|  Tiêu đề: Re: Phân tích và diệt PerfectKeylogger bằng tay  Mon Jul 12, 2010 4:31 pm |
|
|  Hãy cảm ơn bài viết của nhokbuj bằng cách bấm vào " " nhé!!! |
|
| | Tiêu đề: Phân tích và diệt PerfectKeylogger bằng tay Sun Jul 25, 2010 6:55 pm |
 |
|  |  |  | |  Đầu tiên là phân tích về nó:
Khi setup PerfectKeylogger có phần đặt Keyword cho Perfect Keylogger :[You must be registered and logged in to see this image.]Cái này sẽ liên quan đến tên của các file mà Keylogger sẽ tạo sau khi ta kích hoạt vào file đã bị “Remote Install” sau này.Rùi giờ thì phân tích file đã bị nhiễm (Remote Install) nhé.Sau khi kích hoạt nó:- Tạo 1 process (tiến trình) có tên là .exe- Tạo ra các File sau đây:· .exe có size là 392 KB (401,408 bytes)· r.exe có size là 7.50 KB (7,680 bytes)· hk.dll có size là 8,704 bytes· wb.dll có size là 40.0 KB (40,960 bytes)· Bpk.dat· Inst.dat· Rinst.exeTất cả đều ở trong thư mục C:\Windows\system32 (những file như bpk.dat,rinst.exe, inst.dat có thể có hoặc không).Vd: Khi setup ta đặt tên (Keyword) là system32 thì nó sẽ tạo ra những file sau:C:\Windows\System32\system32.exeC:\Windows\System32\System32r.exeC:\Windows\System32\system32hk.dllC:\Windows\System32\system32wb.dllC:\Windows\System32\bpk.datC:\Windows\System32\inst.datC:\Windows\System32\rinst.exe- Ghi vào khóa Registry:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunTạo value name: Đường dẫn (value data) là C:\Windows\System32\.exeTự động chạy file .exe trong C:\Windows\System32 mỗi khi khởi động máy.Theo vd ở trên thì nó sẽ tạo khóa: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunValue name: system32Value Data: C:\Windows\System32\system32.exeRùi biết nó hoạt động ra sao rùi thì giờ là cách diệt nhé:Bật Process Approach:[You must be registered and logged in to see this image.]Bạn hãy nhìn vào Process system32.exe và icon đã đánh dấu => Hì bạn biết đấy là gì không => icon của PerfectKeylog đấy. Mọi PerfectKeylog nào khi đang hoạt động đều mang icon có hình “cuộn phim” như thế. Vì vậy khi bạn thấy Process lạ nào có icon như thế thì 99% bạn dính PerfectKeylogger (1% còn lại thì … hên xui ^^)Giờ thì chọn tiến trình đó là kết thúc nó đi (Click vào tên tiến trình và nhấn phím Del)Rùi bi giờ dẫn đến thư mục C:\Windows\System32:Mấy file PerfectKeylog tạo ra đây :
| [You must be registered and logged in to see this image.] | This image has been resized. Click this bar to view the full image. The original image is sized 955x219 and weights 613KB. |
| [You must be registered and logged in to see this image.] | This image has been resized. Click this bar to view the full image. The original image is sized 918x198 and weights 533KB. |
[You must be registered and logged in to see this image.](Hì file Rinst.exe chưa được tạo ra :D)Nếu muốn biết vì sao ghost tìm được mấy file đó thì các bạn vui lòng xem lại phần trên (phân tích) nhé.** Lưu ý: Có thể 1 trong 4 file: .exe, r.exe, hk.dll hoặc wb.dll có tên trùng với tên file của hệ thống.Vì thế khi xóa bạn hãy thận trọng kẻo xóa nhầm vào file hệ thống. Có 1 cách dễ dàng nhận biết là 4 file trên đều không có dòng “Command Line” (tức cái dòng chữ mờ mờ hiện phía dưới tên file ấy), vì thế nếu thấy file đó không có dòng Command Line thì bạn hãy xóa (còn nếu có thì để đó nhé vì file đó ko phải là file keylog đâu ,coi chừng xóa mất file hệ thống là … tiu ^^) hoặc 1 cách nữa là bạn ấn chuột phải vào file đó chọn Properties và so sánh với dung lượng mà ghost đã nói ở trên để biết được file đó có phải Pkeylog không nhé [You must be registered and logged in to see this image.]Rùi bi giờ diệt thui:Bật cmd lên (Start > Run gõ vào hộp thoại “cmd”)Bạn sử dụng lệnh sau để xóa file:Del /f /a /q <Đường dẫn đến file cần xóa>Như Vd ở trên:[You must be registered and logged in to see this image.]Hì tất cả những file đều bị xóa ngoại trừ file system32wb.dll là “Access is denied”Để xóa những file như thế bạn làm cách này:Để nguyên cmd đó và mở taskmanager (Ctrl+Alt+Del)Rùi bây giờ bạn tìm Process có tên là explorer.exe và Kết thúc nó đi.[You must be registered and logged in to see this image.]Lúc bây giờ màn hình bạn sẽ mất hết toàn bộ và bạn sử dụng phím Alt+Tab để mở cửa sổ cmd chưa đóng lúc nãy.Và bạn lại sử dụng câu lệnh lúc nãy để xóa file system32wb.dll:[You must be registered and logged in to see this image.]Hì xóa được rùi.Bây giờ để màn hình của bạn trở lại bình thường bạn chỉ cần mở lại taskmanager và chọn File> New Task (Run)[You must be registered and logged in to see this image.]Trong hộp thoại hiện ra bạn điền vào Explorer và ấn OK.[You must be registered and logged in to see this image.]Hì màn hình làm việc đã trở lại bình thường roài đó.Bây giờ là việc cuối: xóa key khỏi registry:Start>Run gõ vào regedit và Enter.Bạn chọn đến khóa này: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunNhấn chuột phải vào System32 và chọn Delete để xóa nó đi.
| [You must be registered and logged in to see this image.] | This image has been resized. Click this bar to view the full image. The original image is sized 862x597 and weights 1509KB. |
Download ProcessExplorer: [You must be registered and logged in to see this link.] | |  |  |  |
Hãy cảm ơn bài viết của Admin bằng cách bấm vào "" nhé!!! |
|
Click here!
