| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
25/09/2006 15:45:07 (+0700) | #61 | 25649 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
uhm, tui bít mà lão Thành, trong FAQ cũng có ghi rõ:
http://fire-lion.com/software/IEProtector/
+ Máy tôi đã cài [FireLion] IE Protector những không hoạt động dù đã chọn nút Hoạt động. Tại sao ?
_ Có hai nguyên nhân chính sau:
. Chương trình được thực thi dưới quyền User. Lúc này, chức năng tự bảo vệ sẽ không hoạt động đúng với bản không cần cài đặt. Bản phải sử dụng phiên bản cài đặt để có thể thực thi dưới quyền User
. Chương trình được cài chung với DeepFreeze. Trên nguyên tắc, nếu máy bạn đã cài DeepFreeze rồi thì không phải lo lắng về malware nữa. Tuy nhiên, nếu bạn vẫn muốn [FireLion] IE Protector hoạt động. Bạn phải disable DeepFreeze, dùng bản cài đặt và mở lại (enable) DeepFreeze.
Cho tới phiên bản 3.0. Chúng tôi vẫn chưa có kế hoạch cập nhật để có thể chạy với DeepFreeze vì chỉ cần restart là mọi thứ trở lại như cũ.
Nếu muốn work dưới limited account hoặc non admin rights thì viết thêm 1 service nữa. Cái gì cũng phải có thời gian chứ  )
Tuy nhiên bác Hoàng cũng nên chú ý là các chương trình exe dịch từ AutoIt có size thay đổi liên tục, đôi khi mã nguồn thay đổi có 1 chút xíu, hoặc nâng cấp AutoIt lên version mới rồi compile lại là size nó cũng khác.
Cái này chắc là chịu thôi. Một ví dụ cụ thể là ZoneAlarm, khi biên dịch lại chương trình mà access vào internet thì thế nào nó cũng hỏi  . |
|
|
 |
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
26/09/2006 06:01:10 (+0700) | #62 | 25794 |
Harvestmoon
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 07/05/2004 17:14:54
Messages: 18
Offline
|
|
| Sao không gọi là SPAM mà cứ SPIM hoài thế? |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
26/09/2006 09:39:19 (+0700) | #63 | 25840 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
| SPIM = Spam Instant Messenger |
|
|
|
|
| [Question] Re: Phòng chống các loại SPIM được viết bằng AutoIt |
26/09/2006 22:34:49 (+0700) | #64 | 25933 |
Harvestmoon
Member
|
|
0 |
|
|
Joined: 07/05/2004 17:14:54
Messages: 18
Offline
|
|
| Ờ ra vậy. Nếu là Spam IM thì Ok. Tui cứ tưởng anh em lại nhiễm bệnh bóp méo từ ngữ của mấy tay chatter. |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
27/09/2006 23:59:41 (+0700) | #65 | 26133 |
Mr.Ѻºb
Member
|
|
0 |
|
|
Joined: 17/09/2006 20:03:13
Messages: 12
Offline
|
|
I.
>>Khi thiết kế chương trình này, mục tiêu của Hoàng đặt ra là:
1. Ngăn chặn đại dịch AutoIt
>Thực sự có có một số khoá cực kỳ quan trọng trong Registry, nếu như ghi thành công thì chương trình virus sẽ có khả năng ngăn chặn HẦU HẾT (tui nghĩ khoảng 99%) các chương trình exe, các chương trình chống virus hiện nay như BKAV, SYMANTEC, BITDEF, ...và tất nhiên IEProtector cũng ko phải là ngoại lệ. (tui đã test thử). Tất cả đều bị cản ngay từ lúc bắt đầu chạy.
>Có một số khoá AutoRun có thể giúp chương trình chạy trong SafeMode.
>Tui tin là có rất nhiều người biết, tại cách đây chừng 4, 5 năm có đọc thấy trên HVA nhưng ko hiểu sao ít thấy các AutoIT "virus" nói riêng ở VN hiện nay và các trojan, virus nói chung để ý đến. Những điều mà một chương trình có thể làm được nếu chiếm được những khoá này
1. Có thể cho phép hoặc ngăn cản hầu hết các chương trình exe, com, reg,... và một số định dạng khác. Máy vẫn hoạt động "bình thường" nhưng các AV KHÔNG THỂ thực thi.
2. Có thể autorun một cách hoàn thiện, ko bị tắt trong safemode.
3. Kỹ thuật để thực hiện điều này là ĐƠN GIẢN , chỉ đơn thuần là ghi vào registry.
>Tui sorry ko tiện nói ra mấy cái khoá nhạy cảm này.
>Tui có tự viết cho mình một AV đơn giản theo cách trên, nó cực kỳ hiệu quả ít ra là với bản thân tui (tui chưa public bởi hiện tại sử dụng nó khá là bất tiện, chạy command line, mỗi lần có chương trình nào nằm ngoài whitelist muốn chạy đều có một thông báo chờ confirm mới được chạy).
II. Tui tóm tắt như sau với IEProtector
Nếu bọn lamer AutoIT "virus" vừa rồi làm đúng kỹ thuật kể trên, IEProtector và hầu hết các chương trình AV khác như BITDEF, BKAV, SYMAN, ... sẽ bị vô hiệu hoá một khi máy tính bị lây nhiễm rồi mới cài các AV để quét(khó tin nhưng có thật).
|
|
|
|
|
| [Question] Re: Phòng chống các loại SPIM được viết bằng AutoIt |
28/09/2006 00:22:18 (+0700) | #66 | 26140 |
BuRaTiNoVnO
Elite Member
|
|
0 |
|
|
Joined: 18/06/2005 11:26:40
Messages: 62
Offline
|
|
| Bác Mr.Ѻºb này nguy hiểm quá :?) |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
28/09/2006 00:49:53 (+0700) | #67 | 26147 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Chắc bạn không nói đến khoá này chứ
HKEY_CLASSES_ROOT\exefile\shell\open\command
|
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
28/09/2006 00:53:05 (+0700) | #68 | 26148 |
Mr.Ѻºb
Member
|
|
0 |
|
|
Joined: 17/09/2006 20:03:13
Messages: 12
Offline
|
|
Uhg, đúng rồi, HKEY_CLASSES_ROOT\comfile\shell\open\command nữa, ...
Sao bạn ko chặn nó nhỉ? Hay là nó có hạn chế gì chăng? |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
28/09/2006 04:37:09 (+0700) | #69 | 26178 |
![[Avatar]](/hvaonline/images/avatar/cc60854f7d916c4d78d874e4e9164b0b.jpg "[Avatar]")
|
learn2hack
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 16:32:37
Messages: 825
Offline
|
|
Anh Hoàng ơi, hôm qua em dùng chương trình của anh bản 2.0 để diệt con virus ở trang quatangtraitim.uf. Nó diệt được, mở được trang homepage, nhưng sau đó có vài hiện tượng lạ:
- mở lại chương trình lần nữa thì nó báo là đang ngừng ... (tên chương trình em không nhớ rõ lắm, nhưng lúc đó em không chạy chương trình nào cả), cả màn hình chương trình chỉ toàn dòng đang ngừng ... và chương trình như bị treo luôn, ấn nút nào cũng không được, trừ nút thu nhỏ và tắt, thậm chí nút cấu hình, thoát, ... cũng không hiện luôn.
- em tắt chương trình thì phải vài lần mới được, dùng task manager tắt và cả nhấn vào nút X, phải đợi khá lâu.
- máy chạy chậm hẳn sau khi tắt chương trình
- khi tắt máy hiện ra màn hình xanh chết chóc
Máy đang dùng là máy laptop. Không biết những triệu chứng trên là vì sao? Tuy nhiên cũng mừng là nó khử được con virus này. |
|
Blog: http://hontap.blogspot.com
Tải phần mềm miễn phí: http://www.taiphanmem.org |
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
28/09/2006 12:52:14 (+0700) | #70 | 26258 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
| Bạn thử dùng phiên bản 3.0 xem ? |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
28/09/2006 13:04:38 (+0700) | #71 | 26263 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Đây là cách chặn... cổ điển cho những developer nào không thực sự expert về mặt hệ thống .
Sử dụng cách này bạn sẽ:
1. Không thực sự chặn "hiệu quả". Biết đâu có 1 key mà bạn chưa chặn (chưa nghĩ tới để chặn) ?
2. Nếu bạn chặn key này rồi sẽ thấy có một số rắc rối với command line và Control Panel Applet
3. Conflict nếu có 2 - 3 chương trình cùng chặn khoá này.
...
Còn một số lý do khác nữa bạn sẽ gặp khi implement giải pháp này. Đó cũng là lý do tại sao các AV không dùng phương pháp như bạn vừa nêu :-|
Mr.Ѻºb wrote:
Uhg, đúng rồi, HKEY_CLASSES_ROOT\comfile\shell\open\command nữa, ...
Sao bạn ko chặn nó nhỉ? Hay là nó có hạn chế gì chăng?
|
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
28/09/2006 13:37:11 (+0700) | #72 | 26266 |
Sinarale
Member
|
|
0 |
|
|
Joined: 21/12/2004 20:19:19
Messages: 9
Offline
|
|
| Mình nhớ là hình như hồi trước D32 có dùng key này để quét các file .exe trước khi nó được thi hành thì phải. |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
28/09/2006 14:20:33 (+0700) | #73 | 26274 |
Mr.Ѻºb
Member
|
|
0 |
|
|
Joined: 17/09/2006 20:03:13
Messages: 12
Offline
|
|
I. >>LeVuHoang
1. Không có cách nào thực sự hiệu quả 100% cả. Bạn có nghĩ là chương trình của bạn thực sự hiệu quả? Nếu thế xin xem câu hỏi cuối cùng của mình.
Bạn nói chương trình bạn chặn được các khoá Startup, liệu nó có chặn hết thực sự ko?
Những chuyện mà mình và bạn chưa nghĩ tới thì nhiều lắm, IEProtector có nhiều điểm ko hiệu quả mà bạn chưa nghĩ tới, vậy bạn nên từ bỏ nó đi, chịu ko?
2. Đúng, nhưng ko phải là tất cả, nó chạy tốt hầu hết các chương trình thông dụng(có truyền tham số) và cả một số Control Panel applet. Trong trường hợp bị error, cũng có thể cho user unlock khoá đó rồi chạy chương trình, sau đó lock lại là xong (có thể điều này trong tương lại sẽ khắc phục nếu biết cách truyền tham số của Control Panel Applet).
3. Ko conflict, có chăng là chỉ khiến chương trình bị mất tác dụng. Tuy nhiên, như bạn đã nói, các AV ko làm điều này, user cũng ít làm điều này, vậy thì, conflict nếu có là điều khó xảy ra. Với lại, việc thực thi một file exe, com, reg đều bị chặn lại thì lấy cái gì chạy để mà ghi đè lên tạo ra conflict nhỉ?
>>Còn một số lý do khác nữa bạn sẽ gặp khi implement giải pháp này
>Còn lý do nào nữa, bạn nói rõ thử coi.
>Nếu đúng như bạn Sinrale và LeVuHoang đã nói, thì có lẽ, những tay phát triển D32 ko thực sự expert về mặt hệ thống.
Mà bạn nói "expert" là thế nào? Bạn tự nhận là "expert" chăng? Dẫu sao, đây ko phải là chỗ cho bạn nhận xét người này hay người kia "expert" hay ko, bạn cũng chẳng có cái tư cách đó, chỉ là tranh luận đơn thuần về mặt kỹ thuật thôi. Chỉ có ưu điểm, khuyết điểm, đúng, sai ở đây thôi.
II. >Cuối cùng, theo bạn, nếu các AV ko làm điều này, giả sử virus làm thì sao nhỉ ?(theo mình biết chỉ riêng AutoIT cũng đã có thừa khả năng ghi đè lên Registry). Liệu có cách nào để tiêu diệt virus một khi nó chiếm hết các khoá trên?
>Oh, mình lỡ tay post trùng bài, xin mod xoá dùm bài post của mình ngay trước bài này |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
28/09/2006 14:32:47 (+0700) | #74 | 26278 |
|
learn2hack
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 16:32:37
Messages: 825
Offline
|
|
LeVuHoang wrote:
Bạn thử dùng phiên bản 3.0 xem ?
Em sẽ down về ngay, nhưng hy vọng không phải để dùng. |
|
Blog: http://hontap.blogspot.com
Tải phần mềm miễn phí: http://www.taiphanmem.org |
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
28/09/2006 15:46:25 (+0700) | #75 | 26280 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Bạn nói chương trình bạn chặn được các khoá Startup, liệu nó có chặn hết thực sự ko?
Chương trình chặn các APIs ghi vào registry và lọc ra khoá nào là Startup
Những chuyện mà mình và bạn chưa nghĩ tới thì nhiều lắm, IEProtector có nhiều điểm ko hiệu quả mà bạn chưa nghĩ tới, vậy bạn nên từ bỏ nó đi, chịu ko?
Hoàng đang phân tích những điều khó khăn trong giải pháp của bạn cũng như sẵng sàng lắng nghe về những góp ý của bạn cho [FireLion] IE Protector càng lúc càng hoàn thiện hơn
2. Đúng, nhưng ko phải là tất cả, nó chạy tốt hầu hết các chương trình thông dụng(có truyền tham số) và cả một số Control Panel applet. Trong trường hợp bị error, cũng có thể cho user unlock khoá đó rồi chạy chương trình, sau đó lock lại là xong (có thể điều này trong tương lại sẽ khắc phục nếu biết cách truyền tham số của Control Panel Applet).
3. Ko conflict, có chăng là chỉ khiến chương trình bị mất tác dụng. Tuy nhiên, như bạn đã nói, các AV ko làm điều này, user cũng ít làm điều này, vậy thì, conflict nếu có là điều khó xảy ra. Với lại, việc thực thi một file exe, com, reg đều bị chặn lại thì lấy cái gì chạy để mà ghi đè lên tạo ra conflict nhỉ?
Tập tin thực thi được đâu chỉ .exe, .com . Nếu là .DLL, .CPL, .CMD, .MSI thì sao ? Bạn phải chặn rất, rất nhiều khoá dẫn đến việc chương trình phức tạp không cần thiết.
>Còn lý do nào nữa, bạn nói rõ thử coi.
>Nếu đúng như bạn Sinrale và LeVuHoang đã nói, thì có lẽ, những tay phát triển D32 ko thực sự expert về mặt hệ thống.
Mà bạn nói "expert" là thế nào? Bạn tự nhận là "expert" chăng? Dẫu sao, đây ko phải là chỗ cho bạn nhận xét người này hay người kia "expert" hay ko, bạn cũng chẳng có cái tư cách đó, chỉ là tranh luận đơn thuần về mặt kỹ thuật thôi. Chỉ có ưu điểm, khuyết điểm, đúng, sai ở đây thôi.
Hoàng chỉ đặt ra cho bạn 1 câu hỏi để bạn tự suy nghĩ, nhé
Symantec, McAfee, Nod32... Tại sao không dùng cách ghi registry này nếu nó hiệu quả. Hay 3 hãng trên chưa biết về key này ?
II. >Cuối cùng, theo bạn, nếu các AV ko làm điều này, giả sử virus làm thì sao nhỉ ?(theo mình biết chỉ riêng AutoIT cũng đã có thừa khả năng ghi đè lên Registry). Liệu có cách nào để tiêu diệt virus một khi nó chiếm hết các khoá trên?
Tiêu diệt cũng còn nhiều kiểu, nhiều cách để tiêu diệt. Có những loại như rootkit, có thể ẩn registry, process... Tuỳ vào chương trình bạn viết có tốt không mà diệt được virus nguy hiểm như thế nào.
Em sẽ down về ngay, nhưng hy vọng không phải để dùng.
Từ ngày [FireLion] IE Protector ra mắt, bị xăm soi kỹ quá nhỉ . Hoàng thấy một số bạn down về chỉ để tìm hiểu về cách hoạt động, phân tích kỹ thuật... đây quả là 1 điều đáng mừng. Cơn bão Anti Virus chăng  ? |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
28/09/2006 19:28:46 (+0700) | #76 | 26289 |
Mr.Ѻºb
Member
|
|
0 |
|
|
Joined: 17/09/2006 20:03:13
Messages: 12
Offline
|
|
>>Chương trình chặn các APIs ghi vào registry và lọc ra khoá nào là Startup
>Cũng là vấn đề mà bạn cho rằng mình gặp phải, "Biết đâu có 1 key mà bạn chưa chặn (chưa nghĩ tới để chặn)", và thực sự đã là như vậy.
>>Tập tin thực thi được đâu chỉ .exe, .com . Nếu là .DLL, .CPL, .CMD, .MSI thì sao ? Bạn phải chặn rất, rất nhiều khoá dẫn đến việc chương trình phức tạp không cần thiết
>Chẳng sao cả, trước mắt các tập tin exe, com nếu bị hạn chế sẽ làm khả năng gặp virus giảm đáng kể, những chỗ khác có thể từ từ nghiên cứu hoàn thiện dần. Bạn nghĩ, "rất nhiều khoá" là bao nhiêu? Theo mình, cái kết quả thu nếu thành công được đáng với công sức bỏ ra.
Mình vừa kiểm tra và thấy rằng cách chặn .CPL, .CMD, .MSI, .BAT cũng tương tự. Còn .DLL thì ko dám chắc, nhưng chỉ riêng như thế, nếu mà implement được thì cũng là một điều tốt rồi. Không có quá nhiều dạng thức thực thi phổ biến trong Windows.
>>Hoàng chỉ đặt ra cho bạn 1 câu hỏi để bạn tự suy nghĩ, nhé
Symantec, McAfee, Nod32... Tại sao không dùng cách ghi registry này nếu nó hiệu quả. Hay 3 hãng trên chưa biết về key này ?
>>Tiêu diệt cũng còn nhiều kiểu, nhiều cách để tiêu diệt. Có những loại như rootkit, có thể ẩn registry, process... Tuỳ vào chương trình bạn viết có tốt không mà diệt được virus nguy hiểm như thế nào.
>Mấy câu hỏi đó mình có nghĩ tới, lấy chuyện thực tế mà nói, mình đã thử viết một chương trình như vậy test trên máy, đặt trường hợp đã bị lây rồi mới quét. Kết quả là, ko một chương trình AV nào có thể THỰC THI cả nói chi tới chuyện phát hiện, trong khi hầu hết các chương trình khác vẫn có thể thực thi bình thường. Bạn không định cho rằng, thực tế là chưa xuất hiên con virus dùng cách đó chứ? Khi xuất hiện thì sẽ đối phó ra sao? |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
28/09/2006 21:42:21 (+0700) | #77 | 26305 |
![[Avatar]](/hvaonline/images/avatar/97de30ecb71fe0fb77e0829e0f579f45.jpg "[Avatar]")
|
hieuhoc
Member
|
|
0 |
|
|
Joined: 08/09/2006 21:57:39
Messages: 103
Offline
|
|
| @Mr.Ѻºb: Chúng ta góp ý để bác ấy ngày càng hoàng thiện chương trình hơn vì bác LeVuHoang làm việc này no fee mà bác,còn nếu thực sự bác có khả năng thì cũng nên cho chúng em thấy để còn có thể so sánh chứ bác,chứ bác nói không không thì em chịu. |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
28/09/2006 21:59:27 (+0700) | #78 | 26312 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Xin hỏi bác Mr.Ѻºb (cái tên này gõ không được), các registry key đó để làm gì, có tác dụng gì trong Windows, liên quan gì đến ShellExecute, CreateProcess vậy, Exe nào của Windows dùng và kiểm tra các key đó. Chỉ modify key mà bypass được AV thì hơi nực cười.
Mình nói rõ với bạn luôn là Explorer.exe dùng các key này, nhưng để làm gì, làm ra sao thì mong bạn trả lời.
IE Protector của Hoàng hook rất nhiều APIs, nhưng lại bỏ sót các APIs của ntdll.dll như NtCreateProcess, NtOpenKey/ReadKey/WriteKey... nên vẫn có chổ hở. Xin lỗi đã RE sơ qua app của Hoàng. |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
29/09/2006 03:02:42 (+0700) | #79 | 26396 |
Mr.Ѻºb
Member
|
|
0 |
|
|
Joined: 17/09/2006 20:03:13
Messages: 12
Offline
|
|
>>Xin hỏi bác Mr.Ѻºb (cái tên này gõ không được), các registry key đó để làm gì, có tác dụng gì trong Windows, liên quan gì đến ShellExecute, CreateProcess vậy, Exe nào của Windows dùng và kiểm tra các key đó
>Tui ko bít, bạn giải thích thử xem, 
>>Chỉ modify key mà bypass được AV thì hơi nực cười
>Nực cười hay ko tui ko bít, với lại tui ko nói là bypass, chỉ là các AV ko thực thi bình thường được, bạn đã thử chưa?
>>Mình nói rõ với bạn luôn là Explorer.exe dùng các key này, nhưng để làm gì, làm ra sao thì mong bạn trả lời.
>Tui ko bít, bạn giải thích thử xem,
>Nếu bạn thích thì nên mở một topic nói dồng dài về Registry cho tui mở mang chút, ở đây tui đang góp ý về IEProtector của bạn LeVuHoang. Trong topic này, bạn nên đặt tui vào vị trí user, ko "expert" hệ thống (tui ko theo phải là dân hệ thống, chỉ nghiên cứu chơi chơi thôi), nêu ra hiện tượng khi xài IEProtector và một số AV, còn cái vụ viết AV kiểu đó bạn cứ xem như là tui nói nhảm vậy, tui tóm lại vấn đề nhá
"Máy tính của tui dính một chương trình AutoIT lạ hoắc, ko tài nào chạy các AV nói chung và IEProtector một cách bình thường được. Tình cờ phát hiện nó ghi vào registry ở các khóa HKCR\exefile\shell\open\command và một số khoá tương tự. Vậy xin hỏi, có phải đó là nguyên nhân khiến các AV và cả IEProtector hoạt động ko bình thường(ko chạy được)? Nếu phải hay ko phải thì cách khắc phục ra sao?" Tất nhiên, bạn LeVuHoang có thể cho rằng câu hỏi này ko rõ ràng và ko cần thiết phải trả lời (khả năng diễn đạt của tui có giới hạn).
>Bàn tới bàn lui một hồi tui sợ bạn hỏi tới kernel của Windows thì ...thua luôn. Nếu có thời gian rảnh rỗi, chương trình Internet Cafe này có chút dính dáng tới Kernel Windows đang cần góp ý về mặt kỹ thuật (mong bạn đừng crack hay RE, chỉ tìm cách bypass nó ở góc độ một chương trình virus).
http://vungtau.vnn.vn/download/download.asp <<tranh thủ quảng cáo tí.
>>Chúng ta góp ý để bác ấy ngày càng hoàng thiện chương trình hơn vì bác LeVuHoang làm việc này no fee mà bác,còn nếu thực sự bác có khả năng thì cũng nên cho chúng em thấy để còn có thể so sánh chứ bác,chứ bác nói không không thì em chịu.
>Chứ bạn nghĩ tui đang làm gì, ko phải góp ý hả? Khả năng tui còn hạn chế, nên chỉ bít nói thế thôi, chứ ko bít làm.
|
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
29/09/2006 05:22:26 (+0700) | #80 | 26425 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
>Chẳng sao cả, trước mắt các tập tin exe, com nếu bị hạn chế sẽ làm khả năng gặp virus giảm đáng kể, những chỗ khác có thể từ từ nghiên cứu hoàn thiện dần. Bạn nghĩ, "rất nhiều khoá" là bao nhiêu? Theo mình, cái kết quả thu nếu thành công được đáng với công sức bỏ ra.
Thay vì nhiều khoá như vậy, bạn có thể chặn hàm NtCreateProcess. Chỉ cần 1 hàm cho tất cả.
Đây cũng là câu trả lời cho bạn là tại sao các AV không chặn nhiều đến vậy
IE Protector của Hoàng hook rất nhiều APIs, nhưng lại bỏ sót các APIs của ntdll.dll như NtCreateProcess,
Đúng rồi anh, em đang suy nghĩ xem nên bỏ hẳn luôn dòng Windows 9x để move lên WinNT hay không. Lúc này chỉ chặn NtCreateProcess là đủ.
>Nực cười hay ko tui ko bít, với lại tui ko nói là bypass, chỉ là các AV ko thực thi bình thường được, bạn đã thử chưa?
Bạn đã thử tạo 1 service bao giờ chưa ?
"Máy tính của tui dính một chương trình AutoIT lạ hoắc, ko tài nào chạy các AV nói chung và IEProtector một cách bình thường được. Tình cờ phát hiện nó ghi vào registry ở các khóa HKCR\exefile\shell\open\command và một số khoá tương tự. Vậy xin hỏi, có phải đó là nguyên nhân khiến các AV và cả IEProtector hoạt động ko bình thường(ko chạy được)? Nếu phải hay ko phải thì cách khắc phục ra sao?"
AutoIt đó có phân biệt được đâu là AV, đâu là 1 chương trình bình thường ? Kể viết virus chắc chắc sẽ không bao giờ muốn làm sụp đổ hệ thống Windows.
http://vungtau.vnn.vn/download/download.asp <<tranh thủ quảng cáo tí.
Cái này chắc để cho anh TQN xử lý hỉ ? |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
29/09/2006 05:51:26 (+0700) | #81 | 26431 |
Mr.Ѻºb
Member
|
|
0 |
|
|
Joined: 17/09/2006 20:03:13
Messages: 12
Offline
|
|
>>Thay vì nhiều khoá như vậy, bạn có thể chặn hàm NtCreateProcess. Chỉ cần 1 hàm cho tất cả.
Đây cũng là câu trả lời cho bạn là tại sao các AV không chặn nhiều đến vậy
>Một lý do có lý, nhưng như vậy đâu có nghĩa là ko xem xét tới đó nữa, ai muốn làm gì thì làm? Như vậy RIÊNG bạn quyết định bỏ mặc mấy cái khoá đó trong IEProtector?
>>Bạn đã thử tạo 1 service bao giờ chưa
>Service thì ko bị cản. Vấn đề là lúc cài AV ở một máy đã dính, làm thế nào cài vô được để mà chạy service nhỉ, hay là bạn định viết chương trình cài đặt dạng service?
>>AutoIt đó có phân biệt được đâu là AV, đâu là 1 chương trình bình thường ? Kể viết virus chắc chắc sẽ không bao giờ muốn làm sụp đổ hệ thống Windows
>Phân biệt được. Nắm hết từ đường dẫn và tên chương trình sắp thực thi cho tới tham số, chỉ cần "quét" các chương trình đó theo signature y chang như lúc AV quét virus là lòi ra liền, hay thô sơ thì cũng có thể chỉ cần so trùng cái tên là đủ rồi. Lúc này đa số các chương trình vẫn chạy bình thường, riêng các AV là tịt.
>> Cái này chắc để cho anh TQN xử lý hỉ
>Tui chỉ mong sự yên ổn, làm ơn giải thích chữ "xử lý" dùm cho tui an tâm. Nghe cứ như là công an xử lý tội phạm ấy nhỉ. Tui chỉ cần góp ý chứ ko cần xử lý. Mà cũng hay thật, có người tranh thủ qủang cáo trên này thì ko sao, tui mới có lỡ phím chút đỉnh đã bị đòi xử lý rồi. |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
29/09/2006 11:09:19 (+0700) | #82 | 26488 |
serious
Member
|
|
0 |
|
|
Joined: 24/09/2006 01:54:13
Messages: 5
Offline
|
|
Mr.Ѻºb wrote:
Tui chỉ mong sự yên ổn, làm ơn giải thích chữ "xử lý" dùm cho tui an tâm. Nghe cứ như là công an xử lý tội phạm ấy nhỉ. Tui chỉ cần góp ý chứ ko cần xử lý. Mà cũng hay thật, có người tranh thủ qủang cáo trên này thì ko sao, tui mới có lỡ phím chút đỉnh đã bị đòi xử lý rồi.
Hì hì, đi đâu cũng quote cái dấu ">" khó đọc quá 
Theo mình biết và suy đoán, anh TQN "xử lý" tức là dùng Reverse Engineering đó , chẳng phải "xử lý" như "xử lý" một tội phạm đâu ...
Mình cũng như Noob, kiến thức hệ thống còn non nớt nhưng cũng yêu thích nên tìm hiểu cho vui thôi...
Thay vì nhiều khoá như vậy, bạn có thể chặn hàm NtCreateProcess. Chỉ cần 1 hàm cho tất cả.
Chặn NtCreateProcess chỉ hạn chế được một phần lớn thôi, kô phải là cho tất cả, nếu mình thay bằng CreateProcess thì sao? Một điều mình kô chắc vì chưa có dịp tìm hiểu, đó là nếu một ứng dụng viết bằng DOS (dùng Borland C để build ra chẳng hạn) thì sao? Liệu nó có cần API để tạo một process hay kô? Hay là nó chỉ cần chạy trong lòng bộ DOS Compatible Mode thì ok?
Do đó chưa chắc các Antivirus sẽ lui cui đi chặn mấy cái hàm đó, có thể nó sẽ chặn ở một mức cao hơn, ví dụ đọc/ghi file chẳng hạn...
Mình thì chưa down & dùng IEProtector của Hoàng (do chưa có cơ hội ), nhưng nếu Hoàng chỉ nhằm mục đích chặn những ứng dụng AutoIt thì hơi uổng, phải phát triển hơn nữa để nó có thể powerful hơn  |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
29/09/2006 11:39:35 (+0700) | #83 | 26493 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
>Một lý do có lý, nhưng như vậy đâu có nghĩa là ko xem xét tới đó nữa, ai muốn làm gì thì làm? Như vậy RIÊNG bạn quyết định bỏ mặc mấy cái khoá đó trong IEProtector?
Hoàng không có điều kiện để check toàn bộ chương trình của bạn nhưng có một số điểm sau:
1. Khi cài vào máy: WinXP SP2. Restart lại cả hệ thống Windows sụp đổ vì service.exe và lsass.exe truy cập msvcrt.dll. Nếu bạn có chỉnh lại file này thì nên lưu ý
2. Bản server hardcode đường dẫn đọc file .mdb ở C:\, nếu cài vào D:\ sẽ chạy không đúng
3. Dù bản client đang chạy, nếu kiên trì vẫn có thể tắt chương trình. Xem hình
4. Có thể dễ dàng tắt được client.
Đây chỉ là một trong số những vấn đề Hoàng thấy khi cài vào (chưa có dịp dùng thử hết chức năng của chương trình) và Hoàng cũng không muốn topic này lan sang chủ đề khác.
>Một lý do có lý, nhưng như vậy đâu có nghĩa là ko xem xét tới đó nữa, ai muốn làm gì thì làm? Như vậy RIÊNG bạn quyết định bỏ mặc mấy cái khoá đó trong IEProtector?
Khi muốn chặn, bạn phải chặn từ gốc. Các khoá registry trên chỉ là chặn từ ngọn.
>Phân biệt được. Nắm hết từ đường dẫn và tên chương trình sắp thực thi cho tới tham số, chỉ cần "quét" các chương trình đó theo signature y chang như lúc AV quét virus là lòi ra liền, hay thô sơ thì cũng có thể chỉ cần so trùng cái tên là đủ rồi. Lúc này đa số các chương trình vẫn chạy bình thường, riêng các AV là tịt.
Nếu như con virus đó không có trong signature db ?
Chặn NtCreateProcess chỉ hạn chế được một phần lớn thôi, kô phải là cho tất cả, nếu mình thay bằng CreateProcess thì sao? Một điều mình kô chắc vì chưa có dịp tìm hiểu, đó là nếu một ứng dụng viết bằng DOS (dùng Borland C để build ra chẳng hạn) thì sao? Liệu nó có cần API để tạo một process hay kô? Hay là nó chỉ cần chạy trong lòng bộ DOS Compatible Mode thì ok?
Không cần phải chặn CreateProcess vì NtCreateProcess là cấp thấp hơn CreateProcess. Nói cách khách, CreateProcessA, CreateProcessW... Đều gọi hàm NtCreateProcess để thực thi
Mình thì chưa down & dùng IEProtector của Hoàng (do chưa có cơ hội , nhưng nếu Hoàng chỉ nhằm mục đích chặn những ứng dụng AutoIt thì hơi uổng, phải phát triển hơn nữa để nó có thể powerful hơn
Cám ơn bạn, Hoàng có nghĩ tới nhưng chỉ sợ thời gian không cho phép |
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
29/09/2006 12:12:26 (+0700) | #84 | 26498 |
Mr.Ѻºb
Member
|
|
0 |
|
|
Joined: 17/09/2006 20:03:13
Messages: 12
Offline
|
|
>Thx bạn LeVuHoang vì đã bỏ thời gian ra test dùm. Quả là còn nhiều thiếu sót, toàn những thiếu sót cơ bản cả. ^_^
>>Khi muốn chặn, bạn phải chặn từ gốc. Các khoá registry trên chỉ là chặn từ ngọn.
>Bạn hiểu lầm ý tui, bạn có thể ko chặn, nhưng virus AutoIT có thể chặn. Để giải quyết, tui nghĩ là phải có sự quan tâm tới các khoá đó.
>>Nếu như con virus đó không có trong signature db
>Bạn lại hiểu lầm tui, ý tui là nếu virus chặn trước cái khoá này, nó sẽ quét hầu hết các chương trình trước khi thực thi. Lúc này, virus đóng vai trò "AV" còn các chương trình chạy sau nó thuộc diện tình nghi, kể cả các chương trình cài đặt. Một khi nó quét và thấy cái chương trình nào khả nghi (AV hay là một chương trình cài đặt AV) thông qua signature hay chỉ đơn thuần là tên tập tin, thì nó sẽ chặn liền chứ ko cho chạy, còn những đứa khác thì cho ào ào. Do số lượng chương trình AV thông dụng hiện nay là ít ỏi, nên cập nhật cái "signature" cũng đễ dàng.
Một AV nếu ko cài đặt được thì làm sao có thể tính đến các hoạt động khác như là hook API hay DLL injection,..., trừ khi bạn viết chương trình cài đặt dạng service hay có một cách nào khác.
|
|
|
|
|
| [Question] Phòng chống các loại SPIM được viết bằng AutoIt |
29/09/2006 12:56:19 (+0700) | #85 | 26509 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
>Bạn hiểu lầm ý tui, bạn có thể ko chặn, nhưng virus AutoIT có thể chặn. Để giải quyết, tui nghĩ là phải có sự quan tâm tới các khoá đó.
Với AutoIt, do tính chất đơn giản của nó. Chỉ tránh người dùng thực thi (mà cách thực thi của người dùng có bao nhiêu cách đâu ngoại trừ double-click, enter, commandline... ) nên bạn dùng khoá đơn giản thế thì cũng không có gì đáng bàn.
Do số lượng chương trình AV thông dụng hiện nay là ít ỏi, nên cập nhật cái "signature" cũng đễ dàng.
Bạn chặn AV để làm gì ? Chặn ở đây là bạn chặn người dùng thực thi chứ không phải chặn virus. Hãy đặt trước hợp là 1 virus đã thực thi rồi và bạn cố gắng kill virus đó.
Vấn đề ở đây là bạn cần viết 1 chương trình AV hay kill AV ) ?
Nếu AV, bạn sẽ làm gì nếu đó là custom AV, ví dụ như chương trình của Hoàng vậy .
Hãy đặt giả quyết rằng:
1. Virus của bạn chiếm được quyền của PC (lúc này [FireLion] IE Protector) và chặn khoá execute
2. Chương trình [FireLion] IE Protector ra đời. Lúc đó virus của bạn chưa được cập nhật db.
3. Người dùng chạy chương trình [FireLion] IE Protector, virus của bạn check trong db và không thấy -> thế là bị kill
Do đó, bạn nên nhìn nhận lại vấn đề. Bạn đang đưa ra trường hợp cốt yếu để bắt bẻ mà không chú ý đến những yếu tố khách quan khác . Ví dụ đưa ra ở trên là để bạn xem xét lại trường hợp của mình.
Thân |
|
|
|
|
| [Question] Re: Phòng chống các loại SPIM được viết bằng AutoIt |
29/09/2006 13:12:51 (+0700) | #86 | 26512 |
serious
Member
|
|
0 |
|
|
Joined: 24/09/2006 01:54:13
Messages: 5
Offline
|
|
Không cần phải chặn CreateProcess vì NtCreateProcess là cấp thấp hơn CreateProcess. Nói cách khách, CreateProcessA, CreateProcessW... Đều gọi hàm NtCreateProcess để thực thi
Ừh, nhưng ZwCreateProcess thì sao? ... Cái CreateProcess này mình có đọc đâu đó, trong đó nó có nhắc đến kernel mode và user mode, khi đó các driver có thể create một process ở mức kernel sử dụng trực tiếp API ZwCreateProcess trong DDK. |
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận bảo mật
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[Avatar]](/hvaonline/images/avatar/3171b3bc8d19c82f38fef8b518aef833.jpg "[Avatar]")
!!![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")