MÔN MẠNG MÁY TÍNH
Would you like to react to this message? Create an account in a few clicks or log in to continue.
MÔN MẠNG MÁY TÍNH

Lớp Tin SP - CĐ SP Đồng Nai


valentine ko ngot ngao(II)

MÔN MẠNG MÁY TÍNH :: PHẦN LƯ THUYẾT :: DỊCH VỤ MẠNG

Go down

valentine ko ngot ngao(II) Empty valentine ko ngot ngao(II)

Post  myxl218 Sat Jun 07, 2008 10:54 pm

valentine ko ngot ngao(II) M2_100x150
Tiếp phần 1) Như các bạn đă biết keylog là một ứng dụng dùng để giám sát và ghi nhận các kí tự mà người dùng gơ trên bàn phím như : username, password v…v… sau đó nó sẽ tự động gửi email về cho người chủ của nó – tức là người đă viết ra keylog.
Do nó là một ứng dụng, cho nên nó phải được kích hoạt và hoạt động như một Process trong Windows. Khi tôi nhận được file .exe mà cụ thể ở đây là e-card.exe, từ email của người bạn gửi cho ḿnh. Theo thói quen, trước khi mở file e-card.exe. Tôi sử dụng một ứng dụng có sẵn trong Windows là Windows Task Manager để xem các process hiện thời đang chạy trên máy của tôi.
valentine ko ngot ngao(II) Valentin_4
Như các bạn đă thấy trên máy tôi có tất cả là 36 process, trong đó th́ có 7 process đang chạy dưới UserName của tôi. Tiếp theo tôi tiến hành chạy file e-card.exe để xem thiệp mà người bạn đă gửi cho tôi và quan sát trên tab Processes xem có điều ǵ sẽ xảy ra.
valentine ko ngot ngao(II) Valentin_5

Như trên h́nh, các bạn thấy rằng tôi chỉ chạy mỗi file e-card.exe thôi, tức là trong của sổ Task Manager sẽ chỉ có process của e-card.exe. Nhưng ở đây, bên cạnh e-card.exe tôi thấy có thêm 2 process nữa là d_card1.exe và lpr123.exe. Đến khi hoàn tất quá tŕnh mở file e-card.exe, th́ trên tab Processes cho tôi các thông tin cuối cùng như sau :
valentine ko ngot ngao(II) Valentin_6

Sau khi đă chạy file e-card.exe, tôi thấy file d_card1.exe biến mất thay vào đó là file card.exe. Mà file card.exe này đang chiếm 19% của CPU. Vậy theo suy đoán của tôi th́ file card.exe chính là file Flash c̣n file e-card.exe ch́ là một file dùng để trích xuất và thi hành file card.exe theo một cách thức nào đó.

Điều nghi ngờ thứ hai là trên Task Manager có xuất hiện process d_card1.exee-card.exe khi chạy đă tạo ra file d_card1.exe, file này sau đó sẽ extract ra 2 file là lpr123.exe và card.exe, sau đó thi hành 2 file này. Do đó nếu không sử dụng Task Manager tôi sẽ chỉ thấy được file Flash rất đẹp chứ không biết được có sự tồn tại của một process thứ 2 đang chạy song song với tấm thiệp này. Điểm mấu chốt để t́m ra được các file lpr123.exe và card.exe chính là file d_card1.exe. Chúng ta phải biết file d_card1.exe này được tạo ra ở đâu, trong thư mục nào. sau đó biến mất, tôi suy đoán là file

Tại sao tôi có thể khẳng định được rằng file e-card.exe không phải là file Flash, đó là nhờ vào PEiD. Khi kiểm tra file này bằng PEiD tôi thấy được như sau :
valentine ko ngot ngao(II) Valentin_7
Nguồn: Connection Magazine(Conmaz.com)
myxl218
myxl218

Posts : 55
Join date : 2008-04-09

Back to top Go down

Back to top

- Similar topics

MÔN MẠNG MÁY TÍNH :: PHẦN LƯ THUYẾT :: DỊCH VỤ MẠNG

 
Permissions in this forum:
You cannot reply to topics in this forum