| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
21/09/2006 00:45:42 (+0700) | #31 | 24585 |
mfeng
Researcher
|
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
|
|
father_nghia_den wrote:
Chính xác là link này đây anh Hoàng.
bai` hoc kinh nghiem ==>Chet' ko duoc lam` con ma doi'===>... http://www33.websamba.com/xomnuocden/dungdedoi.html
Tất cả các dấu hiệu giống hệt những con virus dựa trên code gái xinh.
Khoá taskmanager , run , send link hàng loat. v.v
Virus này viết bằng AutoIt, có đính kém một trojan, sau đó đóng gói lại theo WinRAR SFX. Vì vậy IE-Protector không phát hiện được file đóng gói là AutoIt.
Nhưng nếu sau khi virus đã thực thi (file YIMBot.exe), IE-Protector có thể phát hiện được khi tiến hành quét bộ nhớ.. |
|
|
 |
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
21/09/2006 02:49:50 (+0700) | #32 | 24622 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
vậy là vẫn diệt được  . Hoàng down file trên trang đó thì file bị remove rồi nên không test được. |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
21/09/2006 13:47:11 (+0700) | #33 | 24745 |
114v
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 08/07/2006 23:27:00
Messages: 191
Offline
|
|
| Anh Hoàng có thể nói sơ qua về cơ chết diệt những con này được không, em thấy cách diệt rất hay. Cảm ơn anh |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
22/09/2006 17:45:02 (+0700) | #34 | 25001 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
23/09/2006 02:49:58 (+0700) | #35 | 25086 |
114v
Member
|
|
0 |
|
|
Joined: 08/07/2006 23:27:00
Messages: 191
Offline
|
|
Em nghĩ nên thêm chức năng mật khẩu bảo vệ cho chương trình, thêm cái liệt kê các chương trình có thể thực thi với IE. Khi muốn thêm soft nào thực thi thì phải nhập mật khẩu  |
|
|
|
|
| [Question] Re: Phòng chống các loại SPIM được viết bằng AutoIt |
23/09/2006 03:35:00 (+0700) | #36 | 25103 |
![[Avatar]](/hvaonline/images/avatar/97de30ecb71fe0fb77e0829e0f579f45.jpg "[Avatar]")
|
hieuhoc
Member
|
|
0 |
|
|
Joined: 08/09/2006 21:57:39
Messages: 103
Offline
|
|
Em có góp ý với chương trình của bác LeVuHoang 1 chút được không :
Bác có thể bổ sung chức năng monitor Registry không ,khi chương trình nào chạy có ghi gì vào registry thì có hỏi ý kiến người dùng cho add thêm không .
Công nhận chương trình này tuyệt thật ngăn tất cả các chương trình thực thi từ IE,ráng ngâm cứu làm 1 cái giống bác mới được ,hình như bác viết cái này bằng delphi thì phải?  |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
23/09/2006 04:18:07 (+0700) | #37 | 25122 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Trong phiên bản 3.0 sắp ra mắt trong vài ngày tới (hiện nay đang trong giai đoạn testting trước khi release ).
Chương trình sẽ monitor các khoá AutoRun của Registry  . Nếu ghi gì vào registry cũng hỏi thì sẽ gây sự bất an cho người sử dụng. Nên Hoàng đã quyết định chỉ monitor autorun thôi
hình như bác viết cái này bằng delphi thì phải?
uh |
|
|
|
|
| [Question] Re: Phòng chống các loại SPIM được viết bằng AutoIt |
23/09/2006 05:07:25 (+0700) | #38 | 25132 |
![[Avatar]](/hvaonline/images/avatar/a1556de466ecd65a7961698fcf6c9823.jpg "[Avatar]")
|
ducnamnv
Member
|
|
0 |
|
|
Joined: 22/09/2003 15:29:11
Messages: 55
Location: Đâu đó
Offline
|
|
Em đề nghị bác Levuhoang bổ sung phần theo dõi xem phần mềm đó ghi (hoặc xoá) gì vào Registry (phần mềm bị nghi ngờ) nếu có nó thì những pre _ mới biết cách khống chế được và cũng không vất vả phải xác nhận mỗi khi có động tác ghi vào reg.
em đang tìm phần mềm kiểm tra việc ghi vào reg của 1 phần mềm khác mà chưa đựoc, rất mong các bác giúp đỡ.
thanks |
|
| Fan of LeVuHoang, conmale |
|
|
|
| [Question] Re: Phòng chống các loại SPIM được viết bằng AutoIt |
23/09/2006 10:12:08 (+0700) | #39 | 25177 |
preBaby
Member
|
|
0 |
|
|
Joined: 14/09/2006 02:33:16
Messages: 2
Offline
|
|
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\Common7\IDE\devenv.exe" "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.sln"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\Common7\IDE\devenv.exe" "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.csproj"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe"
bác xem cho em vụ này nữa |
|
|
|
|
| [Question] Re: Phòng chống các loại SPIM được viết bằng AutoIt |
23/09/2006 10:49:39 (+0700) | #40 | 25182 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Em đề nghị bác Levuhoang bổ sung phần theo dõi xem phần mềm đó ghi (hoặc xoá) gì vào Registry (phần mềm bị nghi ngờ) nếu có nó thì những pre _ mới biết cách khống chế được và cũng không vất vả phải xác nhận mỗi khi có động tác ghi vào reg.
version 3.0 sẽ hỏi người dùng xem có cho phép ghi vào những khoá AutoRun hay không.
em đang tìm phần mềm kiểm tra việc ghi vào reg của 1 phần mềm khác mà chưa đựoc, rất mong các bác giúp đỡ.
thanks
Rất tiếc, phần mềm không thể phục vụ chỉ cho mục đích riêng của bạn
preBaby wrote:
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\Common7\IDE\devenv.exe" "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.sln"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\Common7\IDE\devenv.exe" "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.csproj"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe"
bác xem cho em vụ này nữa
Bạn có thể vào phần Cấu Hình, bỏ tuỳ chọn "Không cho phép IE thực thi" |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
23/09/2006 11:17:31 (+0700) | #41 | 25192 |
netprobienhoa
Member
|
|
0 |
|
|
Joined: 14/08/2006 14:45:43
Messages: 5
Offline
|
|
| Hình như chương trình này đụng với DWK thì phải. Cài thì được nhưng nó bảo ko hoạt động dc. Trong khi cài lên máy chủ (ko có DWK thì ok). Em cài trên cùng 1 Win XP sp2 nha, nhưng khác cấu hình máy. |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
23/09/2006 17:21:56 (+0700) | #42 | 25240 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
hi,
Hoàng đã test với DWK bản mới nhất 4.7 H download tại:
http://www.deltavn.net/download/
và không có vấn đề gì. Xin hỏi bạn là tình trạng [FireLion] IE Protector không hoạt động là như thế nào ? Chương trình đã được kích hoạt mà vẫn không chạy ? Máy bạn có cài DeepFreeze không ?
Trích từ mục hỏi - đáp (FAQ):
+ Máy tôi đã cài [FireLion] IE Protector những không hoạt động dù đã chọn nút Hoạt động. Tại sao ?
_ Có hai nguyên nhân chính sau:
. Chương trình được thực thi dưới quyền User. Lúc này, chức năng tự bảo vệ sẽ không hoạt động đúng với bản không cần cài đặt. Bản phải sử dụng phiên bản cài đặt để có thể thực thi dưới quyền User
. Chương trình được cài chung với DeepFreeze. Trên nguyên tắc, nếu máy bạn đã cài DeepFreeze rồi thì không phải lo lắng về malware nữa. Tuy nhiên, nếu bạn vẫn muốn [FireLion] IE Protector hoạt động. Bạn phải disable DeepFreeze, dùng bản cài đặt và mở lại (enable) DeepFreeze.
Cho tới phiên bản 3.0. Chúng tôi vẫn chưa có kế hoạch cập nhật để có thể chạy với DeepFreeze vì chỉ cần restart là mọi thứ trở lại như cũ.
|
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
23/09/2006 17:32:13 (+0700) | #43 | 25243 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Phiên bản 3.0 đã chính thức ra mắt với những tính năng mới sau:
+ 23/09/2006:
_ Phiên bản 3.0 ra mắt với các tính năng vượt trội.
_ Nâng cấp scanner. Quét tập tin với tốc độ nhanh gấp 2 lần.
_ Thêm chức năng cô lập các chương trình AutoIt. Các tập tin nằm trong quarantine sẽ được mã hoá để tránh các chương trình khác phát hiện nhầm lẫn và người dùng vô tình thực thi.
_ Một số công cụ mới được bổ sung:
+ Startup: Quản lý những chương trình tự thực thi
+ Theo dõi: Ghi lại nhật ký những thay đổi AutoRun trong Registry
+ Hosts file: Tránh malware hijack, dẫn người dùng đến những trang khác. Ví dụ, gõ www.google.com lại ra www.abc.com. Xem thêm tại đây.
_ Thêm nhiều tuỳ chọn để người dùng dễ dàng hơn trong việc sử dụng
_ Chống AutoIt tự nhấn nút Thoát bằng cách hiện random number
_ Không cho phép suspend lẫn kill process bởi các chương trình viết bằng AutoIt.
_ Thêm tính năng thông báo cho người dùng mỗi khi có phiên bản mới.
Vui lòng truy cập website: http://fire-lion.com/software/IEProtector/
Để biết thêm chi tiết và tải chương trình. |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
23/09/2006 17:34:46 (+0700) | #44 | 25246 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Phiên bản 3.0 đã chính thức ra mắt với các tính năng mới sau:
+ 23/09/2006:
_ Phiên bản 3.0 ra mắt với các tính năng vượt trội.
_ Nâng cấp scanner. Quét tập tin với tốc độ nhanh gấp 2 lần.
_ Thêm chức năng cô lập các chương trình AutoIt. Các tập tin nằm trong quarantine sẽ được mã hoá để tránh các chương trình khác phát hiện nhầm lẫn và người dùng vô tình thực thi.
_ Một số công cụ mới được bổ sung:
+ Startup: Quản lý những chương trình tự thực thi
+ Theo dõi: Ghi lại nhật ký những thay đổi AutoRun trong Registry
+ Hosts file: Tránh malware hijack, dẫn người dùng đến những trang khác. Ví dụ, gõ www.google.com lại ra www.abc.com. Xem thêm tại đây.
_ Thêm nhiều tuỳ chọn để người dùng dễ dàng hơn trong việc sử dụng
_ Chống AutoIt tự nhấn nút Thoát bằng cách hiện random number
_ Không cho phép suspend lẫn kill process bởi các chương trình viết bằng AutoIt.
_ Thêm tính năng thông báo cho người dùng mỗi khi có phiên bản mới.
|
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
23/09/2006 21:38:22 (+0700) | #45 | 25262 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
| Tui có thắc mắc, muốn hỏi Hoàng: các app viết bằng AutoIt đều bị pack = UPX, thì làm sao Hoàng detect được, chả lẽ phải unpack trên memory rồi find AutoIt string à. Nguy hiểm thế. |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
23/09/2006 22:20:47 (+0700) | #46 | 25270 |
mfeng
Researcher
|
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
|
|
| Và giả sử App AutoIt bị pack thêm một lần nữa bằng packer nào đó thì sao nhỉ ? |
|
|
|
|
| [Question] Re: Phòng chống các loại SPIM được viết bằng AutoIt |
23/09/2006 23:43:46 (+0700) | #47 | 25283 |
![[Avatar]](/hvaonline/images/avatar/4dd20f1e87dfb889bc97230e2c87c6a5.png "[Avatar]")
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
| Tui cũng nghi ngờ nên test thử rùi,nếu pack thêm phát nữa cũng bị đập thui.Chỉnh cả PE header làm giả PE của msconfig cũng bị túm ( đôi lúc chỉnh PE AutoIT cũng ko chịu chạy ) |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
24/09/2006 05:07:07 (+0700) | #48 | 25351 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Tui có thắc mắc, muốn hỏi Hoàng: các app viết bằng AutoIt đều bị pack = UPX, thì làm sao Hoàng detect được, chả lẽ phải unpack trên memory rồi find AutoIt string à. Nguy hiểm thế.
oh oh, không có anh ơi ).
Và giả sử App AutoIt bị pack thêm một lần nữa bằng packer nào đó thì sao nhỉ ?
Có bị pack bằng packer khác hoặc pack thêm 1 lần nữa cũng không sao anh ạ . Em đã thử với ASPack, ASProtect, Yoda, PeShield...
Tui cũng nghi ngờ nên test thử rùi,nếu pack thêm phát nữa cũng bị đập thui.Chỉnh cả PE header làm giả PE của msconfig cũng bị túm ( đôi lúc chỉnh PE AutoIT cũng ko chịu chạy )
|
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
24/09/2006 07:55:11 (+0700) | #49 | 25372 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Vậy là Hoàng detect dựa trên VersionInfo của exe phải không, vì cái này nằm trong resource section, nên ít khi được chọn option pack. Nếu thực vậy thì hơi nguy hiểm vì script kiddie có thể modify version info = các resource editor tool.
Đọc warning của IE Protector thấy nghiêm cấm RE nên sợ quá, không dám đụng vào.
Hoàng thử code 1 app nhỏ, run sau khi IE Protector đã chạy, gọi FreeLibraray until thành công handle của BlockerAPIs.dll chưa (chắc LoadLibrary("BlockerApis.dll") sẽ thành công). Nếu free được thì coi chừng không ổn, madCodeHook cũng bị bypass. |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
24/09/2006 11:20:22 (+0700) | #50 | 25396 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
vậy lão nbthanh cho [FireLion] IE Protector là vô ích ? Theo ý lão là không nên phát triển nữa ? Hay làm 1 cái vote xem bao nhiêu người đồng ý close dự án [FireLion] IE Protector nhé lão nbthanh
Tôi chỉ nói là hướng tiếp cận của nó không mấy thực tiễn!
Ví dụ nếu 1 máy đã có cài 1 AV "xịn xịn" chút rồi thì nó đã lo hết mọi chuyện, mà nó lại còn diệt được nhiều virus hơn nữa. Như vậy cái IE_Protector hầu như không còn đất sống.
Mà nếu user đã lười, AV còn không chịu cài thì:
1. Họ có bỏ công cài cái IE_Protector?
2. Họ có cài mà không dùng thêm AV hay chương trình bảo vệ nào khác thì cũng chết vì nhiều loại virus khác (Vì đâu phải cứ IE mới truyền được virus, vứ autoit mới tạo ra virus)
Do vậy nên tìm 1 hướng đi khác thiết thực hơn!
Ví dụ, ngoài Autoit, còn cả tá chương trình tương tự như vậy nữa, BAT2EXE, WStoExe, Perl2Exe. Với các chương trình này cũng không khó lắm để viết 1 con virus như con AutoIt. Có khác chăng là mấy script BAT, Perl, WS...lâu quá rồi nên script kiddie nước ngoài giờ không viết nữa. Autoit thì mới hơn, nên chẳng may có bác nào đó chụp được đoạn code tương tự rồi cho ra con virus.
Chứ nếu chịu khó bỏ vài tiếng ngâm cứu các tool khác thì việc tạo ra 1 con virus khác, có khi tàn bạo hơn, không có gì là khó. Như vậy lúc đó ta lại phải chwoi trò "đuổi bắt" mà trong trò này ta mãi là người đi sau? |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
24/09/2006 12:17:02 (+0700) | #51 | 25399 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Khi thiết kế chương trình này, mục tiêu của Hoàng đặt ra là:
1. Ngăn chặn đại dịch AutoIt
2. Miễn nhiễm với new version
3. Với công cụ này, người dùng có thêm một số tools hệ thống để gia tăng quyền hạn với chiếc PC
3. Dễ sử dụng
Trước mắt nó đã làm tốt là ngăn dịch AutoIt (ngay cả với những version mới). Còn có tiếp tục hay không khi có một trận dịch khác như BAT, PERL... thì lúc đó sẽ có quyết định sau
Ý tưởng thì tốt, nhưng điểm dở là nó chặn hoàn toàn AutoIt ("bản thân Autoit đâu có gì xấu" - y chang câu bác LVH nói trong box BQT thì phải  ).
AutoIt được dùng để làm rất nhiều chuyện hữu ích. Chỉ vì 1-2 con virus mà chặn luôn cả cái AutoIt vô tội thì hình như...đi ngược lại tư tưởng của bác Hoàng nhỉ 
Ví dụ như có khá nhiều con GameBot hay viết bằng Autoit mà các tiệm net hay cài. Không hiểu nếu chương trình của bác Hoàng chặn luôn AutoIt, các tiệm net mất khách thì liệu nó có chịu cài tiếp không hay...kệ nó, cứ giữ khách trước đã.
Mà các tiệm net, hoặc những user mà máy không cài chương trình AV cập nhật thường xuyên thì mới là "khách hàng ruột" của IE_Protector, mà cũng chỉ vì AutoIt không chạy, họ không...cài nữa thì....
Còn các cty lớn thì đã có AV và các chương trình protector xịn khác rồi.
Tôi cũng mới test xong bằng cách tạo 1 con AutoIt virus "cây nhà là vườn", chỉ không quá...1 giây, AVG đã nhặn luôn con virus "cây nhà lá vườn" của tôi rồi. Như vậy các AV của "tây" không chắc tụi nó chặn theo version đâu; trong khi đó các bot game viết bằng AutoIt của tôi vẫn chạy tốt.
Do đó, tôi vẫn bảo lưu ý kiến của mình: nên tiếp cận vấn đề theo 1 hướng khác tích cực hơn.
|
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
24/09/2006 14:16:03 (+0700) | #52 | 25428 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
ặc ặc, lão nào ấn nhầm nút Edit bài của tui zạ :-|
Ý tưởng thì tốt, nhưng điểm dở là nó chặn hoàn toàn AutoIt ("bản thân Autoit đâu có gì xấu" - y chang câu bác LVH nói trong box BQT thì phải ).
AutoIt được dùng để làm rất nhiều chuyện hữu ích. Chỉ vì 1-2 con virus mà chặn luôn cả cái AutoIt vô tội thì hình như...đi ngược lại tư tưởng của bác Hoàng nhỉ
Với chức năng 3.0, người dùng có thể Quanratine hoặc kill mà . Nếu như không chắc về ứng dụng AutoIt đó họ có thể kill.
Ví dụ như có khá nhiều con GameBot hay viết bằng Autoit mà các tiệm net hay cài. Không hiểu nếu chương trình của bác Hoàng chặn luôn AutoIt, các tiệm net mất khách thì liệu nó có chịu cài tiếp không hay...kệ nó, cứ giữ khách trước đã.
uhm, vậy bác có thể nêu ra 1 số GameBot mà các tiệm net ở VN cài không ?
Hoàng thử code 1 app nhỏ, run sau khi IE Protector đã chạy, gọi FreeLibraray until thành công handle của BlockerAPIs.dll chưa (chắc LoadLibrary("BlockerApis.dll") sẽ thành công). Nếu free được thì coi chừng không ổn, madCodeHook cũng bị bypass.
test thử rồi anh, không unload được |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
24/09/2006 14:44:44 (+0700) | #53 | 25435 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
Không biết IEProtector có chặn được cái 0-day exploit của IE mà thiên hạ đang bàn tán suốt mấy ngày qua không nhỉ?
Xem thêm ở http://www.xsec.org/index.php?module=Releases&act=view&type=2&id=21.
-m |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
24/09/2006 14:46:25 (+0700) | #54 | 25436 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
24/09/2006 14:47:16 (+0700) | #55 | 25437 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
| quên thông báo với bác nbthanh là, version sau sẽ có chức năng WhiteList. Thế là các tiệm net khỏi lăng tăn nhé ) |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
24/09/2006 14:49:59 (+0700) | #56 | 25438 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
LeVuHoang wrote:
quên thông báo với bác nbthanh là, version sau sẽ có chức năng WhiteList. Thế là các tiệm net khỏi lăng tăn nhé )
Vậy chỉ cần con virus đổi tên thành 1 file exe có trong whitelist là được, phẻ, khỏi phải nghĩ cách viết protect-process, kill-process nữa cho mất công |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
24/09/2006 15:08:55 (+0700) | #57 | 25441 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
mrro wrote:
Không biết IEProtector có chặn được cái 0-day exploit của IE mà thiên hạ đang bàn tán suốt mấy ngày qua không nhỉ?
Xem thêm ở http://www.xsec.org/index.php?module=Releases&act=view&type=2&id=21.
-m
Tui không có Windows Server 2000 để thử nhưng với máy của tui: Windows XP SP2, IE 6.0 SP1, IE bị lỗi crash nhưng tập tin .exe không được thực thi
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
24/09/2006 15:09:24 (+0700) | #58 | 25442 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
nbthanh wrote:
LeVuHoang wrote:
quên thông báo với bác nbthanh là, version sau sẽ có chức năng WhiteList. Thế là các tiệm net khỏi lăng tăn nhé )
Vậy chỉ cần con virus đổi tên thành 1 file exe có trong whitelist là được, phẻ, khỏi phải nghĩ cách viết protect-process, kill-process nữa cho mất công
Checksum ) |
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận bảo mật
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
:
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
![[MSN]](/hvaonline/templates/viet/images/icon_msnm.gif "[MSN]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")