CÁCH TÌM VÀ DIỆT PERFECT KEYLOGER : * Cách tìm : Yêu cầu : Chỉ áp dụng được với Windows 2K và XP (Windows 9x không hỗ trợ) 1. Vào mục Start -> Run gõ : cmd 2. Ở màn hình Dos gõ : tasklist /m bpkhk.dll Nếu không có Keylogger bạn sẽ nhận được 1 thông báo lỗi : INFO: No tasks running with the specified criteria. Nếu có Keylogger màn hình sẽ hiển thị : Image Name PID Modules Diễn giải ================ ==== ===== ====== ========= explorer*************** 468 bpkhk.dll < quen thuộc DUMeter*************** 1444 bpkhk.dll < quen thuộc ctfmon*************** 1548 bpkhk.dll < quen thuộc acrotray*************** 1820 bpkhk.dll < quen thuộc notepad*************** 1956 bpkhk.dll < quen thuộc firefox*************** 2012 bpkhk.dll < quen thuộc bdmcon*************** 1744 bpkhk.dll < quen thuộc TOTALCMD*************** 2396 bpkhk.dll < quen thuộc bpk*************** 2812 bpkhk.dll < nó đây rồi Sở dĩ mình tìm tập tin bpkhk.dll là vì đây chính là tập tin Perfect Keylogger dùng để ghi lại thao tác trên máy tính. * Cách diệt : Đã tìm được tên đích danh rồi các bạn hãy thực hiện các bước sau để tiêu diệt : 1. Vào mục Start -> Run gõ : cmd 2. Ở màn hình Dos gõ : taskkill /f /im bpk*************** /t 3. Tắt tất cả các chương trình đang chạy hiện thời (Explorer***************, bdswitch***************, DUMeter*************** ) 4. Mở Explorer vào thư mục Windows\System32 xóa các tập tin bpk***************, bpkhk.dll, bpkwb.dll cCÁCH TÌM VÀ DIỆT EASY KEYLOGER : Ghi chú nhỏ : Có thể máy tính của bạn đang chạy rất nhiều chương trình ứng dụng, nên khi dùng lệnh : tasklist /m bạn sẽ khó theo dõi được, để đạt hiệu quả cao bạn hãy xuất vào 1 tập tin tạm (stout) ra 1 tập tin .txt Dùng lệnh : 1. Vào mục Start -> Run gõ : cmd 2. Ở màn hình Dos gõ : tasklist /m > ctemp.txt (Ở đây mình ví dụ xuất vào ổ đĩa C với tập tin temp.txt) * Cách tìm : Yêu cầu : Chỉ áp dụng được với Windows 2K và XP (Windows 9x không hỗ trợ) 1. Vào mục Start -> Run gõ : cmd 2. Ở màn hình Dos gõ : tasklist /m Ekey.dll Nếu không có Keylogger bạn sẽ nhận được 1 thông báo lỗi : INFO: No tasks running with the specified criteria. Nếu có Keylogger màn hình sẽ hiển thị : Image Name PID Modules Diễn giải ================ ==== ===== ======== TOTALCMD*************** 2040 ekey.dll < quen thuộc Easy Keylogger*************** 2340 ekey.dll < nó đây rồi Sở dĩ mình tìm tập tin Ekey.dll là vì đây chính là tập tin Easy Keylogger dùng để ghi lại thao tác trên máy tính. * Cách diệt : (Các bạn lưu ý, ở đây sẽ có nhiều cách diệt khỏi Process, mình sẽ liệt kê ở dưới Đã tìm được tên đích danh rồi các bạn hãy thực hiện các bước sau để tiêu diệt : 1. Cách diệt thông thường : + Vào mục Start -> Run gõ : cmd + Ở màn hình Dos gõ : taskkill /f /im Easy Keylogger*************** /t ERROR: Invalid Argument/Option - 'Key'. 2. Cách diệt sử dụng wildcard : + IProgram Files>taskkill /f /im EasyKe~1*************** /t ERROR: The process "EasyKe~1***************" not found. Ặc ặc tại sao Windows không thể loại bỏ được ứng dụng này vậy nhỉ ? À thì ra là lý do tên tập tin dài (Long filename), như các bạn thường biết, Dos chỉ hỗ trợ tên tập tin với 8 ký tự cho nên khi mình đánh tên quá 8 ký tự Dos sẽ không hiểu (Cách 1,2) 3. Cách diệt sử dụng được : + Vào mục Start -> Run gõ : cmd + Ở màn hình Dos gõ : taskkill /f /fi "pid ge 2340" /im * Giải thích : Để hiểu được các bạn hãy xem lại phía trên một tí, khi bạn tìm Ekey.dll Windows đã phát hiện ra được rằng Easy Keylogger đang chạy ở thread 2340 đúng không . Đây là cách dùng để loại bỏ tên tập tin dài. 4. Tắt tất cả các chương trình đang chạy hiện thời 5. Mở Explorer tìm và xóa các tập tin Easy Keylogger***************, Ekey.dll Có 1 biến thể của Easy Keylogger với nhiều chức năng hấp dẫn, mình sẽ test và post lên tiếp cho các bạn tham khảo ở bài kết tiếp THÍ NGHIỆM VỚI ACTIVE KEY LOGGER : (MỘT BIẾN THỂ CỦA EASY KEYLOGGER) Tên của Trojan này khi được quét Virus là : Trojan.Hideproc.I (Chỉ phát hiện được khi ta cài đặt, bình thường dùng Anti-Virus để quét thì không phát hiện ra) Đây là phiên bản mới nhất mình vừa download trên web về, phiên bản hiện tại 3.0 Sau khi cài đặt xong và khởi động Active Key Logger có 1 biểu tượng chạy ở system tray. *Chức năng bên trong của Active Keylogger : - Tập tin dùng để Capture : smode.dll, CMD16.dll - Chức năng Security : (cho phép ẩn hoàn toàn trên hệ thống) + Disable Task Manager + Remove Shortcut from Desktop + Remove Shortcut from Start Menu + Remove Active Keylogger from Uninstall List - Stealth Mode : Cho phép chạy ẩn *Phân tích sơ bộ về Active Key Logger : - Có khả năng Capture tất cả các thao tác trên máy tính - Không có khả năng tự đính kèm, tuy nhiên vẫn có thể dùng một số chương trình khác để đính kèm vào được - Cho phép gởi tập tin log qua email (mặc định port 25), tập tin log có tên *.kl (có thể thay đổi được) Mặt khác, mình thấy nó có 1 cái hơi dỡ khi Capture đó là : Khi ta gõ aaa thì trong file log hiển thị aaa, sau đó dùng phím BackSpace để xóa ký tự cuối thì nó hiểu : aaa[BackSpace]. Nhưng khi di chuyển chuột đến chữ số a số 2 để xóa thì nó cũng chỉ hiểu : aaa[BackSpace] . CÁCH TÌM VÀ DIỆT ACTIVE KEY LOGGER : Bạn hãy dùng cách tìm và diệt giống như của Easy Keylogger, vì Active Key Logger cũng là 1 tập tin có tên dài quá 8 ký tự Lưu ý : Sau khi xóa hay Uninstall Active Key Logger, các bạn hãy vào Registry tìm xem có Key (khóa) nào sau đây hay không : Registry : "HKLM\Software\Microsoft\Windows\CurrentVersio n\Un install\Active Key Loggerr" Đây là 1 Key ẩn do Active Key Logger để lại sau khi đã vĩnh viễn ra đi Nêu lên một số hiểu biết về Keylogger Vài lời mở đầu mình xin nêu lên một số vấn đề gởi đến các bạn : 1 Nếu bạn là MOD, nếu đọc xong bài viết này và cảm thấy có thể dùng để tham khảo được, xin vui lòng Sticky lên cho các bạn khác dễ tham khảo. 2. Xin các bạn đừng spam bài không liên quan để cho các bạn khác tiện theo dõi và mong các bạn góp ý cũng như bổ sung thêm về mặt kiến thức để các bạn khác tham khảo. 3. Xin lỗi vì bài viết có thể là sẽ quá dài đối với các bạn, mong các bạn góp ý để mình chỉnh sửa trong những bài viết sau. Chào các bạn ! Sau một vài thí nghiệm về Keylogger đã được viết ở phía trên của mình, mình xin rút ra một số hiểu biết tổng quát về quá trình cũng như chức năng làm việc của Keylogger và làm thế nào để có thể tìm kiếm nhanh chóng được Keylooger có nằm trong máy mình hay không để các bạn tham khảo. * Các cách Keylogger thâm nhập vào máy tính : 1. Được cài đặt trực tiếp vào máy tính : dùng cho các bạn có một số liệu quan trọng nhưng do bận rộn nên muốn biết những người khác đã thao tác những gì trên máy tính của mình khi đi vắng hoặc do các bậc phụ huynh muốn theo dõi con em của họ đang làm gì. Đây có thể là một ý hay của Keylogger nếu dùng đúng trường hợp. 2. Được cài đặt gián tiếp vào máy vi tính thông qua việc chèn vào các tập tin thực thi (exe, dll, cmd ). Cách này được bởi những kẻ xấu nhằm theo dõi và ăn cắp những thông tin quan trọng của người khác. * Một số tính năng chung của Keylogger : . Dùng để Capture (nắm bắt) các thao tác của bàn phím bằng cách ghi lại những gì chúng ta tác động lên bàn phím như : nhập văn bản hay gõ những câu lệnh cho Windows 2. Có chức năng chạy ẩn không hiển thị trong trình quản lý của Windows nhằm đánh lạc hướng người sử dụng như : - Không hiển thị trong Task Manager - Không hiển thị trong danh sách Add or Remove Programs trong Control Panel của Windows - Không tạo biểu tượng ngoài Desktop - Không tạo Shortcut trong Menu Startup 3. Cho phép gởi các tập tin ghi nhận thao tác (log file) qua Email cho kẻ tạo ra nó. Mặt khác, các Keylogger hiện nay đã có các biến thể nên có thêm nhiều chức năng nguy hiểm như : - Ngoài việc ghi lại những thao tác của bàn phím còn có khả năng "chụp ảnh" lại những gì xảy ra. - Có khả năng "Qua mặt" một số chương trình quét Virus, Spyware hiện nay để thâm nhập vào máy tính. * Cách tìm kiếm Keylogger có bên máy của mình hay không : Lưu ý :đây chỉ là cách mình sử dụng tìm Keylogger qua các thí nghiệm ở trên, nếu bạn nào có cách hay hơn xin hãy nêu lên cho các bạn tham khảo nha. Sử dụng các lện được tích hợp sẵn trong Windows, tuy nhiên vẫn có bất tiện là chỉ áp dụng được trên Win2K, XP. Các chương trình quét Virus, Spyware được sử dụng thì quá tốt nhưng nếu ra ngoài chơi, liệu ở dịch đó họ có cài cho các bạn hay không ? Các chương trình đó có được cập nhật liên tục hay không ? Hay là mỗi lần ra ngoài chơi bạn chịu khó ngồi đợi chương trình cập nhật mới, download các chương trình trên mạng về hoặc chép vào USB rồi sử dụng ? Tôi có thể trả lời rằng : Các cách trên đều không thể bảo vệ được bạn khỏi Keylogger hay Virus. 1. Đâu phải ai cũng có khả năng tài chính mua cho mình 1 cái USB. 2. Nếu máy mà bạn đang ngồi nhiễm Virus hay Trojan thì việc cài thêm chương trình Virus vào còn làm cho sự phát tán nhanh hơn hơn. 3. Không lẽ mỗi lần ra ngoài chơi bạn luôn phải kè kè theo bên người cái chương trình quét Virus ưng ý nhất của mình hay sao ? Mà chủ phòng máy liệu có cho bạn cài vào máy của họ không ? Nếu làm vậy bạn sẽ bị từ chối với lý do : máy tui có cài Deep hoặc GoBack mà, an toàn lắm . Deep và GoBack bây giờ không còn an toàn với bạn nữa vì Keylogger đã có thể "phá băng" và đính kèm vào đó, còn Ghost thì có vẻ được nhưng bất tiện ở chỗ không lẽ mỗi lần chơi xong lại phải "xả ghost" bảo đảm ổ cứng của bạn sẽ viếng thăm I-care của Nguyễn Hoàng trong thời gian ngắn nhất . Win2K và XP đã tích hợp sẵn các câu lệnh hay tại sao không khai thác nó, rất tiện dụng ở chỗ ĐI ĐÂU CŨNG CÓ SẴN. *Cách sử dụng và mẹo sử dụng để khai thác tốt các câu lệnh : đây mình đề cập đến 2 lệnh của Win2K, XP đó là : tasklist và taskkill 1. Tasklist : Dùng để liệt kê danh sách các ứng dụng chạy bên trong của Windows. - Cách sử dụng : tasklist <thông số> Để biết thêm chi tiết về thông số bạn gõ : tasklist /? - Cách hiển thị của Tasklist : + Image name : Tên của ứng dụng đang chạy. + PID (Proccess ID) : Mã số tương ứng của ứng dụng đó. + Modules : Các thư viện (dll) mà ứng dụng đó sử dụng. -Ví dụ minh họa về hiển thị tất cả các ứng dụng đang chạy : + câu lệnh : tasklist /m + Hiển thị : (Ở đây mình chỉ lấy VD về Explorer vì tập tin quá dài) explorer*************** 1660 ntdll.dll, kernel32.dll, msvcrt.dll, ADVAPI32.dll, RPCRT4.dll, GDI32.dll, USER32.dll, SHLWAPI.dll, SHELL32.dll, ole32.dll, OLEAUT32.dll, BROWSEUI.dll, + Diễn giải : . Image name : explorer*************** . PID : 1160 . Modules : ntdll.dll, kernel32.dll, msvcrt.dll - Mẹo nhỏ cho tasklist : + Nên tắt bớt các ứng dụng nằm ở SystemTray (ở gần đồng hồ) để cho cách hiển thị ngắn lại. + Sử dụng lệnh : tasklist /m > clog.txt sau đó các bạn mở tập tin log.txt ở ổ C lên tham khảo cho dễ. - Phân biệt một số ứng dụng của Windows và Keylogger trong Tasklist : smss*************** csrss*************** winlogon*************** services*************** lsass*************** svchost*************** spoolsv*************** explorer*************** ctfmon*************** alg*************** nvsvc32*************** wmiapsrv*************** wmiprvse*************** Đây là những ứng dụng khi Windows khởi động sẽ gọi lên (tùy theo mỗi máy tính khác nhau, Windows sẽ nạp nhiều hay ít), qua đó các bạn sẽ tìm được nhanh hơn những ứng dụng lạ. Hiện nay các Keylogger có thể cho phép thay đổi tên của nó hòng đánh lừa chúng ta, chẳng hạn như : bpk*************** sẽ đổi thành bbp*************** . Nếu nghi ngờ 1 ứng dụng nào đó, bạn hãy tìm ứng dụng đó (bằng công cụ Search của Windows hay của các chương trình quản lý tập tin). Khi đã tìm ra được ứng dụng đó thì bạn hãy : Nhấp chuột phải (Right Click) vào ứng dụng đó, chọn mục Properties, chọn Version -> Company. Nếu ở đó có ghi là Microsoft Corporation thì đây chính là ứng dụng của Windows. 2. Taskkill : Dùng để loại bỏ 1 hay nhiều ứng dụng đang chạy. - Cách sử dụng : taskkill <thông số> Để biết thêm chi tiết về thông số bạn gõ : taskkill /? - Có 2 cách sử dụng lệnh taskkill : + Sử dụng với ứng dụng (Image name) có tên 8 ký tự : Taskkill /f /im <tên ứng dụng> + Sử dụng với ứng dụng (Image name) có tên quá 8 ký tự : Taskkill /f /fi "PID ge id" /im * Trong đó id là PID của ứng dụng, ở ví dụ trên Explorer*************** có PID là 1660, vậy câu lệnh sẽ là : Taskkill /f /fi "PID ge 1660" /im * Câu lệnh này sẽ đóng tất cả các ứng dụng và Modules có liên quan đến Explorer*************** To dechbieri : Để vào Registry bạn hãy làm như sau : Start -> Run -> gõ Regedit Trong Regstry sẽ có 5 từ khóa (Key) : - HKEY_CLASS_ROOT - HKEY_CURRENT_USER - HKEY_LOCAL_MACHINE (Đây chính là từ khóa bạn cần tìm mà mình đã nêu ở trên) - HKEY_USERS - HKEY_CURRENT_CONFIG THÍ NGHIỆM VỚI STEALTH KEYLOGGER Đây có lẽ là 1 loại Keylogger mà mình cảm thấy có thú vị về nó. *Cài đặt thí nghiệm với Stealth Keylogger : Như thường lệ, mình quét Virus trước khi cài đặt, không có gì xảy ra cả. Chạy tập tin cài đặt, chương trình quét Virus cũng chẳng lên tiếng cảnh báo oái không lẽ nó "hối lộ" Anti-Virus hay sao ? Mặc kệ cứ tiếp tục cài đặt. Sau khi cài đặt thành công, chạy Stealth Keylogger lên wow giao diện nhỏ gọn và "dễ sương" làm sao * Phân tích sơ bộ : 1.Ưu điểm của Stealth Keylogger : - Tập tin dùng để thực thi : ASK.dll - Stealth Keylogger có những khả năng : + Bắt giữ thao tác bàn phím + Bắt giữ thao tác in ấn + Bắt giữ những gì lưu trong bộ đệm (Bộ đệm là nơi lưu trữ tạm những gì bạn Ctrl_C ) + Bắt giữ thông tin chat + Bắt giữ những ứng dụng đang chạy + Bắt giữ thông tin vể các trang web đã ghé qua + Bắt giữ các thông tin về Cookie + Chụp ảnh màn hình + Cho phép gởi tập tin log qua Email - Khi chạy không có biểu tượng ở System tray, không có trong mục Add/Remove Program, không có trong Start Menu - Chỉ kích hoạt thông qua phím tắt, mặc định là : Ctrl+Shift+Alt+S 2. Khuyết điểm : - Không thể đính kèm vào tập tin thực thi. - Khi đổi tên tập tin ASK.dll, nó sẽ không làm gì được. * Điểm khác lạ của Stealth Keylogger : Khi cài đặt nó không tạo trong Programs Files thông thường mà lại chui vào trong thư mục Windows (CWindows\ASK) * Cách tìm Stealth Keylogger : Điểm thú vị của mình đối với Stealth Keylogger nằm ở đây, khi chạy Stealth Keylogger với "giao diện chính" mình dùng lệnh Tasklist để tìm nó như những Keylogger khác : Tasklist /m OK, Windows báo rằng tìm thấy ASK*************** đang chạy với một dọc thư viện đi kèm theo. Nhưng khi mình tắt bỏ Stealth Keylogger và dùng lại lệnh : Tasklist /m thì chẳng thấy nó đâu cả . Thử dùng phím Ctrl+Shift+Alt+S thì nó lại xuất hiện chình ình ngay trước mặt. Không lẽ lệnh Tasklist có vấn đề ???? * Cách diệt Stealth Keylogger : Mặc kệ, đã tìm thấy thì nên loại bỏ nó phải không các bạn , lệnh Taskkill sẽ giúp mình làm điều này : Taskkill /f /im ASK*************** OK, Windows báo rằng đã ngăn chặn thành công. Thử dùng phím Ctrl+Shift+Alt+S lại một lần nữa ặc ặc giống như có ma, Stealth Keylogger lại từ đâu chui ra kêu mình nhập password để vào màn hình chính (( (( Sau một 1' ngạc nhiên, mình sực nhớ ra rằng lệnh Tasklist còn 1 chức năng nữa : Tasklist /m ASK.dll Lần này, Windows thông báo cho mình biết thằng Rundll32*************** đang sử dụng tập tin ASK.dll chứ không phải thằng ASK*************** Rundll32*************** là một ứng dụng của Windows nhằm thực thi tập tin thư viện của Windows, Stealth Keylogger đã lợi dụng điều này nên làm cho mình khi sử dụng Taskkill /f /im ASK*************** không còn hiệu quả. Để loại bỏ hoàn toàn mình sử dụng lệnh askkill /f /im rundll32*************** Bật Explorer lên xóa thư mục CWindows\ASK khởi động lại máy bấm Ctrl+Shift+Alt+S không thấy gì xảy ra, Stealth Keylogger đã ra đi vĩnh viễn . CÁCH TÌM VÀ DIỆT PERFECT KEYLOGER : * Cách tìm : Yêu cầu : Chỉ áp dụng được với Windows 2K và XP (Windows 9x không hỗ trợ) 1. Vào mục Start -> Run gõ : cmd 2 đến chữ số a số 2 để xóa thì nó cũng chỉ hiểu : aaa[BackSpace] . CÁCH TÌM VÀ DIỆT ACTIVE KEY LOGGER : Bạn hãy dùng cách tìm và diệt giống như của Easy Keylogger, vì Active Key Logger cũng là. DUMeter*************** ) 4. Mở Explorer vào thư mục WindowsSystem32 xóa các tập tin bpk***************, bpkhk.dll, bpkwb.dll cCÁCH TÌM VÀ DIỆT EASY KEYLOGER : Ghi chú nhỏ : Có thể máy tính