valentine khong ngot ngao(III)

(Tiếp phần 2) Nó được code bằng Visual C++, nếu như là một file Flash thì thông tin về nó sẽ hiển thị khác, chi tiết thế nào tôi sẽ nói sau.Bây giờ làm thế nào có thể tìm và biết được vị trí của file d_card1.exe, có 2 cách như sau :



_Có thể run file e-card.exe, file này sẽ tạo ra file d_card1.exe, dựa vào đó ta có thể dùng tính năng Search của Windows để tìm.

_Sử dụng Ollydbg, như các bạn thấy khi file e-card.exe thực thi thì ngay lập tức có một process khác được tạo ra và chạy đó là d_card1.exe, vậy tôi nghi ngờ file e-card.exe có sử dụng một hàm API của Windows là CreateProcessA để tạo ra một process mới là d_card1.exe. Do đó tôi open file e_card.exe trong Ollydb và tiến hành đặt một điểm ngắt tại hàm CreateProcessA (chi tiết về hàm này các bạn có thể xem trên MSDN) thông qua Command của Ollydbg :



Điểm ngắt ở đây tức là chúng ta đặt 1 điểm dừng cho chương trình khi cho chương trình đó thực thi trong chế độ Debug, nếu như chương trình có sử dụng hàm đó thì ngay lập tức quá trình thực thi sẽ bị chặn lại và ta sẽ dừng tại điểm ngắt của chương trình tức là dừng tại hàm mà chúng ta đã thiết lập.

Sau khi tiến hành đặt điểm ngắt, tôi cho chạy file e-card.exe trong Ollydbg thông qua menu Debug -> Run hoặc nhấn F9. Ngay lập tức chương trình đã dừng lại tại hàm CreateProcessA, dựa vào thông tin mà Ollydbg cung cấp trên Stack tôi có được như sau:

Dựa vào đây chúng ta thấy rằng file d_card1.exe sẽ được tạo ra và nằm trong đường dẫn như hình minh họa trên.Lần theo đường dẫn này tôi đã tìm được file d_card1.exe.

Bây giờ chúng ta đã có được file d_card1.exe rồi, tiếp theo làm thế nào để tìm ra các file lpr123.exe và card.exe. Trước tiên,tôi lại tiến hành kiểm tra thông tin về file d_card1.exe bằng PEiD :

Thông qua PEiD tôi thấy file d_card1.exe đã được Packed lại bằng UPX. Vậy tôi sẽ sử dụng chính UPX để Unpack (Giải nén) file d_card1.exe.

File d_card1.exe sau khi được Unpack sẽ được lưu đè lên file cũ. Tiếp tục chúng ta sử dụng PEiD để tìm kiếm thông tin về file d_card1.exe mới này.

PEiD quả thực là hữu ích, qua thông tin trên tôi thấy rằng file d_card1.exe đã được nén theo định dạng RAR SFX (SelF-eXtracting) thông qua WinRAR.Nếu đã sử dụng kiểu nén này thì chắc chắn sẽ có những câu lệnh liên quan. Tôi sử dụng WinRAR để kiểm tra tiếp thông tin về d_card1.exe.

Các câu lệnh SFX script commands các bạn có thể tham khảo thêm trong file Help của WinRar. Ở đây khi mở file d_card1.exe tôi thấy có 2 file mà chúng ta cần tìm đó là Card.exe và lpr123.exe. Vậy thì kết luận của tôi ở trên hoàn toàn chính xác : file Card.exe chính là file thiệp Flash mà chúng ta nhìn thấy còn file lpr123.exe chính là File keylog chạy song song với file thiệp Flash mà chúng ta không hề biết.Extract toàn bộ các file này ra ta thấy như sau :

Hy vọng với bài viết này tôi cung cấp cho các bạn một chút ít kinh nghiệm của bản thân mình cũng như phần nào thấy được mức độ nguy hiểm, không an toàn khi tham gia vào mạng Internet. Điều quan trọng nhất là phải luôn đề cao ý thức cảnh giác để tự bảo vệ mình và người thân luôn được an toàn trên internet.

Nguồn: Connection Magazine(Conmaz.com)