Cách tìm diệt và xóa keylogger nhanh và hiệu quả


quảng cáo tại Diễn Đàn Tin Học
 

Hãy tìm kiếm trước khi HỎI hoặc ĐĂNG BÀI


kết quả từ 1 tới 7 trên 7
  1. #1
    Tech Admin Avatar của TreXanhVN
    Gia nhập
    May 2007
    Nơi cư ngụ
    Vietnam
    Bài gởi
    904
    Bài viết Cám ơn / Thích
    Downloads V.I.P
    12
    Uploads
    4

    Cách tìm diệt và xóa keylogger nhanh và hiệu quả

    1. Bạn có thể cài các chương trình anti-virus, anti-spy ... để phòng chống. Nhưng chương trình nào sẽ hoạt động hiệu quả : Norton, McAfee, Kaspersky ... ? Cách này chỉ có thể áp dụng với các bạn có máy ở nhà, còn các bạn chơi ở dịch vụ thì sao ?
    2. Đây là cách mình áp dụng để tìm và diệt Keylogger, tuy nhiên cũng có cái bất tiện là phải dùng Win2K hay XP càng tốt.
    Do không có nhiều thời gian, mình sẽ tìm hiểu và post từ từ lên cho các bạn tham khảo.
    Như các bạn thường biết, Keylogger lây nhiễm qua máy vi tính chủ yếu theo 2 đường (ặc ặc) :
    - Được cài đặt trực tiếp vào máy tính
    - Được cài đặt gián tiếp thông qua chạy tập tin bị đính kèm Keyloger. Cách này có vẻ thông dụng vì hiện nay một số chương trình Keylogger cho phép đính kèm Trojan vào tập tin.

    THÍ NGHIỆM VỚI KEYLOGER :

    Trước tiên, mình xin bắt đầu đùa tí với Perfect Keylogger v1.62 , 1 trong những họ Keylogger mình vừa nêu trên.
    Bắt đầu cài đặt vào máy tính của mình, ặc ặc Anti-virus báo rằng tập tin này nhiễm Trojan.Perfect.A, tắt bỏ chế độ quét virus và bắt đầu lại, ặc ặc nhanh phát sợ chưa đến 30s đã cài xong. Khởi động chương trình Keylogger mình thấy nó ghi lại hầu hết các thao tác của mình thực hiện . Trong đó có chức năng Stealth Mode (chạy ẩn) nghĩa là Chạy Chương Trình Nhưng Không Hiển Thị Trong TaskManager, chức năng này làm một số bạn khi bật TaskManager của Windows lên nhưng không phát hiện ra điều gì khác lạ nên đinh ninh mình không bị dính Keylogger . Chức năng thứ 2 rất hay là cho phép đính kèm Keylogger vào tập tin thực thi (***************) để lây nhiễm Keylogger (đính kèm với thời gian chưa đầy 10s ).

    Mình thử đính kèm 1 tập tin thử nghiệm với TOTALCMD***************

    Kích thước ban đầu : TOTALCMD*************** size : 842788 bytes
    Sau khi đính kèm Keylogger tạo ra 1 tập tin : inst_TOTALCMD*************** size : 1,101,399 bytes
    Nội dung bên trong tập tin inst_TOTALCMD*************** :
    + Kiểu nén : RAR Sfx o
    + bpk*************** size : 218122
    + bpkhk.dll size : 26112
    + bpkwb.dll size : 40960
    + inst.dat size : 996
    + pk.bin size : 3940
    + rinst*************** size : 7168
    + TOTALCMD*************** size : 842788
    Tập tin inst_TOTALCMD*************** thực chất là 1 chương trình đã được Keylogger chèn vào và nén lại thành 1 tập tin thực thi, khi bạn kích hoạt nó sẽ có trình tự làm việc như sau :
    - Chép các tập tin bpk***************, bpkhk.dll, bpkwb.dll, inst.dat, pk.bin, rinst*************** vào thư mục Windows\System32 (ở đây là Windows XP với Windows khác mình chưa thử nghiệm)
    - Chạy tập tin bpk*************** ở chế độ ẩn để ghi lại thao tác.
    - Chạy tập tin TOTALCMD*************** làm cho chúng ta tưởng vẫn bình thường.




    DMCA.com

    Chia sẻ bài viết



    Copy đoạn dưới và gửi cho bạn bè qua Yahoo!
    Link bài viết Diễn Đàn Tin Học by QRCode
    Giao lưu kết bạn với TreXanhVN qua tài khoản Facebook.

    - Cung cấp Hosting và Domain cho cá nhân, doanh nghiệp: http://trexanhvn.net/
    - Đuôi tên miền mới, thích hợp cho việc kinh doanh: http://trexanhvn.net/vi/ten-mien-moi
    - Thiết kế Website Giá rẻ chỉ 599k: http://websitegiare.pw/

    Hỗ trợ các thành viên qua:
    Y!M: trexanhvnnet (Khi add nick vui lòng để lại message "Mình là thành viên trong Diễn Đàn Tin Học Việt Nam" nhé!)
    Skype: trexanhvnnet


  2. #2
    Tech Admin Avatar của TreXanhVN
    Gia nhập
    May 2007
    Nơi cư ngụ
    Vietnam
    Bài gởi
    904
    Bài viết Cám ơn / Thích
    Downloads V.I.P
    12
    Uploads
    4
    CÁCH TÌM VÀ DIỆT PERFECT KEYLOGER :

    * Cách tìm :

    Yêu cầu : Chỉ áp dụng được với Windows 2K và XP (Windows 9x không hỗ trợ)

    1. Vào mục Start -> Run gõ : cmd
    2. Ở màn hình Dos gõ : tasklist /m bpkhk.dll
    Nếu không có Keylogger bạn sẽ nhận được 1 thông báo lỗi :

    INFO: No tasks running with the specified criteria.

    Nếu có Keylogger màn hình sẽ hiển thị :

    Image Name PID Modules Diễn giải
    ================ ==== ===== ====== =========
    explorer*************** 468 bpkhk.dll <--- quen thuộc
    DUMeter*************** 1444 bpkhk.dll <--- quen thuộc
    ctfmon*************** 1548 bpkhk.dll <--- quen thuộc
    acrotray*************** 1820 bpkhk.dll <--- quen thuộc
    notepad*************** 1956 bpkhk.dll <--- quen thuộc
    firefox*************** 2012 bpkhk.dll <--- quen thuộc
    bdmcon*************** 1744 bpkhk.dll <--- quen thuộc
    TOTALCMD*************** 2396 bpkhk.dll <--- quen thuộc
    bpk*************** 2812 bpkhk.dll <--- nó đây rồi

    Sở dĩ mình tìm tập tin bpkhk.dll là vì đây chính là tập tin Perfect Keylogger dùng để ghi lại thao tác trên máy tính.

    * Cách diệt :
    Đã tìm được tên đích danh rồi các bạn hãy thực hiện các bước sau để tiêu diệt :
    1. Vào mục Start -> Run gõ : cmd
    2. Ở màn hình Dos gõ : taskkill /f /im bpk*************** /t
    3. Tắt tất cả các chương trình đang chạy hiện thời (Explorer***************, bdswitch***************, DUMeter*************** ...)
    4. Mở Explorer vào thư mục Windows\System32 xóa các tập tin bpk***************, bpkhk.dll, bpkwb.dll ...

    Hoàn tất việc tìm và diệt Perfect Keylogger
    THÍ NGHIỆM VỚI EASY KEYLOGER :

    Trước khi cài đặt Easy Keylogger, mình chạy chương Anti-virus để quét thử.. ặc ặc không thấy có gì cả Nhưng khi chạy chương trình cài đặt, Anti-Virus cảnh báo Generic.Malware.1D21A3CC nằm trong tập tin temp mà Easy Keylogger dùng để cài đặt. Tắt bỏ chương trình quét Virus quá trình cài đặt thành công mỹ mãn

    Sau khi cài đặt xong và khởi động Easy Keylogger có 1 biểu tượng chạy ở system tray.
    Chức năng chính của Easy Keylogger :
    + Cho phép đặt phím tắt, mặc định : Shift + Ctrl + alt +V
    + Tập tin dùng để Capture thao tác : Ekey.dll
    + Chỉ có thể Capture thao tác, không có chế độ chạy ẩn, không có chức năng đính kèm Keylogger
    Theo mình thấy con Keylogger này quá "ẹ" phải không các bạn

    CÁCH TÌM VÀ DIỆT EASY KEYLOGER :
    * Ghi chú nhỏ : Có thể máy tính của bạn đang chạy rất nhiều chương trình ứng dụng, nên khi dùng lệnh : tasklist /m
    bạn sẽ khó theo dõi được, để đạt hiệu quả cao bạn hãy xuất vào 1 tập tin tạm (stout) ra 1 tập tin .txt
    Dùng lệnh :
    1. Vào mục Start -> Run gõ : cmd
    2. Ở màn hình Dos gõ : tasklist /m > ctemp.txt
    (Ở đây mình ví dụ xuất vào ổ đĩa C với tập tin temp.txt)

    * Cách tìm :

    Yêu cầu : Chỉ áp dụng được với Windows 2K và XP (Windows 9x không hỗ trợ)

    1. Vào mục Start -> Run gõ : cmd
    2. Ở màn hình Dos gõ : tasklist /m Ekey.dll
    Nếu không có Keylogger bạn sẽ nhận được 1 thông báo lỗi :

    INFO: No tasks running with the specified criteria.

    Nếu có Keylogger màn hình sẽ hiển thị :
    Image Name -------- PID -- Modules ----- Diễn giải
    ================ ==== ===== ========
    TOTALCMD*************** ----- 2040 ----- ekey.dll <--- quen thuộc
    Easy Keylogger*************** -- 2340 ----- ekey.dll <--- nó đây rồi

    Sở dĩ mình tìm tập tin Ekey.dll là vì đây chính là tập tin Easy Keylogger dùng để ghi lại thao tác trên máy tính.

    * Cách diệt : (Các bạn lưu ý, ở đây sẽ có nhiều cách diệt khỏi Process, mình sẽ liệt kê ở dưới
    Đã tìm được tên đích danh rồi các bạn hãy thực hiện các bước sau để tiêu diệt :
    1. Cách diệt thông thường :
    + Vào mục Start -> Run gõ : cmd
    + Ở màn hình Dos gõ : taskkill /f /im Easy Keylogger*************** /t
    ERROR: Invalid Argument/Option - 'Key'.

    2. Cách diệt sử dụng wildcard :
    + IProgram Files>taskkill /f /im EasyKe~1*************** /t
    ERROR: The process "EasyKe~1***************" not found.

    Ặc ặc tại sao Windows không thể loại bỏ được ứng dụng này vậy nhỉ ?
    À thì ra là lý do tên tập tin dài (Long filename), như các bạn thường biết, Dos chỉ hỗ trợ tên tập tin với 8 ký tự
    cho nên khi mình đánh tên quá 8 ký tự Dos sẽ không hiểu (Cách 1,2)
    3. Cách diệt sử dụng được :
    + Vào mục Start -> Run gõ : cmd
    + Ở màn hình Dos gõ : taskkill /f /fi "pid ge 2340" /im *
    Giải thích : Để hiểu được các bạn hãy xem lại phía trên một tí, khi bạn tìm Ekey.dll Windows đã phát hiện
    ra được rằng Easy Keylogger đang chạy ở thread 2340 đúng không . Đây là cách dùng để loại bỏ tên tập tin dài.

    4. Tắt tất cả các chương trình đang chạy hiện thời
    5. Mở Explorer tìm và xóa các tập tin Easy Keylogger***************, Ekey.dll ...
    Giao lưu kết bạn với TreXanhVN qua tài khoản Facebook.

    - Cung cấp Hosting và Domain cho cá nhân, doanh nghiệp: http://trexanhvn.net/
    - Đuôi tên miền mới, thích hợp cho việc kinh doanh: http://trexanhvn.net/vi/ten-mien-moi
    - Thiết kế Website Giá rẻ chỉ 599k: http://websitegiare.pw/

    Hỗ trợ các thành viên qua:
    Y!M: trexanhvnnet (Khi add nick vui lòng để lại message "Mình là thành viên trong Diễn Đàn Tin Học Việt Nam" nhé!)
    Skype: trexanhvnnet


  3. #3
    Tech Admin Avatar của TreXanhVN
    Gia nhập
    May 2007
    Nơi cư ngụ
    Vietnam
    Bài gởi
    904
    Bài viết Cám ơn / Thích
    Downloads V.I.P
    12
    Uploads
    4
    THÍ NGHIỆM VỚI ACTIVE KEY LOGGER : (MỘT BIẾN THỂ CỦA EASY KEYLOGGER)

    Tên của Trojan này khi được quét Virus là : Trojan.Hideproc.I (Chỉ phát hiện được khi ta cài đặt, bình thường dùng Anti-Virus để quét thì không phát hiện ra)
    Đây là phiên bản mới nhất mình vừa download trên web về, phiên bản hiện tại 3.0

    Sau khi cài đặt xong và khởi động Active Key Logger có 1 biểu tượng chạy ở system tray.
    *Chức năng bên trong của Active Keylogger :
    - Tập tin dùng để Capture : smode.dll, CMD16.dll
    - Chức năng Security : (cho phép ẩn hoàn toàn trên hệ thống)
    + Disable Task Manager
    + Remove Shortcut from Desktop
    + Remove Shortcut from Start Menu
    + Remove Active Keylogger from Uninstall List
    - Stealth Mode : Cho phép chạy ẩn
    *Phân tích sơ bộ về Active Key Logger :
    - Có khả năng Capture tất cả các thao tác trên máy tính
    - Không có khả năng tự đính kèm, tuy nhiên vẫn có thể dùng một số chương trình khác để đính kèm vào được
    - Cho phép gởi tập tin log qua email (mặc định port 25), tập tin log có tên *.kl (có thể thay đổi được)
    Mặt khác, mình thấy nó có 1 cái hơi dỡ khi Capture đó là : Khi ta gõ aaa thì trong file log hiển thị aaa, sau đó
    dùng phím BackSpace để xóa ký tự cuối thì nó hiểu : aaa[BackSpace]. Nhưng khi di chuyển chuột đến chữ số a số 2 để xóa thì nó cũng chỉ hiểu : aaa[BackSpace] .

    CÁCH TÌM VÀ DIỆT ACTIVE KEY LOGGER :

    Bạn hãy dùng cách tìm và diệt giống như của Easy Keylogger, vì Active Key Logger cũng là 1 tập tin có tên dài quá 8 ký tự

    Lưu ý : Sau khi xóa hay Uninstall Active Key Logger, các bạn hãy vào Registry tìm xem có Key (khóa) nào sau đây hay không :
    Registry : "HKLM\Software\Microsoft\Windows\CurrentVersio n\Un install\Active Key Loggerr"
    Đây là 1 Key ẩn do Active Key Logger để lại sau khi đã vĩnh viễn ra đi.Dùng bàn phím ảo cũng là một cách chống keylog, song nghe nói một số keylog tinh vi xơi được cả thằng này!
    Một cách chống keylog khi gõ pass, đặc biệt ở các máy công cộng là dùng mã ascii, bạn giữ phím alt rồi gõ [số mã ascii] sau đó nhả tay ra, ví dụ để gõ dòng KMA bạn gõ như sau: [Alt+75] [Alt+77] [Alt+65]
    Tớ đã test với nhiều trình keylog, xong cùng lắm chúng chỉ ghi được phím Alt, các phím sau đó thì tịt!
    sưu tầm www.hackerviet.org
    Chỉnh sửa lần cuối bởi TreXanhVN : 13/06/2007 lúc 09:03 PM
    Giao lưu kết bạn với TreXanhVN qua tài khoản Facebook.

    - Cung cấp Hosting và Domain cho cá nhân, doanh nghiệp: http://trexanhvn.net/
    - Đuôi tên miền mới, thích hợp cho việc kinh doanh: http://trexanhvn.net/vi/ten-mien-moi
    - Thiết kế Website Giá rẻ chỉ 599k: http://websitegiare.pw/

    Hỗ trợ các thành viên qua:
    Y!M: trexanhvnnet (Khi add nick vui lòng để lại message "Mình là thành viên trong Diễn Đàn Tin Học Việt Nam" nhé!)
    Skype: trexanhvnnet


  4. #4
    Tech Smod Avatar của Katarosky
    Gia nhập
    Jun 2008
    Nơi cư ngụ
    Huế
    Bài gởi
    1,561
    Bài viết Cám ơn / Thích
    Downloads V.I.P
    4
    Uploads
    0

  5. #5
    Thành viên Avatar của hoc_hoi
    Gia nhập
    May 2008
    Nơi cư ngụ
    Đà Nẵng
    Bài gởi
    29
    Bài viết Cám ơn / Thích
    Downloads V.I.P
    0
    Uploads
    0
    Wow những kiến thức rất bổ ích, mặc dầu mình có chương trình chống virut tuy nhiên lâu lâu kiểm tra cho an toàn, thanks pro.

    *******************************

    Học học nữa học mãi

    Học học nữa học mãi

    Học học nữa học mãi


    Nhưng mà học tại đâu?

    Ai biết thì trả lời mau


    [marquee]Học học nữa học mãi[/marquee]

  6. #6
    Thành viên mới
    Gia nhập
    Jun 2011
    Nơi cư ngụ
    Tp hồ chí minh
    Bài gởi
    1
    Bài viết Cám ơn / Thích
    Downloads V.I.P
    0
    Uploads
    0
    Bạn ơi cái cách diệt perfect keylogger taskkill /f /im bpk*************** /t
    Cái phần ************** nghĩa là điền cái gì vào vậy
    mình thử ghi là taskkill /f /im bpk/t thì nó trả lời lại là :
    ERROR : Invalid Argument/Option - '/f/im'.
    Type "TASKKILL /?" for usage.

  7. #7
    Thành viên mới Avatar của narutokullz1001
    Gia nhập
    Mar 2012
    Nơi cư ngụ
    Đà Nẵng
    Bài gởi
    1
    Bài viết Cám ơn / Thích
    Downloads V.I.P
    0
    Uploads
    0
    windowns 2k là win gì vậy?
    Windowns 9x là win gi vậy?

Thông tin Chủ đề

Users Browsing this Thread

Hiện đang có 1 người đang đọc bài này. (0 thành viên và 1 khách)

Quyền Hạn Của Bạn

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •