| |
|
|
|
Cảm ơn bạn, thông tin bài viết của bạn rất hữu ích. Mình cũng đang chuẩn bị thi CEH, mong bạn chỉ giáo thêm cho.
|
 |
|
|
Theo kinh nghiệm của tớ thì dùng McAfee là ổn nhất. Ngay cả so với bản KAV thì bản anti-virus của McAfee cũng nhanh hơn, do chiếm ít bộ nhớ ảo hơn KAV. Nếu ai để ý thì sẽ thấy KAV khi chạy chiếm rất nhiều bộ nhớ ảo.
Chú ý: Bản McAfee cho Enterprise chạy nhanh và ổn định hơn bản home. Tớ đã dùng thử cả 2 bản và có nhận xét như vậy.
Mọi người có thể download bản McAfee anti-virus cho Enterprise tại
http://www.9down.com/McAfee-VirusScan-Enterprise-8-7i-Retail-32916/
http://www.9down.com/McAfee-VirusScan-Enterprise-8-7i-RC-31729/
Ngoài ra để phòng chống anti-spyware tốt thì mọi người nên download module Anti-spyware tích hợp với Anti-virus tại đây
http://download.nai.com/products/evaluation/anti_spyware/v8.7/ASEM87EML.Zip
Thân,
|
|
|
|
Con virus này McAfee đã phát hiện và diệt được, tên của nó là DNSChanger.pi
Link : http://vil.nai.com/vil/content/v_143355.htm
- Với con virus này có thể cài chương trình diệt virus của McAfee để diệt.
- Có thể diệt bằng tay theo cách sau đây:
1. Turn off chế độ System restore.
2. Cài đặt và cập nhật phiên bản diệt virus mới nhất( hiện nay McAfee đã có phiên bản Virus Scan 8.7)
3. Chạy và quét toàn bộ hệ thống.
4. Khởi động lại máy và thay đổi lại các khóa trong registry mà con trojan này đã tạo ra.Cụ thể như sau:
- Nó thay đổi các khóa sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System: "[random].exe"
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer: "85.255.115.30,85.255.112.184"
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer:
"85.255.115.30,85.255.112.184"
- Sửa lại thành default như ban đầu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer: …..
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer:….
- Đồng thời nó cũng tạo thêm các khóa sau:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
sware = "%ProgramFiles%\WinMsg\SWARE.EXE"
bal = 43 3A 5C 50 72 6F 67 72 61 6D 20 46 69 6C 65 73 5C 57 69 6E 4D 73 67 5C 53 59 53 4D 4F 4E 4D 53 2E
45 58 45 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SelectiveAdmission]
UninstallString = ""%ProgramFiles%\SelectiveAdmission\Uninstall.exe""
InstallLocation = "%ProgramFiles%\SelectiveAdmission"
DisplayName = "SelectiveAdmission"
DisplayIcon = "%ProgramFiles%\SelectiveAdmission\Uninstall.exe,0"
NoModify = 0x00000001
NoRepair = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
PendingFileRenameOperations = 5C 3F 3F 5C 43 3A 5C 44 4F 43 55 4D 45 7E 31 5C 55 73 65 72 4E 61 6D 65
5C 4C 4F 43 41 4C 53 7E 31 5C 54 65 6D 70 5C 6E 73 72 33 2E 74 6D 70 5C 45 78 65 63 44 6F 73 2E 64 6C 6C
00 00 5C 3F 3F 5C 43 3A 5C 44 4F 43 55 4D 45 7E 31 5C 55 73 65 72 4E 61 6
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
PendingFileRenameOperations = 5C 3F 3F 5C 43 3A 5C 44 4F 43 55 4D 45 7E 31 5C 55 73 65 72 4E 61 6D 65
5C 4C 4F 43 41 4C 53 7E 31 5C 54 65 6D 70 5C 6E 73 72 33 2E 74 6D 70 5C 45 78 65 63 44 6F 73 2E 64 6C 6C
00 00 5C 3F 3F 5C 43 3A 5C 44 4F 43 55 4D 45 7E 31 5C 55 73 65 72 4E 61 6
[HKEY_CURRENT_USER\Software\SelectiveAdmission]
(Default) = "%ProgramFiles%\SelectiveAdmission"
Start Menu Folder = "SelectiveAdmission"
xóa các khóa này đi.
- Nó cũng thay đổi các khóa sau:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
NavigationFailure = "http://safe-strip-download.com/soft/in.cgi?5&group=sta"
NavigationCanceled = "http://safe-strip-download.com/soft/in.cgi?5&group=sta"
Default: NavigationFailure = "res://shdoclc.dll/navcancl.htm"
NavigationCanceled = "res://shdoclc.dll/navcancl.htm"
[HKEY_CURRENT_USER\Control Panel\Desktop]
Wallpaper = "%Temp%\sdw_wall.bmp"
Default:C:\Document and Settings\tên máy\Local Setting\Application Data\ Microsoft\ Wallpaper1.bmp
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = "http://safe-strip-download.com/soft/in.cgi?5&group=sta"
Default: Start Page = " res://shdoclc.dll/hardAdmin.htm "
Search Page = "http://safe-strip-download.com/soft/in.cgi?5&group=sta"
Default: Search Page= “http://www.microsoft.com/isapi/www.dll?prd=ie&ar=iesearch”
cần xóa các khóa này đi và đổi về mặc định nếu nó thay đổi
- Xóa các file sinh ra trong ổ đĩa:
%Temp%\hqcodec1236.exe
%Temp%\hqcodec1347.exe
%Temp%\megacodec1342.exe
5. Cần thay đổi lại về default cho DNS server và TCP/IP cho máy trong mục Connnection Network.
|
|
|
|
Đã test với BKAV Home, sau khi quét xong khởi động lại vẫn bị logon/logoff. Vậy mà BKAV nói không ảnh hưởng.
|
|
|
|
Tớ đang thử test với NAV, và McAfee. Nghe chừng BKAV hay nói xấu hãng khác để lấy danh cho mình. Nếu thật sự tốt thì sao không tự chứng minh.
Thảo luận bên DDTH : <quote> http://www.ddth.com/showthread.php?t=222439 </quote>
|
|
|
|
Mọi người có ý kiến gì về vụ này. Phải chăng BKAV lại tiếp tục quảng bá thương hiệu của mình.
Gần đây rộ lên hện tượng người dùng bị hỏng hệ điều hành sau khi quét virus trên máy tính. Đa số “đổ tội” cho virus, nhưng cuộc thử nghiệm của trung tâm an ninh mạng BKIS cho thấy kết quả bất ngờ: thủ phạm “phá hoại” chính là các phần mềm chống virus!
Triệu chứng phổ biến là sau khi diệt virus thành công, khởi động lại máy tính, người dùng sẽ không thể sử dụng Windows được nữa mà bị đẩy trở lại màn hình đăng nhập (logon). Thậm chí, dù đăng nhập được cũng không thể làm việc tiếp do trình duyệt web, duyệt file đều bị lỗi. Trong phần lớn trường hợp, người dùng đều cho rằng phần mềm diệt virus “để sót” khiến hỏng máy. Nhưng buổi thử nghiệm ngày 12/11 tại trung tâm BKIS hé lộ “bí mật” đầy bất ngờ: chính cách thức xử lý virus của các phần mềm phổ biến trên thị trường mới là nguyên nhân gây hỏng Windows!
Trong buổi thử nghiệm này, 4 máy tính thiết lập giống hệt nhau được cho lây nhiễm các mẫu virus, sau đó cài đặt phần mềm chống virus phiên bản mới nhất. Sau khi phần mềm quét diệt virus, khởi động lại máy tính và ghi nhận kết quả. Nếu phần mềm không tự phát hiện virus, người thử nghiệm sẽ quét qua thư mục system32, nơi các virus mẫu được lây nhiễm vào.
Sau cả 4 lần thử, các phần mềm này đều xử lý virus theo cách xoá hoàn toàn/cô lập file bị lây nhiễm. Tuy nhiên, tất cả phiên bản Windows dùng thử đều gặp trục trặc sau khi diệt virus và khởi động lại. Anh Vũ Ngọc Sơn, chuyên gia của BKIS cho biết: các virus này đều lây nhiễm vào file hệ thống quan trọng, như userinit.exe, nên khi phần mềm diệt bằng cách xoá luôn file, Windows sẽ không hoạt động ổn định, từ không thể đăng nhập đến treo cứng. Những virus mẫu trong thử nghiệm là của một số dòng cụ thể có xuất xứ từ Trung Quốc, như HBService.Trojan, UserinitFakeD.Worm, XpacD.Worm v.v... Theo thống kê của BKIS, đã có ít nhất 47.000 máy tính ở Việt Nam bị nhiễm các dòng virus này.
Như vậy, bên cạnh cẩn trọng tối đa nhằm phòng ngừa trước các mối nguy hiểm rình rập trên Internet, người dùng Việt Nam cũng cần chú ý đến cách thức diệt virus. Trong phần lớn trường hợp, rất may chỉ có Windows bị lỗi, dữ liệu gốc của người dùng vẫn còn nguyên vẹn. Cách khắc phục sự cố hữu hiệu và đơn giản nhất là sử dụng đĩa CD cài đặt Windows để cài lại HĐH với lựa chọn “repair”, chỉ thay thế các file hệ thống mà không can thiệp vào các file và phần mềm đang sử dụng.
Theo Dantri.
|
|
|
|
Bác cho hỏi cách cập nhật đoạn mã trên vào trong Metasploit như thế nào vậy? Nếu có link tham khảo thì gửi cho em để em tham khảo ạ.
Thanks anh!
|
|
|
|
conmale wrote:
Một người bạn bảo tôi "Công ty tớ vừa trang bị một loạt stateful firewall, tốn mấy trăm nghìn đô la. Phen này tớ ăn ngon ngủ kỹ. Không phải lo bị tấn công nữa".
Thử dùng các yếu tố kỹ thuật và logic để phân tích xem câu nói trên:
- Đúng hoặc sai?
- Vừa đúng, vừa sai?
- Nếu đúng, tại sao đúng?
- Nếu sai, tại sao sai?
Mời các bạn thảo luận.
Theo em thì câu nói trên có 1 phần đúng.
Trước tiên, chúng ta phải xác định vấn đề:
- Thứ nhất đối với một hệ thống thì các mối nguy hại có thể xảy ra do đâu?
+ Từ bên ngoài hệ thống?
+ Từ bên trong hệ thống và các mối nguy hại khác..
Thứ hai, trước đây các loại firewall được thiết kế thường có mục đích chính là filter rồi sau này phát triển thành các loại firewall bay giờ ( Stateful, UTM: tích hợp nhiều tính năng trong một). Đối với một Firewall, nó chỉ điều khiển traffic từ trong ra ngoài và từ ngoài vào trong, cho phép và không cho phép, nó không thể phát hiện các tấn công(tuy nhiên các loại firewall mới hiện nay đêu có thêm tính năng phòng chống tấn công).
Ví dụ như bắt buộc hệ thống phải cho phép các giao thức hợp lệ như SMTP, HTTP đi ra/vào, firewall nó chỉ kiểm tra xem trạng thái của gói tin đó là hợp lệ hay không hợp lê thì nó cho ra. Chính vì vậy mới có thêm khái niệm IPS.
- Firewall thường được đặt tại tại vành đai của hệ thống, sau đó thì được triển khai thêm các thiết bị IPS nhằm ngăn chặn các tấn công vào hệ thống hoặc một phân đoạn mạng có thể là DMZ hoặc bảo vệ vùng Datacenter.
- Thông thường thì một quy trình đánh giả rủi ro được chia làm 4 phần.
+ Assest : chính sách, đánh giá, xác định mức độ ưu tiên các tài nguyên trong hệ thống (FoundStone, .., )
+ Risk : xác định mức độ rủi ro đối với các tài nguyên trên (FoundStone, ..,)
+ Protection : Sau khi xác định được mức độ rủi ro đối với các tài nguyên trong hệ thống thì phải xây dựng biện pháp bảo vệ. (AV, HIPS .. )
+ Compliance : Kiểm tra sự tuân thủ của hệ thống sau khi đã áp dụng và thực thi các biện pháp bảo vệ.
( Về quy trình em nói tóm gọn vậy thôi nói ra thì dài dòng lắm :p )
|
|
|
|
Hi all,
Em đang muốn kiếm một công viêc làm thêm. Có thể vào buổi tối hoặc làm online. Nếu mọi người thấy có công việc phù hợp thì SMS cho em với ạ.
Sex: Male
Age: 25
Living: Ha noi
Current Job: Consultant, deploy security solution (Presale).
Current Cert: CCNA, CCSA,
Mobi: 0959525301
Thanks all!
|
|
|
|
Hi all,
Tớ đang chuẩn bị thi CCSA, ai có video của CBT checkpoint thi share cho tớ xin một bản,
Thanks,
|
|
|
|
Thanks kienmanowar, tut khá rõ ràng, mình sẽ thử reply lại ngay khi có kết quả.
|
|
|
|
Cũng có solution như vây, copy một file explorer.exe từ một máy clean và thay đổi key trong regedit trỏ tới file mới .
THKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Nhưng solution này không khả thi, khi lam xong vẫn bị. Vấn đề là biết được nó là loại virus gì để có phương pháp phòng chống cho cả hệ thống.
Ai đã gặp trường hợp này thì vào thảo luận nhé!
Thanks!
|
|
|
|
Hi all,
Không biết ai đã gặp trường hợp này chưa ?
- OS: xp sp2
- Máy đã cài đặt NAV lastest DAT.
Khi máy khởi động Explorer.exe luôn chiếm 100% CPU. Khi dùng Task Manager, processXP để kill process, sau đó New Task để load explorer.exe thì vẫn bị hiện tượng chiếm CPU 100%.
Dùng HijackThis cũng không tìm thấy key nào nghi ngờ cả .
Tớ đoán đây là một loại Rootkit nó inject vào file explorer.exe.
Mọi người cùng cho ý kiến nhé.
Thanks!
|
|
|
|
nghienruou01 wrote:
Stateful packet filtering và Stateful packet inspection chỉ là một
ps: bồ viết có vài dòng mà nhiều từ không chính xác quá
Thế thì xem lại đi nhé! Đây là thảo luận nếu phản bác ý kiến của ai thì phải nêu dẫn chứng. potay
|
|
|
|
Sao không dùng McAfee các bồ. Tớ thấy thằng này cũng tốt mà tính năng của nó lại rất hữu hiệu.
Tính năng :
Access Protection : bảo vệ khi truy cập ,
Buffer Overflow Protection
Email Scaner: quet virus cho mail
Unwanted Program : các chương trình không mong muốn
OnAccess Scanner
...
Giá của nó cũng mềm. Bác nào cần thì mess qua tớ chỉ chỗ mua cho 
|
|
|
|
|
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
|
|
|
|
Em có thể làm như sau:
- Sử dụng tool ProcessXP để theo dõi tiến trình hoạt động các services trong máy của mình, và tắt cái services của virus đi.
http://www.microsoft.com/technet/sysinternals/processesandthreads/processexplorer.mspx
- Có thể dùng HijackThis tìm và xóa key của virus đi.
- Cập nhật signature mới nhất cho phần mềm AV em đang dùng. Có thể dùng McAfee để diệt. Anh thấy nó cho dùng thử 3 tháng, rất hay đó.
Link: https://secure.nai.com/apps/downloads/free_evaluations/default.asp?region=us&segment=enterprise
Chúc em thành công!
Thangvt.
|
|
|
|
Hiện nay theo tớ được biết thì thành phần stateful firewal trong sản phẩm HIPS (Host Intrusion Prevention) của McAfee đã được tích hợp bao gồm 2 thành phần : stateful packet filtering và stateful packet inspection.
Stateful packet filtering là thành phần kiểm tra trạng thái thông tin các giao thức như TCP/UDP/ICMP tại layer 4( Transport) và các tầng thấp hơn của OSI. Các gói tin được kiểm tra, nếu gói tin được kiểm tra đúng theo luật trong firewal, gói tin sẽ được cho phép đi qua và thông tin đó sẽ được đưa vào một state table.
Stateful packet Inspection : là quá trình lọc các gói tin và kiểm tra các dòng lệnh tại tầng 7(Application).
State table: la tính năng của stateful firewal, nó tự động lưu trũ thông tin về các kết nối đang hoạt động được cho phép, tạo bởi các luật.
Thangvt.
|
|
|
|
Hoàng phân chia công việc rồi share mọi người làm đi. Mình reg một chỗ.
|
|
|
|
Thanks No.13, to da thu vao detail cua no roi va da nhin thay cai username cũ và cái Certificate Thumbkey. nhung k xóa được. Tớ đã thử vào Encrypting File System để Recovery Agent nhưng nó đòi .cer không biết tìm ở đâu. 
(File do được encrypt bằng tài khoản user1(admin) lúc chưa cài lại máy, sau khi cài lại thì không còn mở được file đó ra nữa).
Mọi người có cao kiến gì không?
Thanks!
|
|
|
|
Các bác nào rành về encrypt giúp tớ với.
|
|
|
|
Hi all,
Có một trường hợp như sau mà tớ chưa tìm ra cách khác phục nhờ mọi người giúp đỡ :
(Local Account)
- Một file văn bản "check.doc" được mã hóa bởi User1 (mã hóa có sẵn của Window, user1 có quyền admin) nằm trên phân vùng NTFS
Khi người dùng cài lại OS, thì không thể nào truy cập được vào file văn bản kia.
Tớ có đọc qua các solution của thằng MS nhưng không hiệu quả. Ai bit thì chỉ dùm tớ nha!
Thanks!
|
|
|
|
hehe, Không đọc kĩ thì thành báo hại nhau rùi  , Tuy nhiên cũng vẫn có thể cứu lại data của e.E có thể sử dụng một số Tool Recovery or sử dụng đĩa Boot của LHT cũng được đó .
Havefun!
|
|
|
|
- Đã có ai đang dùng con T40 mà Update thanh công card 3D chưa?Tớ đang dùng con T40, nếu cài XP thi 3D ok, còn khi cài Vista thì không đươc.
Tớ cũng đã vào trang chủ của IBM nhưng tìm không được .
Ai đang dùng và đã giải quyết được hiện trạng này thì chỉ cho tớ với!
Havefun!
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
