>> Site Map >> Forums >> Bảo mật - Hacking - Crack Exploring
Forum module - topics in forum:
Bảo mật - Hacking - Crack Exploring - trao đổi các phuơng pháp hack, crack, thâm nhập mạng, các phưong pháp phòng chống và sủa chữa hệ thống, mạng .... Online Virus Scan
Lần theo dấu vết hacker tools và thủ thuật
nguồn uds
bài viết không được dịch trơn tru lắm nhưng với vốn kiến thức hạn hẹp tiếng anh rất cố gẳng đẻ mọi nguòi hiểu
Đôi khi, sẽ là không đủ khi chỉ biết đơn giản rằng máy tính của bạn nhiễm virus hay trojan. Đôi khi bạn cần biết chính xác tại sao nó có ở đấy, làm sao nó có ở đấy - và quan trọng nhất, ai "đặt" nó ở đấy.
Bằng cách liệt kê kẻ tấn công, tương tự như cách bọn chúng liệt kê các nạn nhân, bạn có thể thấy 1 bức tranh lớn hơn và nhận biết được kẻ mà bạn đang phải đối đầu. Nhưng làm thế nào đây? (Đọc tiếp đi thì biết) ..
##Connections make the world go round ##
Thế giới máy tính, dù sao đi nữa. Mỗi khi bạn truy cập vào 1 trang web, gửi mail hay upload trang web của bạn lên, bạn phải kết nối với một cỗ máy khác để hoàn thành công việc. Điều đó, tất nhiên, nảy ra 1 vấn đề nhớn, vì họat động đơn giản ấy cho phép những kẻ hiểm độc xác định một máy tính.
#Làm cách nào họ xác định được nạn nhân
Đầu tiên, họ cần xác định IP của nạn nhân. IP của bạn sẽ để lộ lối ra vào của bạn trên net và có thể được sử dụng để gây rất nhiều rắc rối cho bạn Nó không để lộ tên tuổi của bạn nhưng nó là "chứng minh thư số" của bạn trên net (đặc biệt là khi bạn có địa chỉ IP tĩnh)
Với địa chỉ IP, h@cker có thể tìm thấy đủ thứ hay ho về nạn nhân(cũng như gây đủ mọi phiền phức, nghiêm trọng nhất là Trojan và DDoS. Một vài h@cker có sở thích thu thập IP như 1 thứ huy hiệu, thỉnh thoảng quay lại mục tiêu cũ "thăm viếng" . Một địa chỉ IP lại thu thập rất dễ dàng, mãi tới gần đây, những công cụ chat(như MSN) vẫn là nhữ mỏ thông tin. IP của bạn được gắn ở header code của email bạn gửi, và trang web bạn viếng thăm có thể lưu trữ đủ loại thông tin về bạn. Một thủ thuật thông thường của h@cker là vào 1 chatroom, "dán" 1 địa chỉ web của hắn lên, và khi một chú cừu ngây thơ click vào, mọi thứ về máy tính của nạn nhân, từ hệ điều hành đến độ phân giải màn hình đều có thể bị ghi nhận.. và tất nhiên, cả IP nữa. Thêm vào đó, những chương trình quét cổng sẽ chỉ ra những điểm yếu trong máy tính nạn nhân để h@cker có thể khai thác.
Bây giờ bạn đã biết được các mối nguy hiểm cơ bản, có thể bạn sẽ thắc mắc làm thế nào h@cker kết nối được với máy tính nạn nhân
##Các cổng vật lý và cổng ảo##
Tất cả những thứ Internet mang đến cho bạn cũng như việc những máy tính khác kết nối với cổng máy tính nhà bạn. Bạn có 2 loại, kết nối vật lý là những lỗ cắm đằng sau máy tính, còn kiểu kết nối quan trọng hơn là kết nối ảo. Nó cho phép lưu chuyển dữ liệu giữa máy tính của bạn và thế giới bên ngoài, cùng với những chức năng cố định, hoặc ko có, nhưng việc những kết nối này hoạt động ra sao là bước đầu khám phá ra ai đang tấn công bạn, bạn phải có kiến thức về nó, nếu ko bạn sẽ ko tiến xa đc.
## Bắt đầu vào chủ đề chính nào ##
Bây giờ, điều cốt yếu là bạn biết mình đang tìm gì, và cách thông thường nhất ai đó sẽ tấn công bạn là bằng 1 con trojan. Chương trình được gửi cho bạn trong mail, hoặc cố gắng xâm nhập qua một cổng nào đó, và khi được active, nó có thể ăn cắp pass, truy cập ổ cứng.. thậm chí đóng mở ổ CD(vô nghĩa nhỉ). Hãy xem xét ví dụ đầu tiên về netstat…
Active Connections
Proto Local Address Foreign Address State
TCP macintosh: 27374 modem-123.tun.dialup.co.uk: 50505 ESTABLISHED
TCP macintosh: 80 proxy.webcache.eng.sq: 30101 TIME_WAIT
TCP macintosh MACINTOSH: 0 LISTENING
TCP macintosh MACINTOSH: 0 LISTENING
TCP macintosh MACINTOSH: 0 LISTENING
Bây giờ, ngay lập tức, bạn đã hiểu hơn về các thông tin trên rồi phải không. Máy tính của bạn kết nối tới 2 cổng 80 và 27374. Cổng 80 là cổng http. Cổng 27374 khá là đáng nghi, đầu tiên, nó là loại cổng được đăng kí, và có thể các dịch vụ như MSN dùng chúng. Coi như bạn chưa chạy các dịch vụ như tin nhắn tức thời, duyệt web,… Lúc này, kết nối này có vẻ khá rắc rối, và khibạn nhận ra 27374 là cổng chung của con Netbus!!(một chú trojan nguy hiểm), bạn sẽ thấy có gì đó không may ở đây. Vậy bây giờ làm gì đây:
1) Chạy Netstat:
Netstat -a
sau đó
Netstat -an
Như vậy bạn đã có cảHostnames và IP addresses.
## Truy lùng vết tích ##
Có IP của kẻ tấn công roài, nhưng làm gì với nó đây? Câu trả lời là, rất nhiều thứJ Và bạn còn cần biết thêm, kết nối đó đến từ đâu. Có thể bạn đã từng dùng công cụ dò tự động (automated tracerouting tools), nhưng bạn có biết chúng hoạt động như thế nào không ?
Trở lại màn hìn DOS, gõ:
tracert *điền IP address/Hostname vào đây*
Bây giờ, Traceroute sẽ cho bạn thấy các máy trung gian giữa bạn và đối tượng, kể cả blockages(??), firewalls,... Thông thường, hostname address cái thứ 2 từ dưới lên là của ISP của h@cker. It'll either say who the ISP is somewhere in there, or else you run a second trace on the new IP/hostname address to see who the ISP Company in question is.
(Mọi người thông củm, câu này em không bít dịch thế nào)
Nếu Hostname bạn nhận được hình như không nhắc tới 1 vị trí địa lý nào trong text, có thể bạn sẽ cho rằng tiu rồi! Đừng lo, giả sử bạn có hostname như này:
*ttp://www.haha.com
Điền hostname đó vào trình duyệt. Thường thì bạn sẽ không nhận được gì, đôi khi nó sẽ chuyển sang 1 ISP, và từ đây bạn có thể dễ dàng tìm ra vị trí của nó. Ít nhất thì nó cũng cho bạn 1 vị trí địa lý chắc chắn và tiến hành việc "ngâm kíu" của bạn.
Nếu bạn VẪN không có gì? Cách cuối cùng là bạn có thể thử kết nối tới máy tính đối tượng qua cổng 13 (Telnet), nó cho biết bao nhiêu giờ trước hay sau đấy
how many hours ahead or behind this ISP is of GMT, thus giving you a geographical trace based on the time mentioned
Đoạn này cũng 0 hiểu gì lun
(nhớ rằng, ISP có thể làm 1 vài việc ngu ngốc như chỉnh sai giờ đồng hồ, và như vậy, làm bạn tìm sai đường:, và các h@cker cũng có thể làm vậy với máy tính của mình). À, trừ khi bạn biết những gì mình đang làm, nếu không thì tôi không khuyên bạn đụng tới Telnet.
## Đảo ngược DNS Query ##
Đây có lẽ là cách hiệu quả nhất để truy ra 1 ai đó. Nếu bạn đã từng trong 1 chatroom và nghe có ai nói họ đã "từng hack vào 1 vệ tinh quay quanh Trái Đất, và có những bức ảnh chụp ngôi nhà bạn, kệ bọn chúng vì đó chỉ là lời nói ngu ngốc trong mấy bộ phim dỏm mà thôi. ĐÂY mới là cách đúng này, bạn có thể tìm ra nước (thậm chí State/City), mặc dù là không thể để tìm ra chính xác địa chỉ mà không đột nhập ISP của bạn và thoát ra an toàn.
Để chạy 1 quá trình đảo ngược DNS Query (rDNS query), quay lại "cmd" gõ "netstat"
Bất cứ kết nối đang có nào cũng sẽ xuất hiện dạng hostnames chứ không phải dạng số
# DNS
DNS (Domain Name Server). Đó là những máy kết nối tới Internet chỉ để theo dõi IP và Domain Names của các máy khác. Khi được gọi, chúng lấy Domain Names dưới dạng ASCII và chuyển thành dạng địa chỉ IP số tương ứng. Vì vậy chúng ta có thể đánh "www.updatesofts.com" để vào mà không cần nhớ IP của trang web(Hì hì, chỗ này em biến đổi chút
). Vậy đấy, đảo ngược, tất nhiên, là quá trình "dịch" địa chỉ IP sang Hostname (ie - chữ cái và từ thay vì số, vì đôi khi h@cker sẽ dùng nhiều cách để tắt Netstat không cho nó lấy được hostname đúng)VD:
298.12.87.32 is NOT a Hostname.
mail6.bol.net.au IS a Hostname.
Dù sao, đuôi "au" cho thấy target ở Australia. Phần lớn (không phải tất cả ), hostnames
kết thúc bằng 1 specific Country Code, giúp ra thu hẹp quá trình tìm kiếm. Nếu bạn biết địa chỉ mail của h@cker (nếu hắn đủ ngu gửi bạn 1 bức thư từ địa chỉ thật) và không gì khác, bạn có thể dùng Country codes để nhận ra chúng từ đâu tới. Và từ IP của người gửi, xem xét header (1 dòng ẩn có chứa thôgn tin về người gửi). Kiểm tra tại:
www.samspade.org
Thêm nữa, một vài ISP chèn tên của họ vào địa chỉ thư của bạn (ie Wanadoo, Supanet etc), và h@cker của bạn cũng có thể đang dùng 1 hòm thư cung cấp bởi 1 Website hosting company, có nghĩa là rất có thể có website host's name trong email address (ie Webspawners). Vì vậy, bạn cũng có thể dùng thông tin tìm được để hunt down cái website đó(và bạn có thể chạy 1 website check như đã nói ở trên)(cái này thì tui không bít à nha) hoặc báo lại về sự lạm dùng của địa chỉ mail của Website Provider đó (và cả Website đi cùng nữa) đến địa chỉ:
abuse@companynamegoeshere.com
Nếu tay h@cker đó ở Mĩ, đến trang:
www.usps.gov/ncsc/lookups/abbr_state.txt
để tìm ra State.
## Các cổng thông thường của Trojans ##
Đây không phải là list đầy đủ, nhưng nó sẽ cho bạn 1 ý tưởng về tìm kiếm trong netstat. Chú ý, một vài cổng thấp có thể là của các chương trình hợp lệ
UDP: 1349 Back Ofrice DLL
31337 BackOfrice 1.20
31338 DeepBO
54321 BackOfrice 2000
TCP: 21 Blade Runner, Doly Trojan, Fore, Invisible FTP, WebEx, WinCrash
23 Tiny Telnet Server
25 Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, Terminator, WinPC, WinSpy, Kuang2 0.17A-0.30
31 Hackers Paradise
80 Executor
456 Hackers Paradise
555 Ini-Killer, Phase Zero, Stealth Spy
666 Satanz Backdoor
1001 Silencer, WebEx
1011 Doly Trojan
1170 Psyber Stream Server, Voice
1234 Ultors Trojan
1243 SubSeven 1.0 - 1.8
1245 VooDoo Doll
1492 FTP99CMP
1600 Shivka-Burka
1807 SpySender
1981 Shockrave
1999 BackDoor 1.00-1.03
2001 Trojan Cow
2023 Ripper
2115 Bugs
2140 Deep Throat, The Invasor
2801 Phineas Phucker
3024 WinCrash
3129 Masters Paradise
3150 Deep Throat, The Invasor
3700 Portal of Doom
4092 WinCrash
4567 File Nail 1
4590 ICQTrojan
5000 Bubbel
5000 Sockets de Troie
5001 Sockets de Troie
5321 Firehotcker
5400 Blade Runner 0.80 Alpha
5401 Blade Runner 0.80 Alpha
5402 Blade Runner 0.80 Alpha
5400 Blade Runner
5401 Blade Runner
5402 Blade Runner
5569 Robo-Hack
5742 WinCrash
6670 DeepThroat
6771 DeepThroat
6969 GateCrasher, Priority
7000 Remote Grab
7300 NetMonitor
7301 NetMonitor
7306 NetMonitor
7307 NetMonitor
7308 NetMonitor
7789 ICKiller
8787 BackOfrice 2000
9872 Portal of Doom
9873 Portal of Doom
9874 Portal of Doom
9875 Portal of Doom
9989 iNi-Killer
10067 Portal of Doom
10167 Portal of Doom
10607 Coma 1.0.9
11000 Senna Spy
11223 Progenic trojan
12223 Hack´99 KeyLogger
12345 GabanBus, NetBus
12346 GabanBus, NetBus
12361 Whack-a-mole
12362 Whack-a-mole
16969 Priority
20001 Millennium
20034 NetBus 2.0, Beta-NetBus 2.01
21544 GirlFriend 1.0, Beta-1.35
22222 Prosiak
23456 Evil FTP, Ugly FTP
26274 Delta
30100 NetSphere 1.27a
30101 NetSphere 1.27a
30102 NetSphere 1.27a
31337 Back Orifice
31338 Back Orifice, DeepBO
31339 NetSpy DK
31666 BOWhack
33333 Prosiak
34324 BigGluck, TN
40412 The Spy
40421 Masters Paradise
40422 Masters Paradise
40423 Masters Paradise
40426 Masters Paradise
47262 Delta
50505 Sockets de Troie
50766 Fore
53001 Remote Windows Shutdown
54321 SchoolBus .69-1.11
61466 Telecommando
65000 Devil
## Tổng kết ##
Hy vọng rằng tut này sẽ hữu ích trong việc giúp bạn cách tự bảo vệ mình trước những unwanted connections, và phát hiện kẻ tấn công. Internet không phải là nơi có thể hoàn toàn ẩn danh như nhiều người nghĩ. Bạn hoàn toàn có thể phát hiện và ngăn chặn kẻ tấn công, chỉ cần kiên trì theo đuổi các manh mối, giúp bạn đặt dấu chấm hết cho những cuộc tấn công.
hic, đọc xong bài nỳ mệt quá. Có ai hưỡng dẫn cho tui cụ thể hơn không
bravo ! bai viet tuyet qua ! nhung chi ap dung duoc vao cho nhung ke dang hoc nghe hack thoi ! con hack chuyen nghiep thi nhung cai ban biet hacker cung biet va ho se biet cach xoa dau vet nhanh hon ban nghi day !
