Posts

Dịch ngược AutoIt

Một người bạn ở REAOnline vừa chỉ cho tôi cách dịch ngược tất cả các loại virus viết bằng AutoIt. Tôi đã thử và thành công với tất cả mẫu virus viết bằng AutoIt mà tôi có. Qui trình như sau:

1. Sử dụng file, objdump và strings trên Linux (hoặc PeID nếu bạn sử dụng Windows) để xác định xem virus được pack bằng packer nào. Tất cả AutoIt virus mà tôi gặp phải đều sử dụng UPX.

2. Unpack con virus, nhớ sao lưu lại nguyên bản.

3. Load con virus đã unpack vào OllyDBG.

4. Right click --> Search for --> All referenced text strings.

5. Right click --> Search for text --> gõ vào >autoit script<, bỏ chọn Case sensitive, chọn Entire scope rồi Enter và double click vào dòng có hàng chữ ASCII ">AUTOIT SCRIPT<".

6. Nhìn vào cửa sổ CPU của OllyDBG, bạn sẽ thấy những dòng sau đây:
PUSH game-enc.0045222C ; |Arg1 = 0045222C ASCII ">AUTOIT SCRIPT<" LEA EAX,DWORD PTR SS:[EBP-18] ; | CALL game-enc.0043F025 ; \game-enc.…

Dùng MP3 Player để exploit ATM

Một người đàn ông ở Manchester, Anh Quốc đã bị kết án vì tội sử dụng một thiết bị nghe nhạc MP3 để thâm nhập máy rút tiền. Maxwell Parsons, 41 tuổi đã tiêu xài hơn hai trăm ngàn bảng Anh tiền của thiên hạ bằng cách dùng máy rút tiền để đọc thông tin từ thẻ tín dụng.

Parson gắn thiết bị nghe nhạc MP3 của mình vào sau máy rút tiền (loại máy đứng độc lập) và có thể dùng cách này để đọc dữ liệu các thẻ tín dụng của khách hàng rút tiền. Dữ liệu thu thập được dùng để tạo thẻ tín dụng giả mạo cho các cuộc mua bán bất hợp lệ.

Loại máy rút tiền đứng độc lập rất phổ biến ở các siêu thị và quán bar, Parsons có thể gắn thiết bị của hắn vào sau máy rút tiền dễ dàng với dạng máy này trong khi dạng máy đính vào tường thì hoàn toàn bất khả thi để thâm nhập.

Thiết bị nghe nhạc MP3 thu nhận tất cả các chi tiết khi dữ liệu được truyền tải qua đường dây điện thoại đến nhà băng. Ở đây, tầng độ âm thanh được đọc và ghi nhận trong lúc chúng được chuyển tải và từ đó, dùng để giả mạo thẻ tín dụng.

Vụ án này đã đư…

Rootkit ẩn mình trong card PCI

Bạn tưởng rằng chỉ cần format lại ổ cứng là có thể diệt trừ được mọi loại rootkit? Hãy nghĩ lại:
Security researcher John Heasman released a paper this week describing a way to hide malicious code on graphics and network cards in such a way as to avoid detection and survive a full re-installation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system. The paper (PDF), published on Wednesday, builds on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work presented by Heasman earlier this year, describing ways to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Advanced Configuration and Power Interface (ACPI) functions available on almost all mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rboards to store and run a rootkit that could survive a reboot. The current paper outlines ways to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expansion memory available on Peripheral Component Interconnect (PCI) cards, such as graphics cards and network cards.Phòng bệnh bao giờ cũng hơn chữa bệnh.