chống spyware keylock

sách Add or Remove Programs trong Control Panel của Windows
- Không tạo biểu tượng ngoài Desktop
- Không tạo Shortcut trong Menu Startup
3. Cho phép gởi các tập tin ghi nhận thao tác (log file) qua Email cho kẻ tạo ra nó.
Mặt khác, các Keylogger hiện nay đã có các biến thể nên có thêm nhiều chức năng nguy hiểm như

:
- Ngoài việc ghi lại những thao tác của bàn phím còn có khả năng "chụp ảnh" lại những gì xảy ra.
- Có khả năng "Qua mặt" một số chương trình quét Virus, Spyware ... hiện nay để thâm nhập vào

máy tính.

* Cách tìm kiếm Keylogger có bên máy của mình hay không :
Lưu ý :đây chỉ là cách mình sử dụng tìm Keylogger qua các thí nghiệm ở trên, nếu bạn nào có

cách hay hơn xin hãy nêu
lên cho các bạn tham khảo nha.

Sử dụng các lện được tích hợp sẵn trong Windows, tuy nhiên vẫn có bất tiện là chỉ áp dụng được

trên Win2K, XP.
Các chương trình quét Virus, Spyware... được sử dụng thì quá tốt nhưng nếu ra ngoài chơi, liệu ở

dịch đó họ có cài cho
các bạn hay không ? Các chương trình đó có được cập nhật liên tục hay không ? Hay là mỗi lần

ra ngoài chơi bạn chịu khó ngồi
đợi chương trình cập nhật mới, download các chương trình trên mạng về hoặc chép vào USB rồi

sử dụng ?
Tôi có thể trả lời rằng : Các cách trên đều không thể bảo vệ được bạn khỏi Keylogger hay Virus.
1. Đâu phải ai cũng có khả năng tài chính mua cho mình 1 cái USB.
2. Nếu máy mà bạn đang ngồi nhiễm Virus hay Trojan thì việc cài thêm chương trình Virus vào

còn làm cho sự phát tán
nhanh hơn hơn.
3. Không lẽ mỗi lần ra ngoài chơi bạn luôn phải kè kè theo bên người cái chương trình quét Virus

ưng ý nhất của mình hay sao ?
Mà chủ phòng máy liệu có cho bạn cài vào máy của họ không ? Nếu làm vậy bạn sẽ bị từ chối với

lý do : máy tui có cài
Deep hoặc GoBack mà, an toàn lắm . Deep và GoBack bây giờ không còn an toàn với bạn nữa vì

Keylogger đã có thể
"phá băng" và đính kèm vào đó, còn Ghost thì có vẻ được nhưng bất tiện ở chỗ không lẽ mỗi lần

chơi xong lại phải "xả ghost"
bảo đảm ổ cứng của bạn sẽ viếng thăm I-care của Nguyễn Hoàng trong thời gian ngắn nhất .
Win2K và XP đã tích hợp sẵn các câu lệnh hay tại sao không khai thác nó, rất tiện dụng ở chỗ ĐI

ĐÂU CŨNG CÓ SẴN.

*Cách sử dụng và mẹo sử dụng để khai thác tốt các câu lệnh :
đây mình đề cập đến 2 lệnh của Win2K, XP đó là : tasklist và taskkill
1. Tasklist : Dùng để liệt kê danh sách các ứng dụng chạy bên trong của Windows.
- Cách sử dụng : tasklist <thông số>
Để biết thêm chi tiết về thông số bạn gõ : tasklist /?
- Cách hiển thị của Tasklist :
+ Image name : Tên của ứng dụng đang chạy.
+ PID (Proccess ID) : Mã số tương ứng của ứng dụng đó.
+ Modules : Các thư viện (dll) mà ứng dụng đó sử dụng.
-Ví dụ minh họa về hiển thị tất cả các ứng dụng đang chạy :
+ câu lệnh : tasklist /m
+ Hiển thị : (Ở đây mình chỉ lấy VD về Explorer vì tập tin quá dài)
explorer*************** 1660 ntdll.dll, kernel32.dll, msvcrt.dll,
ADVAPI32.dll, RPCRT4.dll, GDI32.dll,
USER32.dll, SHLWAPI.dll, SHELL32.dll,
ole32.dll, OLEAUT32.dll, BROWSEUI.dll,....
+ Diễn giải :
. Image name : explorer***************
. PID : 1160
. Modules : ntdll.dll, kernel32.dll, msvcrt.dll .....
- Mẹo nhỏ cho tasklist :
+ Nên tắt bớt các ứng dụng nằm ở SystemTray (ở gần đồng hồ) để cho cách hiển thị ngắn lại.
+ Sử dụng lệnh : tasklist /m > clog.txt sau đó các bạn mở tập tin log.txt ở ổ C lên tham khảo cho

dễ.
- Phân biệt một số ứng dụng của Windows và Keylogger trong Tasklist :
smss***************
csrss***************
winlogon***************
services***************
lsass***************
svchost***************
spoolsv***************
explorer***************
ctfmon***************
alg***************
nvsvc32***************
wmiapsrv***************
wmiprvse***************
.........
Đây là những ứng dụng khi Windows khởi động sẽ gọi lên (tùy theo mỗi máy tính khác nhau,

Windows sẽ nạp nhiều hay ít), qua đó các bạn sẽ tìm được nhanh hơn những ứng dụng lạ. Hiện

nay các Keylogger có thể cho phép thay đổi tên của nó hòng đánh lừa chúng ta, chẳng hạn như :

bpk*************** sẽ đổi thành bbp*************** . Nếu nghi ngờ 1 ứng dụng nào đó, bạn

hãy tìm ứng dụng đó (bằng
công cụ Search của Windows hay của các chương trình quản lý tập tin). Khi đã tìm ra được ứng

dụng đó thì bạn hãy :
Nhấp chuột phải (Right Click) vào ứng dụng đó, chọn mục Properties, chọn Version -> Company.

Nếu ở đó có ghi là Microsoft Corporation thì đây chính là ứng dụng của Windows.
2. Taskkill : Dùng để loại bỏ 1 hay nhiều ứng dụng đang chạy.
- Cách sử dụng : taskkill <thông số>
Để biết thêm chi tiết về thông số bạn gõ : taskkill /?
- Có 2 cách sử dụng lệnh taskkill :
+ Sử dụng với ứng dụng (Image name) có tên 8 ký tự :
Taskkill /f /im <tên ứng dụng>
+ Sử dụng với ứng dụng (Image name) có tên quá 8 ký tự :
Taskkill /f /fi "PID ge id" /im *
Trong đó id là PID của ứng dụng, ở ví dụ trên Explorer*************** có PID là 1660, vậy câu

lệnh sẽ là :
Taskkill /f /fi "PID ge 1660" /im *
Câu lệnh này sẽ đóng tất cả các ứng dụng và Modules có liên quan đến

Explorer***************
To dechbieri :
Để vào Registry bạn hãy làm như sau :
Start -> Run -> gõ Regedit
Trong Regstry sẽ có 5 từ khóa (Key) :
- HKEY_CLASS_ROOT
- HKEY_CURRENT_USER
- HKEY_LOCAL_MACHINE (Đây chính là từ khóa bạn cần tìm mà mình đã nêu ở trên)
- HKEY_USERS
- HKEY_CURRENT_CONFIG

THÍ NGHIỆM VỚI STEALTH KEYLOGGER
Đây có lẽ là 1 loại Keylogger mà mình cảm thấy có thú vị về nó.
*Cài đặt thí nghiệm với Stealth Keylogger :
Như thường lệ, mình quét Virus trước khi cài đặt, không có gì xảy ra cả. Chạy tập tin cài đặt,

chương trình quét Virus cũng chẳng lên tiếng cảnh báo...oái không lẽ nó "hối lộ" Anti-Virus hay sao

? Mặc kệ cứ tiếp tục cài đặt.
Sau khi cài đặt thành công, chạy Stealth Keylogger lên...wow giao diện nhỏ gọn và "dễ sương" làm

sao
* Phân tích sơ bộ :
1.Ưu điểm của Stealth Keylogger :
- Tập tin dùng để thực thi : ASK.dll
- Stealth Keylogger có những khả năng :
+ Bắt giữ thao tác bàn phím
+ Bắt giữ thao tác in ấn
+ Bắt giữ những gì lưu trong bộ đệm (Bộ đệm là nơi lưu trữ tạm những gì bạn Ctrl_C )
+ Bắt giữ thông tin chat
+ Bắt giữ những ứng dụng đang chạy
+ Bắt giữ thông tin vể các trang web đã ghé qua
+ Bắt giữ các thông tin về Cookie
+ Chụp ảnh màn hình
+ Cho phép gởi tập tin log qua Email
- Khi chạy không có biểu tượng ở System tray, không có trong mục Add/Remove Program, không

có trong Start Menu
- Chỉ kích hoạt thông qua phím tắt, mặc định là :