hoathuytram_wbf
New Member
Download miễn phí Đề tài Tìm hiểu virus Hooker
Mục Lục
Tên phần : Trang :
Phần 1: Lời nói đầu 3
Phần 2: Nội Dung 4
I. Sơ lược về virus 4
1. Hooker là gì -2. Lịch sử của virus Hooker
3. Cấu tạo của Hooker 5
II. Cách thức để virus tiếp cận vào máy 7
1. Các dạng lây nhiễm 7
2. Cách lây bám 9
III. Cách thức hoạt động 9
1. Sau khi trojan được kích hoạt chúng sẽ làm những việc như sau -2. Cách thức ngụy trang 14
2.1.Tiến hành việc lấy thông tin -2.2.Tiến hành liên lạc với chủ của nó 15
2.3RPC(Remote Procedure Call) -2.4. Cách thức Config virus Hooker 19
IV. Làm sao để bạn tự bảo vệ mình 20
Phần 3: Tổng Kết 21
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
t hiện thêm lỗi kết nối RAS và cố định lỗi này. Đôi khi nó cũng xungđột với một vài chủ đề.Khi đó keyloggingDll được chứa trong LZW.
2.7.Version 2.3 beta 5:
Hooker gửi đi các keylog. Nếu trong cửa sổ chỉ có “.” điều đó có nghĩa là
trojan không thể gửi thư đi (Hooker chỉ cần làm đầy hộp thư với một lượng lớn
các thư).
2.8.Version 2.3 beta 6:
Chỉ cần một chút thay đổi trong thủ tục gửi mail là hooker có thể bắt đầu trên
máy mà không cần rasapi32.dll.
2.9.Version 2.4:
Không có thêm phiên bản, đây là bản phát hành.Cố định ít lỗi trong tên
người dùng và tên máy chủ phát hiện.Có thêm một vài chức năng:
Keylog đầy đủ: nếu không được kiểm tra Hoocker sẽ chỉ đăng nhập cửa
sổ, nơi mà đã được keystrokes.
Nâng cao đăng nhập: nếu không được kiểm tra, Hoocker sẽ không đăng
nhập phím khoá mở rộng như shift,alt…
Ngoài ra còn cố định lỗi trong kết nối IP
3.Cấu tạo của Hooker :
a. Thành phần chính :
Một con Hooker thường có ba phần chính :
* Chương trình điều khiển (Control Program): dùng để theo điều phối hoạt động,
tinh chỉnh các thiết lập, xem các tập tin nhật ký cho Hooker . Phần này là phần
được giấu kỹ nhất của Hooker , thông thường chỉ có thể gọi ra bằng một tổ hợp
phím tắt đặt biệt.
* Tập tin hook, hay là một chương trình monitor dùng để ghi nhận lại các thao tác
bàn phím, capture screen (đây là phần quan trọng nhất)
* Tập tin nhật ký (log), nơi chứa đựng/ghi lại toàn bộ những gì hook ghi nhận
được.
Ngoài ra, tùy theo loại có thể có thêm phần chương trình bảo vệ (guard, protect),
chương trình thông báo (report) cho chủ nhân con virus …
b. Một số loại Hook :
5
Trong Windows, khi chúng ta thực hiện các thao tác nhấp chuột, nhấn
phím… thì hệ điều hành sẽ chuyển các sự kiện này thành các thông điệp
(message) rồi đưa vào hàng đợi (queue) của hệ thống. Sau đó, các thông
điệp được trao lại cho từng ứng công cụ thể để xử lý.
Hook là một kỹ thuật cho phép một hàm có thể chặn, theo dõi, xử lý, hay
hủy bỏ các thông điệp trước khi chúng “mò” đến được ứng dụng.
Hai ví dụ thường gặp của Hook là ứng dụng soạn thảo văn bản tiếng Việt
(Unikey, Vietkey…) và ứng dụng tra từ điển trực tiếp trên màn hình
(Click’n’See, Lạc Việt MTD, English Study…). Chúng xử lý thông điệp từ
bàn phím để đổi văn bản sang tiếng Việt, hay xử lý thông điệp từ con
chuột để lấy văn vản dưới con trỏ. Chương trình KeyLogger chuyên ăn cắp
mật khẩu cũng sử dụng kỹ thuật này , và con Virus Hooker cũng dựa trên
nguyên tắc đó
Xét về mặt chức năng, Hook có 15 loại ứng với nhóm sự kiện mà nó sẽ xử
lý :
- WH_CALLWNDPROC - hook quản lý các thông điệp trước lúc hệ
thống gởi chúng tới cửa sổ đích
- WH_CALLWNDPROCRET - hook quản lý các thông điệp sau khi
chúng được xử lý bởi thủ tục cửa sổ đích
- WH_CBT - hook nhận những thông báo có ích tới ứng dụng huấn
luyện trên cơ sở tính toán (CBT)
- WH_DEBUG - hook có ích cho việc debug những thủ tục hook khác
- WH_FOREGROUNDIDLE - hook sẽ được gọi khi thread
foreground của ứng dụng sẽ trở thành không dùng đến. Hook này có
ích cho hoạt động những nhiệm vụ (task) độ ưu tiên thấp trong thời
gian không được dùng đến
- WH_GETMESSAGE - hook quản lý các thông điệp được post tới
hàng thông điệp
- WH_JOURNALPLAYBACK - hook post những thông điệp được
ghi trước đó bởi thủ tục hook WH_JOURNALRECORD
6
- WH_JOURNALRECORD - hook ghi những thông điệp đầu vào
được post tới hàng thông điệp hệ thống. Hook này có ích cho việc
ghi các macro
- WH_KEYBOARD - hook quản lý các thông điệp keystroke
- KEYBOARD_LL Windows NT - hook quản lý những sự kiện nhập
vào từ keyboard mức thấp
- WH_MOUSE - hook quản lý các thông điệp chuột
- WH_MOUSE_LL Windows NT - hook quản lý những sự kiện đầu
vào chuột mức thấp
- WH_MSGFILTER - hook quản lý các thông điệp được kết sinh
như là một kết quả cuả sự kiện đầu vào ở trong dialog box, message
box, menu hay scroll bar
- WH_SHELL - hook quản lý các thông điệp nhận thông báo hữu ích
để shell các ứng dụng
- WH_SYSMSGFILTER - đặt một ứng dụng các thông điệp được
kết sinh như là kết quả của một sự kiện đầu vào ở trong dialog box,
message box, menu hay scroll bar. Thủ tục hook quản lý những
thông điệp này cho tất cả các ứng dụng trong hệ thống
Ứng với mỗi loại Hook, Windows sẽ có một chuỗi các hàm lọc (filter function) để
xử lý. Ví dụ, khi người dùng nhấn phím, thông điệp này sẽ được truyền qua tất cả
các hàm lọc thuộc nhóm WH_KEYBOARD
II.Cách thức để virus tiếp cận vào máy:
1. Các dạng lây nhiễm :
1.1 Từ ICQ :
ICQ là 1 chương trình máy tính cho phép nhắn gửi tin nhắn trực tiếp với
nhau qua dạng chữ viết hay tiếng nói , nó giống Instant Messenger của Yahoo
hay MS .
Nhưng nhiều người lại nghĩ rằng Trojan không thể lây lan trong khi họ
đang nói chuyện có thể gửi cho họ một chú Trojan.
Có thể bạn biết đến ICQ cho bạn một bug cho phép bạn gửi một file .exe
tới người khác nhưng khi đó người nhận nhìn như có vẻ bạn đang gửi một file
âm thanh, hình ảnh…
7
Ví dụ: Có người nào đó sẽ thay đổi biểu tượng của file.exe thành file.bmp,
và nói với bạn rằng đây là hình của anh. Bạn sẽ download nó về và bum bum bum
!!! Nhưng nếu người gửi file đổi tên file.exe thành .bmp thì bạn đã an toàn, vì khi
file.exe đổi tên thành .bmp thì file.exe không thể thực hiện. Nhưng khi file gửi
đến bạn đúng là một con Trojan được kẹp chung với file hình ảnh và người gửi đã
thay đổi icon của file.exe, khi đó Trojan sẽ bắt đầu chay mà bạn không hề nghi
ngờ, vì khi đó nó vẫn hiện hình ảnh của một ai đó. Đó là lý do mà hầu hết người
dùng nói họ không chạy bất kỳ file nào trong khi họ đã lỡ lầm truyền vào mà
không biết.
1.2 Từ IRC:
Cũng giống như phương pháp lây truyền từ ICQ phương pháp lây truyền
qua IRC cũng là lừa nạn nhân để chạy Trojan trong máy của mình.IRC(Internet
Relay Chat) là dạng liên lạc cấp tốc qua mạng Internet
1.3.Từ mail:
Trojan được lây lan bằng mail và tốc đọ của nó rất nhanh. Một cách đơn
giản và thường dùng là Trojan sẽ lấy địa chỉ mail trong address book để phát tán
cho những người bạn của bạn. Vì thế để đè phòng con virus này chúng ta hãy cài
ngay chương trình có thể kiểm tra mail trước khi download về và kiểm tra những
mail đã được gửi đi.
1.4 Từ truy cập trực tiếp:
Trong quá trình sử dụng máy tính thì có thể do lỗi truy nhập mà họ có thể bị
dính Trojan, hay do một người nào đó đã xâm nhập vào máy của mình và đã làm
cho máy của ta bị Trojan tấn công.
1.5. Một số thủ thuật và mánh khóe khác:
Trên các máy Microsoft Windows, người tấn công có thể đính kèm một
Trojan vào một cái tên có vẻ lương thiện vào trong một thư điện tử với việc dụ
người đọc mở tệp đính kèm ra. Trojan thường là các tệp khả thi trên Windows và
do đó sẽ có các đuôi như là .exe, .com, .bat, .src. hay .pif. Trong nhiều ứng dụng
của Windows đã có cấu hình mặc định không cho phép hiển thị các đuôi này..Do
đó, nếu trojan có tên chẳng hạn là “Readme.txt.exe” thì tệp này sẽ hiển thị một
8
cách mặc định thành “Readme.txt” và nó sẽ đánh lừa ng