1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tim hieu virus hooker

21 337 1
Tài liệu được quét OCR, nội dung có thể không chính xác
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Tim hiếu virus hooker
Tác giả Đào Văn Long
Người hướng dẫn Đỗ Văn Uy
Trường học Trường Đại Học Bách Khoa Hà Nội
Chuyên ngành Hệ Điều Hành
Thể loại Bài tập lớn
Năm xuất bản 2011
Thành phố Hà Nội
Định dạng
Số trang 21
Dung lượng 4,03 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Tim hieu virus hooker

Trang 1

Trường Đại Học Bách Khoa Hà Nội Viện Công Nghệ Thông Tin Và Truyền Thông

BÀI TẬP LỚN Môn : Hệ Điều Hành

Đề Tài : Tim hiéu virus Hooker

Giáo viên : Đỗ Văn Uy

Sinh Viên Thực Hiện : Mã Số Sinh Viên : Lớp :

Hà Nội — Tháng 4/2011

Trang 2

2 Lich sit cua virus Hooker

3 Cấu tạo của Hooker

II Cách thức để virus tiếp cận vào máy

1, Các dang lây nhiễm

2.1.Tiến hành việc lấy thông tin

2.2.Tiến hành liên lạc với chủ của nó 2.3RPC(Remote Procedure Call) 2.4 Cach thire Config virus Hooker

TV Làm sao để ban tự bảo vệ mình

Phần 3: Tổng Kết

Trang 3

PHAN I:GIOI THIEU CHUNG

Hooker thực chất là một loại Trojan mã nguồn mở.Trojan là một chương trình bắt hợp pháp được chứa bên trong một chương trình hợp pháp.Chương trình không hợp pháp này thực hiện những hàm bí mật mà người dùng không biết hay không dùng đến.Về chức năng của Trojan chúng tôi sẽ đề cập đến trong phần sau.Mặt khác Trojan cũng có thể được là những công cụ quản trị từ xa

Ngày nay Trojan luôn luôn là một van đề lớn trong vấn đề bảo mật và an toàn trên mạng.Nhiều người không biết Trojan là gì và họ tải xuống những file mà không biết rõ nguồn gốc.Hiện nay có hơn 1000 trojan và có thể nhiều hơn nữa, vì mỗi hacker, mỗi lập trình viên hay mỗi nhóm hacker đều viết Trojan riêng cho mình và những con Trojan nay không được công bố lên mạng cho đến khi nó được phát hiện

Trojan: một chương trình máy tính trông có vẻ là hữu dụng nhưng thật ra nó gây phá hủy.Trojan bị phát tán khi mọi người bị lôi kéo bởi một chương trình bởi

vì họ nghĩ nó đến từ một nguồn hợp pháp.Trojan cũng có thể chứa trong phần mềm mà bạn tải xuống miễn phí

Khác với virus, Trojan là một đoạn mã chương trình hoàn toàn không có tính chất lây lan.Nó chỉ có thể được cài đặt bằng cách người tạo ra nó “lừa” nạn

nhân,còn virus thì tự động tìm kiếm nạn nhân để lây lan

Phần mềm có chứa Trojan thường là có dạng chương trình tiên ích, phần mềm mới hấp dẫn nhằm dễ thu hút người sử dụng

Trong bài viết này em sẽ trình bày với các bạn về Trojan và Hooker.Những khái niệm cơ bản,cơ chế ly bám ,cách thức mở trộm tài khoản người dùng và làm sao nó có thể xâm nhập vào máy của bạn được?

Trang 4

PHAN II:NOI DUNG

LSo luge vé virus Hooker:

1.Hooker 1a gi?

Hooker này là một loại virus nằm trong nhom Keylogger Keylogger hay

"trình theo dõi thao tác bàn phím" theo cách dịch ra tiếng Việt là một chương trình máy tính ban đầu được viết nhằm mục đích theo dõi và ghi lại mọi thao tác thực hiện trên bàn phím vào một tập tin nhật ký (Iog) để cho người cài đặt nó sử dụng

Vì chức năng mang tính vi phạm vào riêng tư của người khác này nên các trình keylogger được xếp vào nhóm các phần mềm gián điệp Vì vậy Hooker là loại virus nhằm giúp chủ nhân của nó đánh cắp những thông tin trên máy tính nhiễm phải con virus này như tài khoản mail

2.Lịch sử của virus Hooker :

Bay giờ nó gửi đi một keylog va sao chép mật khâu dưới tệp (*.pwl) Sau

đó nó thiết lập một đăng kí xác định đường dẫn cho người sử dụng Nó có thể xác định kích thước tối đa của một tập tin log-file Sau khi gửi file-log đi thì nó xoá file đó và lập file-log mới

Hooker sẽ thêm vào trước các từ mã trong tiêu đề và lưu trữ các tính năng này 2.3.Version 2.1:

Thêm các từ được gửi về sau khi đăng nhập tràn

Trang 5

Nó phát hiện thêm lỗi kết nối RAS và cố định lỗi này Đôi khi nó cũng xung

đột với một vài chủ đề.Khi đó keyloggingDIl được chứa trong LZW

2.7.Version 2.3 beta 5:

Hooker gửi đi các keylog Nếu trong cửa số chỉ có “.” điều đó có nghĩa là trojan không thể gửi thư đi (Hooker chỉ cần làm đầy hộp thư với một lượng lớn các thư)

* Keylog đầy đủ: nếu không được kiểm tra Hoocker sẽ chỉ đăng nhập cửa

số, nơi mà đã được keystrokes

Nâng cao đăng nhập: nếu không được kiểm tra, Hoocker sẽ không đăng nhập phím khoá mở rộng như shift,alt

Ngoài ra còn có định lỗi trong kết nói IP

3.Cấu tạo của Hooker :

a Thành phần chính :

Một con Hooker thường có ba phần chính :

* Chương trình điều khiển (Control Program): dùng để theo điều phối hoạt động, tỉnh chỉnh các thiết lập, xem các tập tin nhật ký cho Hooker Phan nay 1a phan được giấu kỹ nhất của Hooker , thông thường chỉ có thể gọi ra bằng một tổ hợp

Trang 6

Trong Windows, khi chúng ta thực hiện các thao tác nhấp chuột, nhấn phím thì hệ điều hành sẽ chuyền các sự kiện này thành các thông điệp (message) rồi đưa vào hàng đợi (queue) của hệ thống Sau đó, các thông điệp được trao lại cho từng ứng dụng cụ thể để xử lý

Hook là một kỹ thuật cho phép một hàm có thể chặn, theo dõi, xử lý, hoặc hủy bỏ các thông điệp trước khi chúng “mò” đến được ứng dụng

Hai ví dụ thường gặp của Hook là ứng dụng soạn thảo văn bản tiếng Việt (Unikey, Vietkey ) và ứng dụng tra từ điển trực tiếp trên màn hình

(Click’n’See, Lac Viét MTD, English Study ) Chúng xử lý thông điệp từ bàn phím đề đổi văn bản sang tiếng Việt, hoặc xử lý thông điệp từ con chuột để lấy văn vản dưới con trỏ Chương trình KeyLogger chuyên ăn cắp mật khẩu cũng sử dụng kỹ thuật này , và con Virus Hooker cũng dựa trên nguyên tắc đó

Xét về mặt chức năng, Hook có 15 loại ứng với nhóm sự kiện mà nó sẽ xử

- WH_CALLWNDPROC - hook quan ly cdc thông điệp trước lúc hệ théng gởi chúng tới cửa số đích

- WH_CALLWNDPROCRET - hook quan ly cac thông điệp sau khi

chúng được xử lý bởi thủ tục cửa số đích

- _WH_CBT - hook nhận những thông báo có ích tới ứng dụng huấn luyện trên cơ sở tính toán (CBT)

- WH_DEBUG - hook cé ich cho viéc debug nhimg thu tuc hook khac

- WH_FOREGROUNDIDLE - hook sé duge goi khi thread

foreground cia img dụng sẽ trở thành không dùng đến Hook nay có

ích cho hoạt động những nhiệm vụ (task) độ ưu tiên thấp trong thời gian không được dùng đến

-_WH_GETMESSAGE - hook quản lý các thông điệp được post tới hàng thông điệp

-_ WH_JOURNALPLAYBACK - hook post những thông điệp được ghi trước đó bởi thủ tục hook WH_JOURNALRECORD

Trang 7

-_WH_JOURNALRECORD - hook ghi những thông điệp đầu vào được post tới hàng thông điệp hệ thống Hook này có ích cho việc ghi các macro

- WH_KEYBOARD - hook quản lý các thông điệp keystroke

-_ KEYBOARD_LL Windows NT - hook quản lý những sự kiện nhập vào từ keyboard mức thấp

- WH_MOUSE - hook quan ly cdc thông điệp chuột

- WH_MOUSE_LL Windows NT - hook quản lý những sự kiện đầu vào chuột mức thấp

- WH_MSGFILTER - hook quản lý các thông điệp được kết sinh như là một kết quả cuả sự kiện đầu vào ở trong dialog box, message box, menu hay scroll bar

- WH_SHELL - hook quan ly cac thong diép nhan thong bao hitu ich

để shell các ứng dụng

-_ WH_SYSMSGFILTER - đặt một ứng dụng các thông điệp được kết sinh như là kết quả của một sự kiện đầu vào ở trong dialog box, message box, menu hay scroll bar Thu tục hook quản lý những thông điệp này cho tat cả các ứng dụng trong hệ thống

Ứng với mỗi loại Hook, Windows sẽ có một chuỗi các ham loc (filter function) để

xử lý Ví dụ, khi người dùng nhắn phím, thông điệp này sẽ được truyền qua tắt cả các hàm lọc thuộc nhóm WH_KEYBOARD

I.Cách thức để virus tiếp cận vào máy:

1 Các dạng lây nhiễm :

11 TwIcQ:

ICQ la 1 chương trình máy tinh cho phép nhắn gửi tin nhắn trực tiếp với nhau qua dạng chữ viết hay tiếng nói , nó giống Instant Messenger của Yahoo hay MS

Nhưng nhiều người lại nghĩ rằng Trojan không thể lây lan trong khi họ đang nói chuyện có thể gửi cho họ một chú Trojan

Có thể bạn biết đến ICQ_ cho bạn một bug cho phép bạn gửi một file exe tới người khác nhưng khi đó người nhận nhìn như có vẻ bạn đang gửi một file

âm thanh, hình ảnh

Trang 8

Vi du: Có người nào đó sẽ thay đổi biểu tượng của file.exe thành file.bmp,

và nói với bạn rằng đây là hình của anh Bạn sẽ download nó về và bum bum bum

!!! Nhưng nếu người gửi file đổi tên file.exe thành bmp thì bạn đã an toàn, vì khi file.exe đổi tên thành bmp thì file.exe không thể thực hiện Nhưng khi file gửi đến bạn đúng là một con Trojan được kẹp chung với file hình ảnh và người gửi đã thay đổi icon của file.exe, khi đó Trojan sẽ bắt đầu chay mà bạn không hề nghỉ ngờ, vì khi đó nó vẫn hiện hình ảnh của một ai đó Đó là lý do mà hầu hết người dùng nói họ không chạy bắt kỳ file nảo trong khi họ đã lỡ lầm truyền vào mà

không biết

1.2 Từ IRC:

Cũng giống như phương pháp lây truyền từ ICQ phương pháp lây truyền qua IRC cũng là lừa nạn nhân dé chạy Trojan trong máy của mình.IRC(Internet Relay Chat) là dạng liên lạc cấp tốc qua mạng Internet

1.3.Từ mail:

Trojan được lây lan bằng mail và tốc đọ của nó rất nhanh Một cách đơn giản và thường dùng là Trojan sẽ lấy địa chỉ mail trong address book dé phat tan cho những người bạn của bạn Vì thế để đè phòng con virus này chúng ta hãy cài ngay chương trình có thể kiểm tra mail trước khi download về và kiểm tra những mail đã được gửi đi

1.4 Từ truy cập trực tiếp:

Trong quá trình sử dụng máy tính thì có thể do lỗi truy nhập mà họ có thể bị dính Trojan, hoặc do một người nào đó đã xâm nhập vào máy của mình và đã làm cho máy của ta bị Trojan tấn công

1.5 Một số thủ thuật và mánh khóe khác:

Trên các máy Microsoft Windows, người tắn công có thẻ đính kèm một Trojan vào một cái tên có vẻ lương thiện vào trong một thư điện tử với việc dụ người đọc mở tệp đính kèm ra Trojan thường là các tệp khả thi trên Windows và

do đó sẽ có các đuôi như là exe, com, bat, src hay pif Trong nhiều ứng dụng của Windows đã có cầu hình mặc định không cho phép hiển thị các đuôi này Do

đó, nếu trojan có tên chẳng hạn là “Readme.txt.exe” thì tệp này sẽ hiển thị một

Trang 9

cách mặc dinh thanh “Readme.txt” va nó sẽ đánh lừa người dùng rằng đây chỉ là một loại hồ sơ văn bản không thể gây hại

Các biểu tượng cũng có thể được gán với các loại tệp khác nhau và có thể được đính kèm và thư điện tử Khi người này dùng , mở các biểu tượng thì các Trojan ân dấu sẽ tiễn hành những tác hại bất ngờ.Hiện nay các Trojan không chỉ xóa các tệp , bí mật điều chỉnh cấu hình của máy tính bị nhiễm mà còn dùng máy này như là một cơ sở để tắn công các máy khác trong mạng

Lợi dụng một số lỗi của trình duyệt web, chẳng hạn như Internet Explorer, để nhúng Trojan vào một trang web, khi người dùng xem trang nảy sẽ bị nhiễm Người dùng nên cập nhật các bản vá lỗi thường xuyên và dùng một trình duyệt web có độ bảo mật cao như Firefox

2 Cách lây bám :

Ở trên là một số cách thức mà con virus này tiếp cận máy của chúng ta Để cho nó bám được vào các vật mang tin như trên thì chủ nhân con virus này dùng Godmessage để lưu trojan vào trong mail, trang web Khi nạn nhân mở mail, hay trang web đó thì sẽ tự động bị nhiễm trojan (Godmessage là một công cụ tạo ActiveX trên trang web Người dùng IE truy cập tới một trang đã gài sẵn mã ActiveX nguy hiểm, thì ngay lập tức trình duyệt của họ tải về một file dạng nén

Va 6 lần khởi động sau, nó sẽ được bung ra và bắt đầu hoành hành) ActiveX là một đoạn chương trình cho phép nhúng con Hooker vào trong tài liệu hoặc trang web

Khi chúng ta download một tài liệu nào đó , chẳng hạn là file ảnh , nếu người gửi file đổi tên file.exe thành bmp thì bạn đã an toàn, vì khi file.exe đổi tên

thành bmp thì file.exe không thẻ thực hiện Nhưng khi file gửi đến bạn đúng là

một con Trojan được kẹp chung với file hình ảnh và người gửi đã thay đổi icon của file.exe, khi đó Trojan sẽ bắt đầu chay mà bạn không hề nghỉ ngờ, vì khi đó

nó vẫn hiện hình ảnh của một ai đó Đó là lý do mà hầu hết người dùng nói họ không chạy bắt kỳ file nào trong khi họ đã lỡ lầm truyền vào mà không biết

III.Cách thức hoạt động:

1 Sau khi trojan được kích hoạt chúng sẽ làm những việc như sau

- Tim yị trí an toàn để ẩn thân: Đoạn mã chính có thể tự tạo ra từ 2 đến 3 file và

Trang 10

có thể nhiều hơn nữa dé tim một vị trí tốt mà an , những nơi mà chúng thích nhất la sytem, .system32, trong đó có một file gọi là kích hoạt thường là các file thi hành với đuôi có thể là com, exe, bat, inf , 1 file dùng để lưu các hàm hoặc thư viện hoặc thông tin, nếu như file chứa thư viện thường có đuôi là dll, còn file chứa thông tin thường có đuôi là dat hoặc là tmp

- Giành quyền khởi động : Sau khi ẩn thân an toàn chúng bắt đầu giành quyền khởi động bằng một số cách - đây là những nơi mà win ưu tiên khởi động trước :

- Trong cac Autostart Folder: vi dy file khởi động của trojan là trojan.exe thì C:\Windows\Start Menu\Programs\startup\trojan.exe

Trong file C:\windows\Win.ini tại dòng lệnh

"trojan"="c:\ \Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\RunOnce]

"trojan"="c:\ \Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\RunServices]

"trojan"="c:\ \Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\RunServicesOnce]

"trojan"="c:\ \Trojan.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

10

Trang 11

Run]

"trojan"="c:\ \Trojan.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunOnce]

Các tiến trình mà virus tự động kết thúc trong khi thực thi :

Ngày đăng: 12/06/2013, 18:12

Xem thêm

HÌNH ẢNH LIÊN QUAN

Hình 2: Quá trình xử lý của RPC - Tim hieu virus hooker
nh 2: Quá trình xử lý của RPC (Trang 18)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w