Messages posted by: Look2Me

"Sử dụng cơ chế kernel debug: Một máy thật, 1 máy ảo."
Bạn cài bộ Windbg lên, trong help của nó có hướng dẫn cách thiết lập máy ảo để debug.

Ngoài ra bạn cũng nên download bộ symbol của các file hệ thống của microsotf rất có ích trong debug driver.

Xin lỗi cái này dùng để làm gì vậy bạn nhỉ?

@akirasan: Chào bạn!
Trường hợp của bạn được lý giải như sau:
Do file userinit không được nạp lúc khởi động nên nó chỉ hiện ra 1 cái màn hình trắng như vậy.
Lúc đó bạn có thể ấn: CTRL+ALT+DEL để hiện taskmanager, sau đó vào File -> New task gõ: explorer.exe thì sẽ sử dụng được bình thường.
Về cách sửa thì bạn có thể lựa chọn các cách sau:
1. Update ctrinh diệt virus để diệt + cài repair Windows.
2. Diệt tay:
B1: xác định nguyên nhân file userinit.exe không được nạp, có thể có 2 nguyên nhân:
- Key nạp userinit bị sai: Giải quyết như rất nhiều bài hướng dẫn đã nêu trong HVA và trên mạng. Diệt tay với các virus trong may.
- File userinit bị virus lây vào => hỏng không chạy được nữa (khi chạy sẽ có thông báo lỗi): Khắc phục tạm thời: copy file userinit từ máy khác sang. Chú ý trong trường hợp này bắt buộc phải update ctrinfh AV vì 99% là bị nhiễm virus lây file rồi.

buồn ngủ quá đi ngủ đã. smilie

) hi vọng bạn thành công.
Gluck=;

Con này cổ lắm rồi, không có code nhưng chính xác là CIH đấy!

Chán ghê! Biết 10 nói 1 đã là không tốt, nhưng biết 1 nói 10 thì ...
Cái đầu tiên: "Anti-Debug" là gì thì đã chưa đúng ....

napoleon_tq wrote:

Look2Me wrote:

Đâu có phải mình HVA bị vậy đâu, tôi vào nhiều site bị kiểu vậy lắm (site đặt server ở nước ngoài). Ức chế quá đi, tổ sư bọn VNPT nữa chắc lại xài con proxy ngu ngốc nào rồi. (xin phép chửi bậy, ai duyệt web bị vậy mới biết). Tốt nhất là kiếm 1 con private sock ngon lành rồi xài ...

Khi chưa tìm hiểu kỹ càng, có cơ sở thì không nên hồ đồ phán bừa !

1. Nhiều người cùng bị.
2. Những người bị cùng sử dụng mạng VDC.
3. Hiện tượng xảy ra với nhiều trang khác nhau.
4. Tôi có thể đảm bảo mình không bị nhiễm virus.
=> Suy luận đi nào?

Đâu có phải mình HVA bị vậy đâu, tôi vào nhiều site bị kiểu vậy lắm (site đặt server ở nước ngoài). Ức chế quá đi, tổ sư bọn VNPT nữa chắc lại xài con proxy ngu ngốc nào rồi. (xin phép chửi bậy, ai duyệt web bị vậy mới biết). Tốt nhất là kiếm 1 con private sock ngon lành rồi xài ...

Có chuyện đó thật sao ???????
Hôm nay mình vào không thấy bị gì hết!

Làm thế nào để chôm cái icon của file gốc đây, lại phải thay icon vo exe của virus nửa ????????

Lấy icon của file gốc thì có 2 cách: phân tích resource (xem tài liệu về PE Header), hoặc dùng hàm API.

UINT ExtractIconEx(
LPCTSTR lpszFile, // file name
int nIconIndex, // icon index
HICON *phiconLarge, // large icon array
HICON *phiconSmall, // small icon array
UINT nIcons // number of icons to extract
);

Ghi icon đó vào file của mình thì chắc không khó khăn chứ bạn?

mạng VDC bị như vầy. Có thể là do proxy của VDC >"< Bực mình quá đi.

Để debug bạn nên cài bộ Windg của Microsft. Sử dụng cơ chế kernel debug: Một máy thật, 1 máy ảo.

LeVuHoang wrote:

hì hì, mấy bác răn đe em nó quá.
@only1bit và vuadapass: Trước tiên, muốn viết "virus", thì làm ơn đọc định nghĩa và cách lây lan trước đã. Đọc xong nếu còn gì chưa hiểu, có thể post tại đây để các bác giải thích cho

Ôh hô, may phước sao em lại gặp ở đây thật nhiều các bác thật là tài giỏi smilie

Em ngu dốt có mấy chỗ đọc mãi mà không hiểu mong các bác chỉ cho:
- Làm thế nào để ngăn chặn virus từ web nhiễm vào máy qua các lỗi zero-day.
- Với virus đa hình thì phải debug như thế nào? viết tool diệt theo cơ chế gì?
- Muốn viết tool diệt MBRoot thì phải làm như thế nào.
Rất mong các cao thủ bỏ chút thời gian khai sáng cho thằng ngu em.
smilie

1. dễ gọi hàm hệ thống.
2. các chương trình diệt virus khó debug vì vb6.0 không trực tiếp truy cập các hàm API mà gọi thông qua MSVB60.DLL.
3. kích thước EXE nhỏ (không giống như MSVC++ quá cồng kềnh).
4. dễ viết.

Đúng với góc nhìn của bạn!
Hai năm nữa chắc chắn bạn sẽ nghĩ khác đi ở các điểm 1,2,3.

Bạn thử viết 1 đoạn quét thư mục chia sẻ trong mạng LAN rồi lây vào đó được không?

Hey hacnho: Sao để máy thê thảm vậy T_T.
Bạn nào có mẫu thì upload rồi send link cho mình nhé.
<-- cực ghét virus phá hủy tài liệu ntn.

Bạn cho rõ link được không?
Chân thành cảm ơn!

Có một bài về phòng chống virus lây qua USB rất hay ở đây:
http://virusvn.com/forum/showthread.php?t=77
Các bạn có thể tham khảo.
Mình hơi lười copy paste, srry!

1. Không nên viết Java, trừ khi bạn định viết Anti-Virus cho mobile thì Java vẫn cần phải cân nhắc.
2. Tài liệu để viết AntiVirus: Đầu tiên bạn phải hiểu về Virus => Bạn cần đọc tài liệu về virus. Tiếp theo, bạn cần phải có kiến thức tốt về lập trình hệ thống. Những kiến thức này ... theo mình là không có trong một giáo trình nào cả mà chủ yếu là bạn phải tự góp nhặt kiến thức thôi.
3. Bạn có thể vào http://virusvn.com để cùng thảo luận kỹ hơn nhé. Trong đó bọn mình cũng đang có dự án phát triển antivirus. smilie

Trả lời:
- Khi đổi đuôi file .txt thì không thể tự chạy được bằng cách double click thông thường.
- Vẫn có thể chạy được bình thường nếu chúng được gọi bằng các hàm API.

Tôi đã từng thấy rất nhiều virus chạy dưới đuôi .txt ^^!

Đợt trước mình có nghiên cứu về: virus trên mobile. Việc revert thì không có vấn đề gì, nhưng khi viết ctrinh diệt thì đang gặp rất nhiều khó khăn do không thể can thiệp được vào OS của nó (kiểu như viết driver trên Windows).
=> Bỏ. smilie

( bùn ơi là bùn.
PS: IDA có plugin hỗ trợ cho symbian đóa.

phongvan_khtn wrote:

Hi,các bạn cho mình hỏi chút.Những tiêu chí nào cần thiết để trờ thành team leader (còn project manager thì khá cao,để bàn sau).
Theo mình thì cần những tiêu chí sau:
-- ngôn ngữ: pro 1 ngôn ngữ nào đó mà bạn thích,còn chuyện pro thế nào thì các bạn có thể bàn tiếp, (mình thì chọn java vì khoa mình chỉ dạy tập trung mỗi java) --> Dĩ nhiên là phải pro. Tuy nhiên đây không phải là tiêu chí để chọn leader.
Thay vì pro 1 ngôn ngữ, hãy pro lĩnh vực bạn đang làm việc.
-- ngoại ngữ: có bằng Toeic (mình bằng A còn chưa có ) --> Vớ vẩn. Ngoại ngữ hỗ trợ rất nhiều cho bạn trong công việc. Đây là một lợi thế. Dĩ nhiên cũng không phải là tiêu chuẩn chọn leader.
-- csdl: sành sõi Mysql or Sqlserver or Oracle (mình chỉ được học Mysql mức Basic) --> Bạn đang định trở thành một coder chăng?. Không cần thiết trừ khi bạn phải làm leader cho 1 nhóm làm về data base.
-- rành về phân tích thiết kế hệ thống thông tin,quản lý đồ án phần mềm và cấu trúc dữ liệu --> Đây là tiêu chuẩn hàng đầu
+ hiểu biết căn bản về quản trị kinh doanh --> Sai! Chả hiểu bạn nghĩ gì nữa mà lại nêu yêu cầu này.
-- tính tình và năng lực bản thân: cần cù ,siêng năng,tháo vát,có óc logic ....còn gì nữa các bạn bổ sung tiếp ha (hix,những phần này mình chỉ đạt 40% hà )

Wa những fân tích trên thì để đạt được Tead leader chắc mình cần phải phấn đấu thêm 2 năm nữa.Còn bạn thì sao?hãy nêu ý kiến của mình để ,mọi người cùng học hỏi.Thanks

Có nhiều cái sai! Còn thiếu.
2 năm để bạn trở thành team leader là có vẻ nhanh quá ^^!
Theo tôi bạn đang định hướng để trở thành 1 coder, và 2 năm là vừa đấy smilie

Việc đầu tiên bạn nên làm là bỏ màu mè kia đi nếu không muốn bị move ->trash!

Ừhm tôi cũng là người rất thường xuyên trả lời các câu hỏi mà ... các mod, elite khác chán nản không buồn chả lời. Nhưng quả thực câu hỏi lần này quá nản!

File muốn chạy được phải là PE file (Portable Executable), hoặc một số định dạng chạy được trên DOS (.com .bat .exe) . Đuôi file la`: exe,com, dll, ocx, pif, msi ...
Sau khi bạn nén, nội dung bên trong file đã bị nén (biến đổi). Đuôi file bị đổi thành .zip, .rar ...
Những đuôi file này không thể tự chạy được. Muốn chạy bạn phải qua bước giải nén trước khi chạy.

Hiểu đơn giản:
Mã độc là 1 thanh kiếm, việc nén là việc nung nóng chảy thanh kiếm => 1 cục sắt vô hại.
Giải mã là quá trình biến đổi từ cục sắt -> thanh kiếm ban đầu.

PS: Híc ví dụ nghe ngu ngu :">

Chào bạn stupid!
Hình như bạn là ngôi sao spammer thì phải!

Về vấn đề bạn thắc mắc mình xin trả lời như sau:
1. Chuyện nén virus để upload lên 4rum và chuyện vô hiệu quá virus ... chẳng có liên quan gì tới nhau cả. Mục đích của việc nén ở đây là: Giảm kích thước file để tiện upload, download. Trên các hosting mà ta upload virus rất có thể đã cài soft antivirus do đó: việc nén file (có kết hợp với đặt password) sẽ làm biến đổi cấu trúc file làm cho các chương trình AntiVirus không nhận ra được nữa.
2. Các thắc mắc của bạn: 1,2,3 có thể trả lời tựu chung lại: Muốn lưu mẫu virus thì nén lại, đặt password.

Trời đồng trí Thắng nhẹ tay cho bạn ấy một tí.
Nhìn nick của bạn ấy kìa: khátkhaotrithức smilie

Ai chẳng bắt đầu từ 1 kẻ ... chưa biết gì. Quan trọng là họ có ước mơ và sẵn sàng hi sinh cho mơ ước đó thì thể nào rồi cũng thành công.

@khatkhaotrithuc: Theo mình hiểu bạn muốn chia 4 máy của bạn (hiện cùng 1 LAN) thành các máy thuộc nhóm mạng khác nhau, ví dụ 2 máy 1 mạng, còn 2 máy kia 1 mang khác?
Nếu như vậy điều đó phụ thuộc hoàn toàn vào router của bạn:
- HUP không hỗ trợ chia VLAN.
- Router của bạn có cấu hình được không, có hỗ trợ chia VLAN không ....
Nếu nó chỉ là modem thông thường thì ... bó tay rồi.

Trả lời:
Bạn có thể dùng tính năng suppend process của chương trình ProcessXP để suppend lần lượt cả 5 process của con virus đó. Tiếp theo bạn kill các process.
Nguồn:
http://virusvn.com/forum/showthread.php?p=64

Thanks all!
Ngày xưa bị B Virus cũng phải dùng cái fdisk để xử... Bây giờ thử lại phát xem. Để backup dữ liệu đã ...zzz..zzz

Nói ra thật ngại nhưng mà mình đang bị nhiễm con này. smilie

Số là hôm qua sử dụng máy thi thoảng thấy chậm (5s thì chậm mất 1s giống như chơi game bị lag mạng ý). Sau khi kiểm tra hết danh sách các process không thấy có vấn đề gì mình mới dùng mấy tool detect rootkit và kết quả là phát hiện ra cái này. smilie

Theo hiểu biết của mình MBR Rootkit là loại rootkit hoạt động giống cơ chế của virus Boot ngày trước. Lây nhiễm vào sector 0 của ổ đĩa, lên trước cả OS và che dấu hoàn toàn sự tồn tại của virus. Ai từng nghiên cứu về MBR Rootkit xin cho cao kiến. Bây giờ phải diệt con này ntn? Có đúng là máy mình bị virus không? Sau khi khởi động lại, scan bằng Gmer thì không còn thấy thông báo như trên nữa!!!!

PS: Không chấp nhận format or cài lại OS.

Tôi không có cách giúp bạn, nhưng tôi lại có cách để bạn của bạn chiếm quyền máy tính của bạn mà thôi.