hello all, Hoàng vừa finish xong cái soft này tối nay. Chưa có thời giờ kiểm chứng nhiều lắm. Hy vọng là sẽ giảm cái tệ nạn AutoIt của mấy chú script kiddie hiện nay. http://fire-lion.com/software/IEProtector/ Thanks all. 

Tự tiêu diệt: "C:\Documents and Settings\ssssss\Application Data\Mozilla\Firefox\Profiles\7zjs8na3.default\FlashGot.exe" C:\DOCUME~1\ssssss\LOCALS~1\Temp\flashgot.7zjs8na3.default\flashgot.fgt Tự tiêu diệt: C:\Program Files\FlashGet\flashget.exe Tự tiêu diệt: C:\Program Files\FlashGet\flashget.exe 

Lão Hoàng ơi ! Vui lòng thông báo là chỉ download bản IEProtector chỉ từ địa chỉ http://fire-lion.com/. Chứ ngày hôm nay đã có con virus thông báo là để gỡ bỏ các virus viết bằng AutoIt hãy vào trang web http://....... Nhưng vào trang đó là có chứa mã độc  

Em xin có chút ý kiến Là bác đã tính tới vụ script AutoIt nó tắt process của bác chưa ? thứ 2 là bác chỉ có thể end từng process 1 trong 1 thời gian rất ngắn nhưng nếu tên tạo AutoItscript đó tạo ra 2 process để protect cho nhau và kết hợp với việc end cái process của bác thì .... thật khó lường 8)) .  

Hey sau khi ngồi ngâm chán chê cái đoạn PE của autoit nói thật em chả tìn thấy cái sign nào cho cam để diệt AutoIt Script cả ,mong bác cho xin ý kiến về cái sign mà bác đã dùng để nhận diện các script autoit.  

Là bác đã tính tới vụ script AutoIt nó tắt process của bác chưa ? thứ 2 là bác chỉ có thể end từng process 1 trong 1 thời gian rất ngắn nhưng nếu tên tạo  

AutoItscript đó tạo ra 2 process để protect cho nhau và kết hợp với việc end cái process của bác thì .... thật khó lường .  

bác nên làm cho giao diện đơn giản hơn tới mức ,người có chỉ số IQ <0 cũng hiểu đc  

+ Có cách nào để tôi không phải làm gì mà vẫn được bảo vệ không ? _ lol... Một câu hỏi hay :D. Câu trả lời là không. Nhưng may mắn thay, đối với AutoIt thì câu trả lời là ĐƯỢC. Nếu bạn không làm gì "dính dáng" đến AutoIt, hãy chọn chức năng "Tự động cấm IE thực thi chương trình" và "Tự động loại bỏ các chương trình AutoIt". Thế là có thể an tâm không sợ các phiên bản viết bằng AutoIt nữa. Ghi nhớ là chỉ "ngủ ngon" với AutoIt SPIM thôi nhé ;)  

Thứ 2 ,em đã thử suy nghĩ và tìm ra một cách mà autoitscript chơi gọn program của bác là cũng ý tưởng tạo 2 process.  

em thấy một khuyết điểm là khi bind 2 con virus vào một file exe đc nén bằng thuật ASPack thì IEprotector ko thể detect đc  

Trả lời từng người một... hì hì... === mrro Chương trình này sẽ ngăn chặn không chỉ ở bước 4 mà là ở bước 3 & 4. Khi người dùng click vào link, IE mở lên (nhưng chưa kịp chạy) malware, chương trình đã scan và auto delete trước khi nó kịp thực thi (cách mà các Anti Virus thường làm để quét file trước khi file được thực thi file). Ngoài ra, nếu người dùng hoặc 1 trang muốn ép (0-day exploit) IE chạy một file nào đó. Chương trình sẽ hiện lên 1 bảng confirm xem có cho phép hay không. Nếu không cho phép, chương trình sẽ lập tức deny và hành động execute file đó xem như chưa bao giờ xảy ra. Như vậy giải pháp đã được triệt để ở bước 3 + 4. ....... và đó là giải pháp thích hợp để phòng chống SPIM nói chung và phòng chống các 0-day exploit nói riêng. Cho dù IE có lỗi cũng không execute được các mã lệnh độc hại được down xuống từ web.  

nó chỉ được kích hoạt khi user đã đọc msg và click vào link. Cứ giả định IEProtector có thể phát hiện được hết tất cả các loại malware  

ngăn chặn được hết 0-day exploit (một điều mà tui rất nghi ngờ) thì vẫn có ít nhất  

- SPIM không có link.  

- User sử dụng một browser khác IE.  

Để mrro hiểu rõ hơn cách IE Protector hoạt động và vì sao nó không thể bị dù có là 0 day exploit. Mrro thử làm theo cách sau: + Thực thi IE Protector + Thiết lập chế độ "Cấm IE thực thi..." Rồi làm 1 ví dụ nào đó bypass được xem ;)  

uhm, vậy mrro trình bày phương pháp chống mọi loại SPIM xem :D ? 

Chính xác là link này đây anh Hoàng.

bai` hoc kinh nghiem ==>Chet' ko duoc lam` con ma doi'===>... http://www33.websamba.com/xomnuocden/dungdedoi.html  

Tất cả các dấu hiệu giống hệt những con virus dựa trên code gái xinh. Khoá taskmanager , run , send link hàng loat. v.v 

Anh Hoàng có thể nói sơ qua về cơ chết diệt những con này được không, em thấy cách diệt rất hay. Cảm ơn anh 

em đang tìm phần mềm kiểm tra việc ghi vào reg của 1 phần mềm khác mà chưa đựoc, rất mong các bác giúp đỡ. thanks  

Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\Common7\IDE\devenv.exe" "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.sln" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\Common7\IDE\devenv.exe" "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.csproj" Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe" bác xem cho em vụ này nữa :mrgreen:  

+ Máy tôi đã cài [FireLion] IE Protector những không hoạt động dù đã chọn nút Hoạt động. Tại sao ? _ Có hai nguyên nhân chính sau: . Chương trình được thực thi dưới quyền User. Lúc này, chức năng tự bảo vệ sẽ không hoạt động đúng với bản không cần cài đặt. Bản phải sử dụng phiên bản cài đặt để có thể thực thi dưới quyền User . Chương trình được cài chung với DeepFreeze. Trên nguyên tắc, nếu máy bạn đã cài DeepFreeze rồi thì không phải lo lắng về malware nữa. Tuy nhiên, nếu bạn vẫn muốn [FireLion] IE Protector hoạt động. Bạn phải disable DeepFreeze, dùng bản cài đặt và mở lại (enable) DeepFreeze. Cho tới phiên bản 3.0. Chúng tôi vẫn chưa có kế hoạch cập nhật để có thể chạy với DeepFreeze vì chỉ cần restart là mọi thứ trở lại như cũ.  

Và giả sử App AutoIt bị pack thêm một lần nữa bằng packer nào đó thì sao nhỉ ?  

Tui cũng nghi ngờ nên test thử rùi,nếu pack thêm phát nữa cũng bị đập thui.Chỉnh cả PE header làm giả PE của msconfig cũng bị túm ( đôi lúc chỉnh PE AutoIT cũng ko chịu chạy )  

Ví dụ như có khá nhiều con GameBot hay viết bằng Autoit mà các tiệm net hay cài. Không hiểu nếu chương trình của bác Hoàng chặn luôn AutoIt, các tiệm net mất khách thì liệu nó có chịu cài tiếp không hay...kệ nó, cứ giữ khách trước đã.  

Hoàng thử code 1 app nhỏ, run sau khi IE Protector đã chạy, gọi FreeLibraray until thành công handle của BlockerAPIs.dll chưa (chắc LoadLibrary("BlockerApis.dll") sẽ thành công). Nếu free được thì coi chừng không ổn, madCodeHook cũng bị bypass.  

ặc ặc, lão nào ấn nhầm nút Edit bài của tui zạ :-| 

uhm, vậy bác có thể nêu ra 1 số GameBot mà các tiệm net ở VN cài không :D ? 

quên thông báo với bác nbthanh là, version sau sẽ có chức năng WhiteList. Thế là các tiệm net khỏi lăng tăn nhé ;)) 

Không biết IEProtector có chặn được cái 0-day exploit của IE mà thiên hạ đang bàn tán suốt mấy ngày qua không nhỉ? Xem thêm ở http://www.xsec.org/index.php?module=Releases&act=view&type=2&id=21. -m 

LeVuHoang wrote:

quên thông báo với bác nbthanh là, version sau sẽ có chức năng WhiteList. Thế là các tiệm net khỏi lăng tăn nhé ;)) 

Vậy chỉ cần con virus đổi tên thành 1 file exe có trong whitelist là được, phẻ, khỏi phải nghĩ cách viết protect-process, kill-process nữa cho mất công :D 

mrro wrote:

Không biết IEProtector có chặn được cái 0-day exploit của IE mà thiên hạ đang bàn tán suốt mấy ngày qua không nhỉ? Xem thêm ở http://www.xsec.org/index.php?module=Releases&act=view&type=2&id=21. -m 

Tui không có Windows Server 2000 để thử nhưng với máy của tui: Windows XP SP2, IE 6.0 SP1, IE bị lỗi crash nhưng tập tin .exe không được thực thi ;)  

http://www.xsec.org/index.php?module=Exploits&act=view&type=3&id=7  

nbthanh wrote:

LeVuHoang wrote:

quên thông báo với bác nbthanh là, version sau sẽ có chức năng WhiteList. Thế là các tiệm net khỏi lăng tăn nhé ;)) 

Vậy chỉ cần con virus đổi tên thành 1 file exe có trong whitelist là được, phẻ, khỏi phải nghĩ cách viết protect-process, kill-process nữa cho mất công :D 

Checksum :)) 

+ Máy tôi đã cài [FireLion] IE Protector những không hoạt động dù đã chọn nút Hoạt động. Tại sao ? _ Có hai nguyên nhân chính sau: . Chương trình được thực thi dưới quyền User. Lúc này, chức năng tự bảo vệ sẽ không hoạt động đúng với bản không cần cài đặt. Bản phải sử dụng phiên bản cài đặt để có thể thực thi dưới quyền User . Chương trình được cài chung với DeepFreeze. Trên nguyên tắc, nếu máy bạn đã cài DeepFreeze rồi thì không phải lo lắng về malware nữa. Tuy nhiên, nếu bạn vẫn muốn [FireLion] IE Protector hoạt động. Bạn phải disable DeepFreeze, dùng bản cài đặt và mở lại (enable) DeepFreeze. Cho tới phiên bản 3.0. Chúng tôi vẫn chưa có kế hoạch cập nhật để có thể chạy với DeepFreeze vì chỉ cần restart là mọi thứ trở lại như cũ.  

Tuy nhiên bác Hoàng cũng nên chú ý là các chương trình exe dịch từ AutoIt có size thay đổi liên tục, đôi khi mã nguồn thay đổi có 1 chút xíu, hoặc nâng cấp AutoIt lên version mới rồi compile lại là size nó cũng khác.  

]]> /hvaonline/posts/list/4002.html#26147 /hvaonline/posts/list/4002.html#26147 GMT /hvaonline/posts/list/4002.html#26148 /hvaonline/posts/list/4002.html#26148 GMT /hvaonline/posts/list/4002.html#26178 /hvaonline/posts/list/4002.html#26178 GMT /hvaonline/posts/list/4002.html#26258 /hvaonline/posts/list/4002.html#26258 GMT

Mr.Ѻºb wrote:

Uhg, đúng rồi, HKEY_CLASSES_ROOT\comfile\shell\open\command nữa, ... Sao bạn ko chặn nó nhỉ? Hay là nó có hạn chế gì chăng? 

]]> /hvaonline/posts/list/4002.html#26263 /hvaonline/posts/list/4002.html#26263 GMT /hvaonline/posts/list/4002.html#26266 /hvaonline/posts/list/4002.html#26266 GMT >Oh, mình lỡ tay post trùng bài, xin mod xoá dùm bài post của mình ngay trước bài này]]> /hvaonline/posts/list/4002.html#26274 /hvaonline/posts/list/4002.html#26274 GMT

LeVuHoang wrote:

Bạn thử dùng phiên bản 3.0 xem ? 

Em sẽ down về ngay, nhưng hy vọng không phải để dùng:D.]]> /hvaonline/posts/list/4002.html#26278 /hvaonline/posts/list/4002.html#26278 GMT Bạn nói chương trình bạn chặn được các khoá Startup, liệu nó có chặn hết thực sự ko?  

Những chuyện mà mình và bạn chưa nghĩ tới thì nhiều lắm, IEProtector có nhiều điểm ko hiệu quả mà bạn chưa nghĩ tới, vậy bạn nên từ bỏ nó đi, chịu ko?  

2. Đúng, nhưng ko phải là tất cả, nó chạy tốt hầu hết các chương trình thông dụng(có truyền tham số) và cả một số Control Panel applet. Trong trường hợp bị error, cũng có thể cho user unlock khoá đó rồi chạy chương trình, sau đó lock lại là xong (có thể điều này trong tương lại sẽ khắc phục nếu biết cách truyền tham số của Control Panel Applet). 3. Ko conflict, có chăng là chỉ khiến chương trình bị mất tác dụng. Tuy nhiên, như bạn đã nói, các AV ko làm điều này, user cũng ít làm điều này, vậy thì, conflict nếu có là điều khó xảy ra. Với lại, việc thực thi một file exe, com, reg đều bị chặn lại thì lấy cái gì chạy để mà ghi đè lên tạo ra conflict nhỉ?  

>Còn lý do nào nữa, bạn nói rõ thử coi. >Nếu đúng như bạn Sinrale và LeVuHoang đã nói, thì có lẽ, những tay phát triển D32 ko thực sự expert về mặt hệ thống. Mà bạn nói "expert" là thế nào? Bạn tự nhận là "expert" chăng? Dẫu sao, đây ko phải là chỗ cho bạn nhận xét người này hay người kia "expert" hay ko, bạn cũng chẳng có cái tư cách đó, chỉ là tranh luận đơn thuần về mặt kỹ thuật thôi. Chỉ có ưu điểm, khuyết điểm, đúng, sai ở đây thôi.  

II. >Cuối cùng, theo bạn, nếu các AV ko làm điều này, giả sử virus làm thì sao nhỉ ?(theo mình biết chỉ riêng AutoIT cũng đã có thừa khả năng ghi đè lên Registry). Liệu có cách nào để tiêu diệt virus một khi nó chiếm hết các khoá trên?  

Em sẽ down về ngay, nhưng hy vọng không phải để dùng:D.  

IE Protector của Hoàng hook rất nhiều APIs, nhưng lại bỏ sót các APIs của ntdll.dll như NtCreateProcess,  

>Nực cười hay ko tui ko bít, với lại tui ko nói là bypass, chỉ là các AV ko thực thi bình thường được, bạn đã thử chưa?  

"Máy tính của tui dính một chương trình AutoIT lạ hoắc, ko tài nào chạy các AV nói chung và IEProtector một cách bình thường được. Tình cờ phát hiện nó ghi vào registry ở các khóa HKCR\exefile\shell\open\command và một số khoá tương tự. Vậy xin hỏi, có phải đó là nguyên nhân khiến các AV và cả IEProtector hoạt động ko bình thường(ko chạy được)? Nếu phải hay ko phải thì cách khắc phục ra sao?"  

http://vungtau.vnn.vn/download/download.asp <<tranh thủ quảng cáo tí.  

Tui chỉ mong sự yên ổn, làm ơn giải thích chữ "xử lý" dùm cho tui an tâm. Nghe cứ như là công an xử lý tội phạm ấy nhỉ. Tui chỉ cần góp ý chứ ko cần xử lý. Mà cũng hay thật, có người tranh thủ qủang cáo trên này thì ko sao, tui mới có lỡ phím chút đỉnh đã bị đòi xử lý rồi. 

Thay vì nhiều khoá như vậy, bạn có thể chặn hàm NtCreateProcess. Chỉ cần 1 hàm cho tất cả. 

>Một lý do có lý, nhưng như vậy đâu có nghĩa là ko xem xét tới đó nữa, ai muốn làm gì thì làm? Như vậy RIÊNG bạn quyết định bỏ mặc mấy cái khoá đó trong IEProtector?  

>Phân biệt được. Nắm hết từ đường dẫn và tên chương trình sắp thực thi cho tới tham số, chỉ cần "quét" các chương trình đó theo signature y chang như lúc AV quét virus là lòi ra liền, hay thô sơ thì cũng có thể chỉ cần so trùng cái tên là đủ rồi. Lúc này đa số các chương trình vẫn chạy bình thường, riêng các AV là tịt.  

Chặn NtCreateProcess chỉ hạn chế được một phần lớn thôi, kô phải là cho tất cả, nếu mình thay bằng CreateProcess thì sao? Một điều mình kô chắc vì chưa có dịp tìm hiểu, đó là nếu một ứng dụng viết bằng DOS (dùng Borland C để build ra chẳng hạn) thì sao? Liệu nó có cần API để tạo một process hay kô? Hay là nó chỉ cần chạy trong lòng bộ DOS Compatible Mode thì ok?  

Mình thì chưa down & dùng IEProtector của Hoàng (do chưa có cơ hội , nhưng nếu Hoàng chỉ nhằm mục đích chặn những ứng dụng AutoIt thì hơi uổng, phải phát triển hơn nữa để nó có thể powerful hơn :)  

Do số lượng chương trình AV thông dụng hiện nay là ít ỏi, nên cập nhật cái "signature" cũng đễ dàng.  

Không cần phải chặn CreateProcess vì NtCreateProcess là cấp thấp hơn CreateProcess. Nói cách khách, CreateProcessA, CreateProcessW... Đều gọi hàm NtCreateProcess để thực thi 

Ừh, nhưng ZwCreateProcess thì sao? :)... Cái CreateProcess này mình có đọc đâu đó, trong đó nó có nhắc đến kernel mode và user mode, khi đó các driver có thể create một process ở mức kernel sử dụng trực tiếp API ZwCreateProcess trong DDK.