error Message :
- Tấn công sql cũng có thể xảy ra từ những thông báo lỗi do server trả về và sẽ là những thông tin hữu ích với attacker nếu họ muốn biết về schema của db.
6/ Limiting Damage bằng các cách như sử dụng encryption/hashfunction tuỳ những trường hợp tương ứng kết hợp Segregate data, auditing and logging...vv
|
|
|
|
trời ơi trường hợp này lạ nhiều nữa là khác :
- lúc AV báo có virus sao cậu không xem luôn đó là virus tên gì, file nào nhiễm ( cái này AV có ghi mà) để bây giờ phải hỏi con virus ấy là con gì
- nó hiện cái gì mà cậu cho là đang bị gỡ lia lịa nhiều chương trình cùng 1 lúc vậy ?
hông ấy giờ vậy nè , cái usb cậu còn giữ đó đó, cậu tìm cách nào để lấy thông tin thêm về con đó trong usb xem, còn dữ liệu thì cậu gỡ ổ cứng ra đi, đem ra tiệm sửa chữa người ta sẽ gắn vô máy ngoài tiệm rồi copy cho cậu vì ổ cậu nếu mất ổ win rồi thì muốn lấy chỉ còn biết ké ổ win người ta thôi à 
|
|
|
|
@ TheShinichi : tool này ngưng phát triển lâu , tuy còn bug nhưng tổng thể còn ngon :"> ILIDE
@wkia : nghiên cứu nghen hihi
http://www.ssware.com/articles/protect-and-obfuscate-your-dotnet-code-against-reverse-engineering-using-crypto-obfuscator.htm
+bonus : http://hackerzvoice.net/madchat/vxdevl/reverse/
|
|
|
|
chào wkiamiuemth , mình cũng có đề cập ở trên, bất cứ trình protector hay pack nào cũng đều dựa theo cấu trúc pe, nắm vững được nó và các địa chỉ thì mới hiểu được nguyên lý hay các trick của nó rồi từ đó đưa ra phương hướng, ví như .net reactor sử dụng các tip như chèn các chỉ thị 'branch','load int0' hay 'pop' vào mỗi method để anti-decompile và dĩ nhiên điều cần tìm hiểu tiếp theo là 1 cuốn sách nói về il, vì .net sử dụng nhiều api của win32 cho nên hiểu thêm về hệ thống cũng cần thiết.
- mình nghĩ flow-control tốt là thuật giải tốt và cấu trúc dữ liệu hợp lý,trên dotnet có 3 cột trụ hướng lập trình OOP : encapsulation, polymorphism và inhenritance, hiểu được từng ưu nhược điểm, áp dụng vào chương trình demo nhỏ thực tiễn , reverse code những file demo đó, tham khảo tài liệu sẽ giúp bạn nhiều điều thực tiễn hơn , good luck!
|
|
|
|
|
- chào bạn, bạn nên đọc thêm các tài liệu về reverse trên nền dotNet ở các diễn đàn thế giới, obfus thì có de-obfus, và để de-obfus được thì bạn phải hiểu được cấu trúc pe trên nền dotnet, il code, opcode table, có thể trace hoặc dump memory từ ram bằng các tool được public như dotnet tracer, generic unpacker, hay Xecostring (của anh rong).... try à còn việc obfucas không làm bó tay ấy anh reverser đâu à nha hihi
|
|
|
|
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
