Cách phát hiện và tiêu diệt các chương trình Keylogger

Tớ chả bít keylog là gì..nhưng khi đọc bài này tớ thấy cũng sợ sợ..sợ là vì k bít máy nhà có dính keylog ko..tại vì chơi game 24/24 đầu tư nhiều lắm chĩ sợ mất acc..(nếu mất) chắc đi tự tử quá 3be_eaten3

Tớ chơi kiếm thế có thằng trong bang nó cho cái acc mà k dám vào sợ acc nó cài keylog nên tớ đem qua máy lap coi thế nào..mặc dù máy bàn ko log vào nhưng vẫn sợ nó hack IP bên lap..(xài 2 máy chung 1 modem,1 đường truyền)
———-Tớ nói j sai mong ae góp ý chút nhé..đừng chửi la mắng e tội e 3congratz3

Hiện nay có rất nhiều kẻ có ý xấu cài keylog để lấy đồ trong game.
Đây là 1 số cách để tìm diệt:
Sau một thời gian dạo chơi diễn đàn, mình tìm thấy khá nhiều Topic và bài viết nói về Keylogger như cách phòng chống và tìm diệt. Một số bạn đề ra phương án như :

1. Đánh sẵn username và password của mình vào Notepad sau đó copy và dán nó vào ô đăng nhập.
2. Đánh sẵn username và password của mình rồi gửi qua mail, khi ra ngoài chơi thì mở mail rồi cắt và dán vào.
3. Gõ username và password rồi sau đó dùng BackSpace để xóa bớt ký tự hòng đánh lạc hướng Keylogger.
4. Một số bạn nói rằng không thể tìm thấy Keylogger trong Task Manager trong Windows thì làm sao mà biết máy mình có nhiễm hay không.
Thậm chí có một số bạn còn dùng cách : Gởi chương trình *************** lên mail yahoo để nhờ quét Virus hay Trojan dùm ….. Mới đây do một người bạn mình vừa bị Keylogger nên đã mất acc làm cho mình cảm thấy bị hụt hẫng vì người bạn đó không thể nào cùng mình đồng hành bôn tấu trên giang hồ được nữa (( . Tuy không phải là lãnh vực của mình, nhưng mình cũng sẽ đóng góp một số kiến thức giúp các bạn phòng chống và tìm diệt Keylogger, kẽ thù không đội trời chung của gamer, và mình cũng mong các bạn hãy góp sức để trừ khữ chúng .

[size=3][size=4]CÁCH TÌM DIỆT VÀ XÓA KEYLOGGER NHANH VÀ HIỆU QUẢ[/size][/size]

. Bạn có thể cài các chương trình anti-virus, anti-spy … để phòng chống. Nhưng chương trình nào sẽ hoạt động hiệu quả : Norton, McAfee, Kaspersky … ? Cách này chỉ có thể áp dụng với các bạn có máy ở nhà, còn các bạn chơi ở dịch vụ thì sao ?
2. Đây là cách mình áp dụng để tìm và diệt Keylogger, tuy nhiên cũng có cái bất tiện là phải dùng Win2K hay XP càng tốt.
Do không có nhiều thời gian, mình sẽ tìm hiểu và post từ từ lên cho các bạn tham khảo.
Như các bạn thường biết, Keylogger lây nhiễm qua máy vi tính chủ yếu theo 2 đường (ặc ặc) :
- Được cài đặt trực tiếp vào máy tính
- Được cài đặt gián tiếp thông qua chạy tập tin bị đính kèm Keyloger. Cách này có vẻ thông dụng vì hiện nay một số chương trình Keylogger cho phép đính kèm Trojan vào tập tin.

THÍ NGHIỆM VỚI KEYLOGER :

Trước tiên, mình xin bắt đầu đùa tí với Perfect Keylogger v1.62 , 1 trong những họ Keylogger mình vừa nêu trên.
Bắt đầu cài đặt vào máy tính của mình, ặc ặc Anti-virus báo rằng tập tin này nhiễm Trojan.Perfect.A, tắt bỏ chế độ quét virus và bắt đầu lại, ặc ặc nhanh phát sợ chưa đến 30s đã cài xong. Khởi động chương trình Keylogger mình thấy nó ghi lại hầu hết các thao tác của mình thực hiện . Trong đó có chức năng Stealth Mode (chạy ẩn) nghĩa là Chạy Chương Trình Nhưng Không Hiển Thị Trong TaskManager, chức năng này làm một số bạn khi bật TaskManager của Windows lên nhưng không phát hiện ra điều gì khác lạ nên đinh ninh mình không bị dính Keylogger . Chức năng thứ 2 rất hay là cho phép đính kèm Keylogger vào tập tin thực thi (***************) để lây nhiễm Keylogger (đính kèm với thời gian chưa đầy 10s ).

Mình thử đính kèm 1 tập tin thử nghiệm với TOTALCMD***************

Kích thước ban đầu : TOTALCMD*************** size : 842788 bytes
Sau khi đính kèm Keylogger tạo ra 1 tập tin : inst_TOTALCMD*************** size : 1,101,399 bytes
Nội dung bên trong tập tin inst_TOTALCMD*************** :
+ Kiểu nén : RAR Sfx o
+ bpk*************** size : 218122
+ bpkhk.dll size : 26112
+ bpkwb.dll size : 40960
+ inst.dat size : 996
+ pk.bin size : 3940
+ rinst*************** size : 7168
+ TOTALCMD*************** size : 842788
Tập tin inst_TOTALCMD*************** thực chất là 1 chương trình đã được Keylogger chèn vào và nén lại thành 1 tập tin thực thi, khi bạn kích hoạt nó sẽ có trình tự làm việc như sau :
- Chép các tập tin bpk***************, bpkhk.dll, bpkwb.dll, inst.dat, pk.bin, rinst*************** vào thư mục WindowsSystem32 (ở đây là Windows XP với Windows khác mình chưa thử nghiệm)
- Chạy tập tin bpk*************** ở chế độ ẩn để ghi lại thao tác.
- Chạy tập tin TOTALCMD*************** làm cho chúng ta tưởng vẫn bình thường.

CÁCH TÌM VÀ DIỆT PERFECT KEYLOGER :

* Cách tìm :

Yêu cầu : Chỉ áp dụng được với Windows 2K và XP (Windows 9x không hỗ trợ)

1. Vào mục Start -> Run gõ : cmd
2. Ở màn hình Dos gõ : tasklist /m bpkhk.dll
Nếu không có Keylogger bạn sẽ nhận được 1 thông báo lỗi :

INFO: No tasks running with the specified criteria.

Nếu có Keylogger màn hình sẽ hiển thị :

Image Name PID Modules Diễn giải
================ ==== ===== ====== =========
explorer*************** 468 bpkhk.dll gõ Regedit
Trong Regstry sẽ có 5 từ khóa (Key) :
- HKEY_CLASS_ROOT
- HKEY_CURRENT_USER
- HKEY_LOCAL_MACHINE (Đây chính là từ khóa bạn cần tìm mà mình đã nêu ở trên)
- HKEY_USERS
- HKEY_CURRENT_CONFIG

THÍ NGHIỆM VỚI STEALTH KEYLOGGER
Đây có lẽ là 1 loại Keylogger mà mình cảm thấy có thú vị về nó.
*Cài đặt thí nghiệm với Stealth Keylogger :
Như thường lệ, mình quét Virus trước khi cài đặt, không có gì xảy ra cả. Chạy tập tin cài đặt, chương trình quét Virus cũng chẳng lên tiếng cảnh báo…oái không lẽ nó "hối lộ" Anti-Virus hay sao ? Mặc kệ cứ tiếp tục cài đặt.
Sau khi cài đặt thành công, chạy Stealth Keylogger lên…wow giao diện nhỏ gọn và "dễ sương" làm sao
* Phân tích sơ bộ :
1.Ưu điểm của Stealth Keylogger :
- Tập tin dùng để thực thi : ASK.dll
- Stealth Keylogger có những khả năng :
+ Bắt giữ thao tác bàn phím
+ Bắt giữ thao tác in ấn
+ Bắt giữ những gì lưu trong bộ đệm (Bộ đệm là nơi lưu trữ tạm những gì bạn Ctrl_C )
+ Bắt giữ thông tin chat
+ Bắt giữ những ứng dụng đang chạy
+ Bắt giữ thông tin vể các trang web đã ghé qua
+ Bắt giữ các thông tin về Cookie
+ Chụp ảnh màn hình
+ Cho phép gởi tập tin log qua Email
- Khi chạy không có biểu tượng ở System tray, không có trong mục Add/Remove Program, không có trong Start Menu
- Chỉ kích hoạt thông qua phím tắt, mặc định là : Ctrl+Shift+Alt+S
2. Khuyết điểm :
- Không thể đính kèm vào tập tin thực thi.
- Khi đổi tên tập tin ASK.dll, nó sẽ không làm gì được.
* Điểm khác lạ của Stealth Keylogger :
Khi cài đặt nó không tạo trong Programs Files thông thường mà lại chui vào trong thư mục Windows (CWindowsASK)
* Cách tìm Stealth Keylogger :
Điểm thú vị của mình đối với Stealth Keylogger nằm ở đây, khi chạy Stealth Keylogger với "giao diện chính" mình dùng lệnh Tasklist để tìm nó như những Keylogger khác : Tasklist /m
OK, Windows báo rằng tìm thấy ASK*************** đang chạy với một dọc thư viện đi kèm theo. Nhưng khi mình tắt bỏ Stealth Keylogger và dùng lại lệnh : Tasklist /m thì chẳng thấy nó đâu cả . Thử dùng phím Ctrl+Shift+Alt+S thì nó lại xuất hiện chình ình ngay trước mặt. Không lẽ lệnh Tasklist có vấn đề ????
* Cách diệt Stealth Keylogger :
Mặc kệ, đã tìm thấy thì nên loại bỏ nó phải không các bạn , lệnh Taskkill sẽ giúp mình làm điều này : Taskkill /f /im ASK***************
OK, Windows báo rằng đã ngăn chặn thành công. Thử dùng phím Ctrl+Shift+Alt+S lại một lần nữa …. ặc ặc giống như có ma, Stealth Keylogger lại từ đâu chui ra kêu mình nhập password để vào màn hình chính (( ((
Sau một 1' ngạc nhiên, mình sực nhớ ra rằng lệnh Tasklist còn 1 chức năng nữa : Tasklist /m ASK.dll
Lần này, Windows thông báo cho mình biết thằng Rundll32*************** đang sử dụng tập tin ASK.dll chứ không phải thằng ASK***************
Rundll32*************** là một ứng dụng của Windows nhằm thực thi tập tin thư viện của Windows, Stealth Keylogger đã lợi dụng điều này nên làm cho mình khi sử dụng Taskkill /f /im ASK*************** không còn hiệu quả.
Để loại bỏ hoàn toàn mình sử dụng lệnh askkill /f /im rundll32***************
Bật Explorer lên xóa thư mục CWindowsASK khởi động lại máy bấm Ctrl+Shift+Alt+S không thấy gì xảy ra, Stealth Keylogger đã ra đi vĩnh viễn




Nguồn
VN-Zoom.com