Messages posted by: kienmanowar

Chịu khó tìm và down bộ Systran 6 về cài đặt, bộ đó có dịch từ tiếng Ba Lan qua tiếng Anh đấy smilie

Ý của quanta có lẽ là cài trên một phân vùng cỡ 10G để đảm bảo cài được Oracle 11g. Tốt nhất là tạo 1 user bất kì (vd: oracle) và group là dba, sau đó cho user vừa tạo vào group dba. Dùng root tạo một thư mục là /oracle. Sau đó chown cho user kia và tiến hành cài đặt, phải cài đặt đầy đủ các rpm files theo yêu cầu của Oracle Db.

Regards

Xin hỏi Linux Enterprise mà bạn đang sử dụng là download tại http://edelivery.oracle.com/linux ??

Ngoài ra bạn cứ follow theo link mà bác quanta gợi ý, có gì khúc mắc thì post quá trình làm lên đây!!

Regards
kienmanowar

Bác nào kiếm được tài liệu nhưng mà bằng tiếng TBN thì tốt hơn là tiếng Ba Lan smilie

@tmd :

http://rapidshare.com/files/12610350/Hackin9.rar

File này đòi pass khi extract, bác có biết pass của nó ko??

Regards

Hì nếu lượn bittorrent thì hình như cũng chỉ kiếm được toàn là tiếng Ba Lan smilie

.

Đề nghị bác chinhtruc in cái WinRAR EULA (End User License Agreement) for use and distribution trong file winrar.chm rồi để lên đầu giường đọc hộ cái. Mở miệng ra là nói người khác không hiểu rõ bản chất của bản quyền. Nếu bác nào còn lăn tăn thì đọc thêm cái mục 5 :

The RAR/WinRAR unlicensed trial version may not be distributed inside of any other software package without written permission of the copyright owner.

Regards

Nếu không muốn có sự xuất hiện của Thumb.db thì chọn Tools > Folder Options, vào tab View và check “Do not cache thumbnails”. Triệt để hơn nữa thì Search file này trên toàn bộ ổ cứng và del nó đi smilie

PS : trước khi hỏi thì nên google xem những file trên nó mang ý nghĩa gì!!
Regards

Hì hì tôi đã nói ở trên rồi mà, tôi là tay ngang trong RE không phải là dân coding. Trước tôi cũng thích code, cũng từ Pascal, C, C++, rồi 1 tí tẹo Java, 1 tí tẹo VB smilie

.... nhưng giờ thì bỏ hết có code gì nữa đâu. Có code thì cũng chỉ là code keygen là cùng lolz. Bây giờ theo RE cùng vì là sở thích, tự tìm tòi và học hỏi thêm ở anh em bạn bè thôi.

Regards

Hì trên đây chỉ là cách dọn dẹp sao cho double click một phát là vào ổ luôn chứ không hiện ra cái bảng Open With chứ có đả động gì đến cách diệt virus đâu. Chẳng có cách nào gọi là nông dân cả nếu như cách đó giúp khắc phục được sự cố lolz. Nếu như còn process của virus đang chay trên hệ thống thì tôi chỉ cách trên làm gì.

Regards

Chắc chỉ cần một file .bat thôi chứ nhỉ smilie

. Ví dụ del_autorun.bat với nội dung sau :
Code:

cd \
attrib -s -h -r autorun.inf
del autorun.inf

Regards

Muốn biết chính xác có dính autorun.inf hay không thì cách kiểm tra đơn giản nhất là ra cmd, sau đó truy xuất tới các ổ đĩa như C:\ , D:\ v...v , gõ lệnh dir /A . Nếu thấy có autorun.inf thì gõ tiếp type autorun.inf để xem nội dung của nó là gì. Biết đâu có một số thông tin quan trọng :d

PS: Với autorun thì cần gì phải dùng đến tool nào cao siêu để diệt thế!
Regards

Quên mất cái target được sử dụng trong bài viết để anh em thực hành :

Thì cũng phải thay đổi một chút cho nó khác, tôi học theo trick em làm tut smilie

)

Chào anh em, dạo này thấy mình ngày càng chậm chạp quá. Thấy anh em bạn bè trao đổi RlPack, EncryptPE, ExEcRyptor, PECompact, WinLic v..v.. cứ như không, còn mình thì chỉ biết đừng ngoài ngó smilie

. Đi lòng vòng một hồi lượm được cái unpackme được pack bằng Armadillo v.5.42 nên đánh liều try thử, ai dè đúng là tệ thật. Try đi try lại cứ fail như thường ^^. Cuối cùng thì cũng phải nhờ đến sự trợ giúp của anh em mới mup được. Tutor về Armadill0 thì đầy rẫy trên mạng, thậm chí lão nhỏ(hacnho) cũng đã show hẳn một series về nó (ai chưa có thì nên đọc). Bài viết này tôi viết mục đích chính là làm tài liệu lưu trữ, sau này già lôi ra đọc cho vui. Tôi không đi sâu chi tiết, muốn chi tiết cứ tham khảo tut của lão nhỏ và các tutor trên mạng.

Download tutor

Nếu đã muốn đi sâu vào RE thì không nên bỏ qua ngôn ngữ nào hết. Giả sử trong tương lai 1-2 năm nữa người ta chuyển hết qua dùng .NET thì sao smilie

(bản thân tôi không thích .NET và cũng là tay ngang trong RE nên tôi bỏ qua .NET). Nói .NET không có khả năng can thiệp sâu vào hệ thống là không có căn cứ và cơ sở, có người đang thử nghiệm viết virus bằng .NET đấy. Việc hiểu biết nhiều ngôn ngữ lập trình khác nhau giúp đỡ và hỗ trợ rất nhiều trong việc RE : phân tích code và cấu trúc lại các đoạn code.

Regards
kienmanowar

Doorkeeper wrote:

Đây là hình em lấy làm avatar ạ : http://rapidshare.de/files/39672728/1.jpg.html

Chỉ là cái hình avatar thôi, có cần thiết phải nhờ vả đến rapidshare không trong khi đơn giản chỉ cần đưa lên http://imageshack.us/

Unfortunately, at the time of writing it's still not clear how the virus spreads.

Con này hiểm thật, nó encrypt các file của người ta smilie

...

Đây là phần 8 :

http://www.4shared.com/file/50412347/edacc1c2/Ollydbg_tut8.html?dirPwdVerified=efeb2e94

Regards

lyberia wrote:

bác kienmanowar trùm thật.bác có bí quyết gì chỉ cho anh em hoc tập với đi!!

Cài này không có gì cao siêu cả nên chẳng dám nhận là "trùm".Bí quyết thì cũng đơn giản thôi, chả là có mấy anh em chơi thân với nhau khi có "hiện tượng" liên quan đến virus thì cũng nhau chia sẻ kinh nghiệm để khắc phục, rồi từ đó tổng hợp lại thành các hướng dẫn để phòng thân smilie

và lại chia sẻ cho những người khác smilie

Regards
kienmanowar

TQN wrote:

Đang dự tính viết 1 article về remote debug ring0/ring3 qua Syser/WinDbg/IDA/VS cho anh em REA nhưng chưa viết được. Remote debug có lợi khi debug malware, drivers.

Hay quá, anh cố gắng bớt chút thời gian để viết đi anh smilie

Server2:
IP Address:192.168.10.101
Subnet Mask: 255.255.255.0
Gateway: 192.168.10.200
DNS: 192.168.10.100

WS1:
IP Address:192.168.10.101
Subnet Mask: 255.255.255.0
Gateway: 192.168.10.200
DNS: 192.168.10.100

Ủa Server2 và Workstation 1 lại trùng IP hả bác ?

Có một số cách sau :
1. Sử dụng Hiren Boot CD, cách này không chắc 100% là edit được reg. Thực hiện như sau :

_Nếu như vẫn còn file userinit.exe trong máy, thì reboot lại máy tính và boot lại bằng CD. Sau khi boot được vào CD, chọn menu 9. Next... > chọn tiếp 4. Password & Registry Tools ... > chọn Offline NT/2K/XP Password Changer & Registry Editor.

_Sau khi bạn chọn Offline NT/2K/XP Password Changer & Registry Editor chương trình này sẽ tự động detect các ổ đĩa và quan trọng là detect thư mục cài Windows.

_Tại phần Step one : Select disk where the windows installation. Bước này chương trình đã tự động detect ra cho nên nhấn Enter tức là chọn số 1 để chấp nhận phân vùng có chứa registry. Chuyển sang bước 2.

_Step 2: Select Path and Registry files :
Bước này nhấn Enter theo đường dẫn mặc định là : Windows\system32\config. Sau đó chọn 2 (tức là chọn RecoveryConsole ...(sofware) để tiếp tục. Sau khi chương trình đã load xong nhánh Software vào phần \temp nó sẽ hiện ra một bảng menu khác.

_Tại bảng này ta chọn số 9-Registry Editor.... để tiến hành edit registry.

_Nó hiện ra tương tự như sau : [1020] >

_Tại dấu nhắc bạn gõ lệnh : cd Microsoft\Windows NT\CurrentVersion\Winlogon (nhớ gõ đúng chữ hoa và chữ thường). Có thể so sánh một máy thật để gõ theo

_Sau khi vào được thư mục trên gõ lệnh : cat Userinit, nếu kết quả hiện ra như sau : C:\WINDOWS\system32\userinit.exe, thì ok không phải sửa. Nếu như bị sai lệnh cần edit.

_Tại dấu nhắc gõ lệnh : ed Userinit để edit key này. nhập đúng value như trên.

_Sau đó nhấn q để quit, đến cuối sẽ có đoạn hỏi lưu lại các thay đổi thì chọn y và nhấn enter. Sau đó reboot lại máy.

2. Cách này có chú em đã thực hiện thành công và viết lại các bước thực hiện như sau:

Trên Windows, mọi thông tin thiết lập của hệ thống được lưu trong hai file System và SOFTWARE trong thư mục :

Code:
C:\WINDOWS\system32\config
Nhiệm vụ của chúng ta là cần edit lại file này. Tốt nhất sử dụng CD cài Windows XP.
Restart lại Windows, boot vào đĩa cài, tới màn hình lựa chọn Install hay Repair, nhấn R để bắt đầu quá trình repair.

Tại cửa sổ DOS của quá trình Repair, sẽ hiện lên list của các hệ điều hành có trên máy. Gõ vào xxx (xxx là số thứ tự của hệ điều hành cần fix trên list). Sau đó nó yêu cầu nhập password Administrator, nếu có thì nhập vào không thì Enter luôn. Ta sẽ ở dấu nháy :

C:\WINDOWS\

Gõ lệnh cd system32, tới :

C:\WINDOWS\system32

Gõ lệnh cd config, tới :

C:\WINDOWS\system32\config

Gõ tiếp lệnh :

REN system system.bak
REN software software.bak

Hai lệnh này để backup lại hai file System và Software. Nhớ là phải backup lại nha, vì sau đó chúng ta sẽ phải edit và restore lại hai file này. Nếu mà del là mất hết tất cả thiết lập của hệ thống ~~> chỉ có nước cài lại. May hôm nay mình lại giữ lại, chứ theo thói quen mọi khi là del rồi đấy.

Tiếp tục gõ vào lệnh :

copy C:\WINDOWS\repaire\Software
copy C:\WINDOWS\repaire\System

Trên cửa sổ DOS sẽ là :
Code:
C:\WINDOWS\system32\config copy C:\WINDOWS\repaire\Software
để copy 2 file backup thay thế 2 file đã bị virus làm hỏng. Những file này là file thiết lập của hệ thống khi mới cài Windows thôi. 2 File này sẽ giúp chúng ta khởi động lại hệ thống bình thường.

Bỏ đĩa cài Windows XP. Restart lại máy.

Bước 2 :

Sau khi boot lại vào Windows được như bình thường, vào Registry, highlight khóa HKEY_LOCAL_MACHINE. Sau đó vào menu file, chọn Load Hive. Ta load file Software.bak vừa backup lúc nãy may quá lúc đầu lại backup chứ không tiêu (vụ này mình phải học tập anh Kiên, Merc có 1 tật rất xấu là copy file thì luôn replace, xóa file thì luôn Shift + Del, nhìn thấy mấy file có chữ .bak hay .old là del thẳng cánh). Hiện ra cửa sổ yêu cầu nhập 1 name cho hive vừa load, nhập đại bất cứ name là gì mà mình muốn. Ví dụ ở đây Merc nhập : bak

Ha, trong registry giờ có thêm một đường dẫn :

Code:
HKEY_LOCAL_MACHINE\bak\
Navigate tới đúng đường đãn của key WinLogon :

Code:
HKEY_LOCAL_MACHINE\bak\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Nhìn thấy ngay giá trị Userinit bị sai, fix lại cho đúng là :C:\WINDOWS\system32\userinit.exe

Tranh thủ edit lại luôn mấy khóa nhạy cảm mà virus hay chèn vô để autorun. Exit Registry, restart lại máy, bỏ đĩa cài Windows XP vô và boot vào Repair như Bước 1.

Bước 3 :

Trong repair, ta thực hiện ngược lại với bước 1, xóa đi 2 file Software và System có trong thực mục C:\WINDOWS\System32\config. Rename lại 2 file :

REN Software.bak Software
REN System.bak System

Boot lại máy, mọi thứ trở lại bình thường . Vấn đề đặt ra là nếu virus nó del mịa 2 file Software và System trong C:\WINDOWS\repair thì sửa sao ta. Chắc lúc đó phải dùng tới BartPE or Windows Internal gì đó. Chứ dùng Hiren't Boot Merc thấy không run được mấy cái registry editor trong đó

Regards