Cách ngăn chặn Microsoft theo dõi người dùng

Microsoft theo dõi bạn như thế nào?

Thông qua Network Connectivity Status Indicator: Mỗi khi bạn khởi động máy tính, một test kết nối bạn sẽ được chạy tự động để kiểm tra kết nối Internet có khả dụng hay không
Máy tính thực hiện kết nối request tới một text file trên NCSI Server của Microsoft ( 131.107.255.255 & dns.msftncsi.com )

Microsoft thừa nhận trong tài liệu của mình KHÔNG THÔNG BÁO tới người dùng TRƯỚC KHI thực hiện thu thập thông tin, mọi thứ sẽ được thực hiện tự động nếu bạn có Internet. Microsoft lưu trữ log mỗi lần bạn kết nối trên WebServer. Những bản ghi này chứa thời gian mỗi kết nối và địa chỉ IP không hề được mã hóa.

Đây liệu có phải là hệ thống theo dõi “hợp pháp” của Microsoft. Để chặn dịch vụ tự động nghe lén IP của Microsoft, thực hiện các bước sau:

1. Mở REGEDIT (bằng cách gõ regedit vào hộp thoại RUN)
2. Chọn HKEY_LOCAL_MACHINE
3. SYSTEM
4. CurrentControlSet
5. Services
6. NLaSvc
7. Parameters
8. Internet
9. Cửa sổ bên phải có khóa “EnableActiveProibing” , thay đổi giá trị về “0”

Tiếp tục bảo mật hơn nữa? Bạn cần ngắt Windows Network Connectivity Status Indicator.

1. Trong hộp thoại RUN, gõ gpedit.msc -> Enter
2. Ở cửa sổ phía tay phải chọn Local Computer Policy -> Computer Configuration -> Administrative Templates -> System -> Internet Communication Management -> Internet Communication Settings.
3. Tìm “Windows Network Connectivity Status Indicator active tests” và chọn OFF.

Bạn vẫn lo lắng về vấn đề riêng tư ?? Bạn có thể chặn thủ công những domain và IP trực tiếp bằng file HOSTS

1. Mở file HOSTS tại C:\windows\system32\drivers\etc\hosts
2. Mở file bằng Notepad hoặc công cụ chỉnh sửa văn bản.
3. Copy dòng sau vào cuối file:
   127.0.0.1 msftncsi.com
   127.0.0.1 131.107.255.255
   127.0.0.1 dns.msftncsi.com
4. Lưu lại file.

Giờ thì bạn hãy an tâm vì tất cả chi tiết kết nối sẽ không còn gửi tới Microsoft.

Theo SD.NET

Nmap command examples..

1. BASIC SCANNING TECHNIQUES

Goal	Command	Example
Scan a Single Target	nmap [target]	nmap 192.168.0.1
Scan Multiple Targets	nmap [target1, target2, etc]	nmap 192.168.0.1 192.168.0.2
Scan a List of Targets	nmap -iL [list.txt]	nmap -iL targets.txt
Scan a Range of Hosts	nmap [range of ip addresses]	nmap 192.168.0.1-10
Scan an Entire Subnet	nmap [ip address/cdir]	nmap 192.168.0.1/24
Scan Random Hosts	nmap -iR [number]	nmap -iR 0
Excluding Targets from a Scan	nmap [targets] --exclude [targets]	nmap 192.168.0.1/24 --exclude 192.168.0.100, 192.168.0.200
Excluding Targets Using a List	nmap [targets] --excludefile [list.txt]	nmap 192.168.0.1/24 --excludefile notargets.txt
Perform an Aggressive Scan	nmap -A [target]	nmap -A 192.168.0.1
Scan an IPv6 Target	nmap -6 [target]	nmap -6 1aff:3c21:47b1:0000:0000:0000:0000:2afe

2. DISCOVERY OPTIONS

Goal	Command	Example
Perform a Ping Only Scan	nmap -sP [target]	nmap -sP 192.168.0.1
Don't Ping	nmap -PN [target]	nmap -PN 192.168.0.1
TCP SYN Ping	nmap -PS [target]	nmap -PS 192.168.0.1
TCP ACK Ping	nmap -PA [target]	nmap -PA 192.168.0.1
UDP Ping	nmap -PU [target]	nmap -PU 192.168.0.1
SCTP INIT Ping	nmap -PY [target]	nmap -PY 192.168.0.1
ICMP Echo Ping	nmap -PE [target]	nmap -PE 192.168.0.1
ICMP Timestamp Ping	nmap -PP [target]	nmap -PP 192.168.0.1
ICMP Address Mask Ping	nmap -PM [target]	nmap -PM 192.168.0.1
IP Protocol Ping	nmap -PO [target]	nmap -PO 192.168.0.1
ARP Ping	nmap -PR [target]	nmap -PR 192.168.0.1
Traceroute	nmap --traceroute [target]	nmap --traceroute 192.168.0.1
Force Reverse DNS Resolution	nmap -R [target]	nmap -R 192.168.0.1
Disable Reverse DNS Resolution	nmap -n [target]	nmap -n 192.168.0.1
Alternative DNS Lookup	nmap --system-dns [target]	nmap --system-dns 192.168.0.1
Manually Specify DNS Server(s)	nmap --dns-servers [servers] [target]	nmap --dns-servers 201.56.212.54 192.168.0.1
Create a Host List	nmap -sL [targets]	nmap -sL 192.168.0.1/24

3. ADVANCED SCANNING OPTIONS

Goal	Command	Example
TCP SYN Scan	nmap -sS [target]	nmap -sS 192.168.0.1
TCP Connect Scan	nmap -sT [target]	nmap -sT 192.168.0.1
UDP Scan	nmap -sU [target]	nmap -sU 192.168.0.1
TCP NULL Scan	nmap -sN [target]	nmap -sN 192.168.0.1
TCP FIN Scan	nmap -sF [target]	nmap -sF 192.168.0.1
Xmas Scan	nmap -sX [target]	nmap -sX 192.168.0.1
TCP ACK Scan	nmap -sA [target]	nmap -sA 192.168.0.1
Custom TCP Scan	nmap --scanflags [flags] [target]	nmap --scanflags SYNFIN 192.168.0.1
IP Protocol Scan	nmap -sO [target]	nmap -sO 192.168.0.1
Send Raw Ethernet Packets	nmap --send-eth [target]	nmap --send-eth 192.168.0.1
Send IP Packets	nmap --send-ip [target]	nmap --send-ip 192.168.0.1

4. PORT SCANNING OPTIONS

Goal	Command	Example
Perform a Fast Scan	nmap -F [target]	nmap -F 192.168.0.1
Scan Specific Ports	nmap -p [port(s)] [target]	nmap -p 21-25,80,139,8080 192.168.1.1
Scan Ports by Name	nmap -p [port name(s)] [target]	nmap -p ftp,http* 192.168.0.1
Scan Ports by Protocol	nmap -sU -sT -p U:[ports],T:[ports] [target]	nmap -sU -sT -p U:53,111,137,T:21-25,80,139,8080 192.168.0.1
Scan All Ports	nmap -p '*' [target]	nmap -p '*' 192.168.0.1
Scan Top Ports	nmap --top-ports [number] [target]	nmap --top-ports 10 192.168.0.1
Perform a Sequential Port Scan	nmap -r [target]	nmap -r 192.168.0.1

5. VERSION DETECTION

Goal	Command	Example
Operating System Detection	nmap -O [target]	nmap -O 192.168.0.1
Submit TCP/IP Fingerprints	www.nmap.org/submit/
Attempt to Guess an Unknown OS	nmap -O --osscan-guess [target]	nmap -O --osscan-guess 192.168.0.1
Service Version Detection	nmap -sV [target]	nmap -sV 192.168.0.1
Troubleshooting Version Scans	nmap -sV --version-trace [target]	nmap -sV --version-trace 192.168.0.1
Perform a RPC Scan	nmap -sR [target]	nmap -sR 192.168.0.1

6. TIMING OPTIONS

Goal	Command	Example
Timing Templates	nmap -T[0-5] [target]	nmap -T3 192.168.0.1
Set the Packet TTL	nmap --ttl [time] [target]	nmap --ttl 64 192.168.0.1
Minimum # of Parallel Operations	nmap --min-parallelism [number] [target]	nmap --min-parallelism 10 192.168.0.1
Maximum # of Parallel Operations	nmap --max-parallelism [number] [target]	nmap --max-parallelism 1 192.168.0.1
Minimum Host Group Size	nmap --min-hostgroup [number] [targets]	nmap --min-hostgroup 50 192.168.0.1
Maximum Host Group Size	nmap --max-hostgroup [number] [targets]	nmap --max-hostgroup 1 192.168.0.1
Maximum RTT Timeout	nmap --initial-rtt-timeout [time] [target]	nmap --initial-rtt-timeout 100ms 192.168.0.1
Initial RTT Timeout	nmap --max-rtt-timeout [TTL] [target]	nmap --max-rtt-timeout 100ms 192.168.0.1
Maximum Retries	nmap --max-retries [number] [target]	nmap --max-retries 10 192.168.0.1
Host Timeout	nmap --host-timeout [time] [target]	nmap --host-timeout 30m 192.168.0.1
Minimum Scan Delay	nmap --scan-delay [time] [target]	nmap --scan-delay 1s 192.168.0.1
Maximum Scan Delay	nmap --max-scan-delay [time] [target]	nmap --max-scan-delay 10s 192.168.0.1
Minimum Packet Rate	nmap --min-rate [number] [target]	nmap --min-rate 50 192.168.0.1
Maximum Packet Rate	nmap --max-rate [number] [target]	nmap --max-rate 100 192.168.0.1
Defeat Reset Rate Limits	nmap --defeat-rst-ratelimit [target]	nmap --defeat-rst-ratelimit 192.168.0.1

7. FIREWALL EVASION TECHNIQUES

Goal	Command	Example
Fragment Packets	nmap -f [target]	nmap -f 192.168.0.1
Specify a Specific MTU	nmap --mtu [MTU] [target]	nmap --mtu 32 192.168.0.1
Use a Decoy	nmap -D RND:[number] [target]	nmap -D RND:10 192.168.0.1
Idle Zombie Scan	nmap -sI [zombie] [target]	nmap -sI 192.168.0.38 192.168.0.1
Manually Specify a Source Port	nmap --source-port [port] [target]	nmap --source-port 1025 192.168.0.1
Append Random Data	nmap --data-length [size] [target]	nmap --data-length 20 192.168.0.1
Randomize Target Scan Order	nmap --randomize-hosts [target]	nmap --randomize-hosts 192.168.0.1-20
Spoof MAC Address	nmap --spoof-mac [MAC|0|vendor] [target]	nmap --spoof-mac Cisco 192.168.0.1
Send Bad Checksums	nmap --badsum [target]	nmap --badsum 192.168.0.1

8. OUTPUT OPTIONS

Goal	Command	Example
Save Output to a Text File	nmap -oN [scan.txt] [target]	nmap -oN scan.txt 192.168.0.1
Save Output to a XML File	nmap -oX [scan.xml] [target]	nmap -oX scan.xml 192.168.0.1
Grepable Output	nmap -oG [scan.txt] [targets]	nmap -oG scan.txt 192.168.0.1
Output All Supported File Types	nmap -oA [path/filename] [target]	nmap -oA ./scan 192.168.0.1
Periodically Display Statistics	nmap --stats-every [time] [target]	nmap --stats-every 10s 192.168.0.1
133t Output	nmap -oS [scan.txt] [target]	nmap -oS scan.txt 192.168.0.1

8. TROUBLESHOOTING AND DEBUGGING

Goal	Command	Example
Getting Help	nmap -h	nmap -h
Display Nmap Version	nmap -V	nmap -V
Verbose Output	nmap -v [target]	nmap -v 192.168.0.1
Debugging	nmap -d [target]	nmap -d 192.168.0.1
Display Port State Reason	nmap --reason [target]	nmap --reason 192.168.0.1
Only Display Open Ports	nmap --open [target]	nmap --open 192.168.0.1
Trace Packets	nmap --packet-trace [target]	nmap --packet-trace 192.168.0.1
Display Host Networking	nmap --iflist	nmap --iflist
Specify a Network Interface	nmap -e [interface] [target]	nmap -e eth0 192.168.0.1

9. NMAP SCRIPTING ENGINE

Goal	Command	Example
Execute Individual Scripts	nmap --script [script.nse] [target]	nmap --script banner.nse 192.168.0.1
Execute Multiple Scripts	nmap --script [expression] [target]	nmap --script 'http-*' 192.168.0.1
Script Categories	all, auth, default, discovery, external, intrusive, malware, safe, vuln
Execute Scripts by Category	nmap --script [category] [target]	nmap --script 'not intrusive' 192.168.0.1
Execute Multiple Script Categories	nmap --script [category1,category2,etc]	nmap --script 'default or safe' 192.168.0.1
Troubleshoot Scripts	nmap --script [script] --script-trace [target]	nmap --script banner.nse --script-trace 192.168.0.1
Update the Script Database	nmap --script-updatedb	nmap --script-updatedb

Một số công nghệ mới..(update...)

1. Bcachefs hệ thống file system mới của linux.

Bcachefs là một bộ nhớ đệm kernel block layer của Linux nhằm mục đích cung cấp phương thức lưu trữ dữ liệu trên các máy chủ một cách nhanh hơn và tiên tiến hơn. Bcachefs hứa hẹn sẽ cung cấp hiệu suất và độ tin cậy như các các hệ thống tập tin EXT4 và XFS trong khi có các tính năng của hệ thống tập tin ZFS và Btrfs....

2. Đôi giày của một cao gót của phụ nữ có thể chứa đựng một bộ công cụ hacking.

SexyCyborg, một hacker phần cứng của Trung Quốc đã phát minh ra một cách mới để che giấu công nghệ hacking cao cấp trong một đôi giày cao gót.

Giày có tên là ‘Wu Ying’  thiết kế để chứa một bộ công cụ hacking! 

Được thiết kế để che dấu một router và một pin dự phòng. Có đủ không gian trong chiếc giày để lưu trữ một router không dây chạy OpenWRT framework cùng với một cục pin có thể sạc bên trong.

Những công cụ này có thể cho phép hacker thiết lập các điểm truy cập Wi-Fi giả mạo đánh cắp thông tin của nhân viên với các trang đăng nhập giả mạo.

Ngoài ra, còn có một USB keylogger, cáp Ethernet cho router OpenWRT, và một bộ phá khóa bên trong chiếc giày.

3. hệ thống pin nhiên liệu-sử dụng trong nhiều ngày hoặc thậm chí cả tuần mà không cần sạc.

Thông tin mô tả trong bằng sáng chế của Apple “Hệ thống pin nhiên liệu cung cấp năng lượng cho thiết bị di động” thể hiện như sau:

• Một hệ thống pin nhiên liệu có thể chuyển đổi nhiên liệu sang năng lượng điện
• Một bộ điều khiển giám sát và điều khiển trạng thái của pin nhiên liệu
• Một giao diện cho thiết bị điện toán di động (chẳng hạn như smartphone)
• Một quạt thông gió cung cấp cung cấp oxy cho hệ thống pin và làm mát nó
• Một pin sạc nội bộ

4. Vi nhân an ninh seL4 (Secure Microkernel Project) của Linux được xem là "bất khả xâm phạm".

SeL4 là thế hệ vi nhân thứ 3, được thiết kế để phát hiện và ngăn chặn bị xâm nhập. Nó hỗ trợ các tính năng vi nhân L4 khác nhau, bao gồm:

• Kích thước nhỏ gọn
• Hiệu suất cao.
• Là mô hình thúc đẩy thực thi an ninh cho các hệ điều hành cũng như mức độ ứng dụng
• Các nguyên tắc đặc quyền tối thiểu

và được cho là miễn nhiễm với hacker

5. Kim loại có tên SMA là thứ kim loại có khả năng tự định hình lại trạng thái ban đầu khi bị biến dạng.

6. Nhà khoa học trung quốc vừa phát hiện ra một thứ kim loại cực nhẹ, nhẹ như bong bóng bay, mà lại rất bền, có thể dùng để làm áo chống đạn, bọc cho xe tăng,...

7. Có một loại máy in 3D có thể xây nhà tự động bằng đất sét.

8. Có một loại robot vừa được phát minh để giúp chúng ta biết rằng trẻ sơ sinh dưới 4 tháng tuổi thông minh hơn chúng ta nghĩ.

9. Đại học California vừa phát minh ra được một thứ vật liệu có tên "lớp phủ siêu bề mặt điện môi" giúp cho các máy bay hay bất cứ thứ gì được phủ bởi nó sẽ "tàng hình", khó phát hiện.

10. Topmix là tên của loại vật liệu siêu thấm, có thể dùng để thoát nước siêu nhanh khi ngập lụt.

11. Thiết bị Rectenna - Thiết bị biến ánh sáng thành dòng điện.

12. Chế pin điện thoại càng dùng càng tăng năng lượng từ nấm mỡ, nó được dùng làm cực dương, nhưng có vẻ như độ bền không cao.

13. Một loại thiết bị mạch điện có thể tự tan chảy áp dụng cho máy bay không người lái, sau khi hoàn thành nhiệm vụ nó sẽ tự động tan chảy và biến mất.

14. Một thiết bị có thể phát hiện ô nhiễm nước ngay lập tức, nó sử dụng cảm biến có tên impedance flow cytometry (tạm dịch: đo dòng tế bào trở kháng), nghĩa là cho mẫu chất lỏng chạy liên tục qua một thiết bị vi lỏng (microfluidic). Bên trong microfluidic này là một loạt các điện cực, cho phép tín hiệu điện đi qua. Khi vi khuẩn và các hạt khác chảy qua những điện cực đó, chúng gây ra sự biến đổi trở kháng và được phát hiện bởi các cảm biến.

. 
15. Một loại sơn tường được phát minh bởi các nhà khoa học trung quốc có khả năng chuyển đổi màu sắc như tắc kè hoa. Ý tưởng của phát minh này là sử dụng các tế bào nano điều khiển được, hoặc các hạt vi tinh thể, có khả năng phồng lên hoặc xẹp xuống để làm chệch hướng ánh sáng tự nhiên ở các bước sóng khác nhau, tạo ra các dải màu khác nhau với mắt người. Mỗi tế bào có nhân bằng kim loại, có tác dụng thu nhỏ kích thước của nó bằng cách kéo phần vỏ vào trong. Thay đổi này sẽ xảy ra khi có một dòng điện chạy qua hoặc khi tế bào phản ứng với nhiệt độ.

16. Một loại vật liệu kim loại có cấu trúc giống xương người, đặc biệt nó nhẹ như lông, có thể nói nó là thứ kim loại nhẹ nhất trên thế giới, chịu được lực rất tốt, sẽ được dùng để làm vỏ bọc cho máy bay,...
17. Proterra Catalyst XR là tên gọi mẫu xe buýt chạy bằng điện, với quãng đường di chuyển 250 dặm chỉ với một lần sạc duy nhất. sạc 1 lần chạy được 402 km.

18. Robot Robocoach - robot giúp người già tập thể dục. (của singapore) . Mỗi Robocoach được trang bị hai màn hình. Một màn hình nằm trên đầu robot, thể hiện cảm xúc thông qua các “nét mặt”. Màn hình thứ hai lớn hơn đặt trên ngực robot, cung cấp những thông tin hướng dẫn chi tiết về bài tập. 
Ngoài việc hướng dẫn các động tác tập luyện, thông qua các cảm ứng rất nhạy, robot cũng sẽ đưa ra phản hồi về việc mọi người có đang tập đúng như nó “hướng dẫn” hay không.

19. Thiết bị kiểm tra nồng độ cồn và chất kích thích của cậu bé 13 tuổi, gốc Ấn Độ có cấu tạo gồm: máy ảnh kỹ thuật số, đèn flash có khả năng chiếu sáng tốt và lõi giấy vệ sinh.

20. DogStar Life TailTalk - Máy đo tâm trạng của chó. Bên trong TailTalk là các phần tử cảm ứng có thể đo tốc độ và độ nghiêng của những cái vẫy đuôi, từ đó đưa ra kết luận về tình trạng tâm lý của mỗi chú chó. Sau đó thiết bị thông minh này sẽ gửi dữ liệu về tâm trạng của các chú chó đến một ứng dụng trên điện thoại thông minh, từ đó chủ nhân có thể biết rõ chó cưng đang vui mừng hay buồn bã.
DogStar Life TailTalk là sự kết hợp giữa dụng cụ đo gia tốc và con quay hồi chuyển, tương tự một thiết bị theo dõi sức khỏe của con người, tuy nhiên nó dựa trên cách vẫy đuôi của chó. Ý tưởng này được tiến hành dựa trên kết quả của một nghiên cứu kéo dài 2 hay 3 năm về “ngôn ngữ” của những chiếc đuôi”

21. facebook dùng vệ tinh để bắn internet xuống mặt đất.

Các tút hacking demo bằng video-tham khảo

download ở đây.

6 bước bảo mật mạng không dây nhỏ

1. Bật tính năng mã hóa
2. Thay đổi tên SSID
3. Vô hiệu hóa SSID broadcast
4. Bật bộ lọc MAC
5. Thay đổi mật khẩu Web Access
6. Vô hiệu hóa truy cập của quản trị viên thông qua web(để cấu hình thiết bị, chỉ cho phép kết nối bằng cáp có dây)

theo SD.net

Hướng dẫn loại bỏ hoàn toàn mã độc trên máy tính

Malware viết tắt malicious software (phần mềm độc hại) là những phần mềm được sử dụng hay lập trình bởi tin tặc nhằm can thiệp vào máy tính, thu thập thông tin nhạy cảm, đoạt quyền truy cập đến hệ thống riêng tư. Nó có thể dưới dạng code, script, nội dung động hoặc các phần mềm khác. Malware là một thuật ngữ chung để chỉ các dạng phần mềm xâm nhập hoặc không thân thiện.

Malware bao gồm virus máy tính, ransomware, sâu, Trojan, rootkit, keylogger, spyware, adware, malicious BHO, phần mềm giả mạo …; mối đe dọa malware đang hoạt động chủ yếu thường là sâu và Trojan hơn là virus.

Không phải lúc nào cũng biết được một máy tính bị xâm nhập hay chưa; do tin tặc ngày nay đang có bước tiến dài trong việc che dấu mã độc và những phần mềm trên máy tính bị lây nhiễm. Rất khó để có thể cung cấp danh sách đặc điểm triệu chứng một máy tính bị lây nhiễm  bởi  đôi khi triệu chứng đó gây ra bởi không tương thích phần cứng hoặc hệ thống không ổn định. Tuy nhiên dưới đây là một số ví dụ rõ ràng về một máy tính đã bị xâm nhập:

• Bạn nhận được thông báo “Internet Explorer could not display the page” khi truy cập vào trang web nào đó.
• Trình duyệt web của bạn  (Microsoft Internet Explorer, Mozilla Firefox, Google Chrome) bị đơ, treo,…
• Trang chủ trình duyệt bị thay đổi.
• Truy cập bảo mật vào trang web bị chặn.
• Bạn bị chuyển hướng sang trang khác khi truy cập web.
• Bạn nhận được vô số popup thông báo.
• Toolbar lạ xuất hiện trong trình duyệt.
• Máy tính chạy chậm hơn bình thường
• Máy tính bị treo, đơ …
• Có một số biểu tượng mới trên màn hình nền mà bạn không nhận ra được.
• Máy tính tự động khởi động lại(không phải do Windows Updates)
• Bạn nhận được thông báo lỗi  (thông báo file bị mất hoặc file bị hỏng)
• Không thể truy cập Control Panel, Task Manager, Registry Editor hoặc Command Prompt.

Bài viết là một hướng dẫn toàn diện loại bỏ hầu hết malware ra khỏi máy tính của bạn. Nếu bạn thấy bất kì triệu chứng nào bên trên, chúng tôi khuyên bạn nên thực hiện theo hướng dẫn dưới đây để kiểm tra và loại bỏ lây nhiễm.

Do một số loại malware không cho phép bạn chạy các tiện ích hoặc công cụ quét khi Windows ở chế độ thông thường. Bạn nên khởi động Windows vào chế độ Safe Mode với kết nối mạng (Safe Mode with Networking) và thực hiện quét. Để khởi động vào chế độ Safe Mode with Networking, bạn cần làm theo các bước sau:

1. Loại bỏ tất cả đĩa mềm, CD, và DVD ra khỏi máy tính và sau đó khởi động lại.
2. Nếu bạn sử dụng Windows XP, Vista hoặc Windows 7, nhấn và giữ phím F8 khi hệ thống khởi động lại. (Nhớ rằng ấn F8 trước khi logo khởi động của Windows xuất hiện). Nếu bạn sử dụng Windows 8, hãy ấn phím Windows key + C , chọn Setting. Chọn Power, giữ phím Shift trên bàn phím rồi chọn Restart. Tiếp tục chọn Troubleshoot và Advanced Option.
3. Trong Advanced Options chọn Startup Settings, rồi Restart.
4. Nếu bạn sử dụng Windows XP, Vista hoặc 7 trong Advanced Boot Options, sử dụng phím mũi tên chuyển đến Safe Mode with Networking , và ENTER.

---

BƯỚC 1: Loại bỏ bootkit và trojan với Kaspersky TDSSKiller

Trong bước này, chúng ta sẽ quét hệ thống với Kaspersky TDSSKIller nhằm loại bỏ phần mềm độc hại cài đặt trên hệ thống.

1. Tải phiên bản chính thức mới nhất Kaspersky TDSSKiller.
   KASPERSKY TDSSKILLER DOWNLOAD LINK
2. Nháy đúp vào tdsskiller.exe để mở bộ công cụ sau đó chọn Change Parameters.
   
3. Cửa sổ mới hiện lên, chọn Detect TDLFS file system rồi nhấn OK.’
   
4. Bắt đầu quét bằng cách nhấn nút Start Scan.
   
5. Quá trình quét sẽ được hiển thị.
   
6. Sau khi quét xong, chương trình sẽ hiển thị kết quả trên màn hình. Nếu tìm thấy malware sẽ hiển thị tương tự như sau:
   
7. Để loại bỏ lây nhiễm, đơn giản nhấn vào Continue và TDSSKiller sẽ dọn dẹp hộ bạn. Cần khởi động lại để thực hiện loại bỏ hoàn toàn lây nhiễm trên hệ thống.

---

BƯỚC 2: Sử dụng RKill dừng toàn bộ tiến trình độc hại

RKill là một phần mềm dừng toàn bộ tiến trình độc hại trên máy tính của bạn. Do chỉ dừng tiến trình mà không xóa file, bạn không nên khởi động lại hệ thống vì tiến trình malware hầu như được cấu hình khởi động tự động cùng hệ thống.

1. Tải về phiên bản chính thức mới nhất RKill. Nó đã được đổi tên để tránh bị các phần mềm độc hại chặn. RKILL DOWNLOAD LINK (Tự động tải RKill và đổi tên thành iExplore.exe)
2. Nháy đúp vào iExplore.exe khởi động RKill.
   
3. RKill sẽ khởi động và làm việc dưới nền, kiên nhẫn chờ phần mềm tìm tiến trình độc hại và dừng chúng.
   
4. Sau khi hoàn thành, Rkill sẽ tạo ra một log. Không được khởi động lại máy tính vào thời điểm này.
   

BƯỚC 3: Loại bỏ Trojan, phần mềm bảo mật giả mạo và những file độc hại với phần mềm miễn phí Malwarebytes Anti-Malware

Malwarebytes Anti-Malware Free sử dụng công nghệ hàng đầu phát hiện và loại bỏ dấu về malware, bao gồm sâu, Trojan, rootkit, giả mạo, sypware… Malwarebytes Anti-Malware có thể làm việc tốt và không gây xung đột với phần mềm diêt virus khác.

1. Tải Malwarebytes Anti-Malware từ đường dẫn dưới đây
   MALWAREBYTES ANTI-MALWARE DOWNLOAD LINK
2. Sau khi tải xong, đóng hết các chương trình đang hạy, rồi nháy đúp vào biển tượng file cài đặt.
   
    Máy tính có thể hiện thông báo User Account Control hỏi sự cho phép chạy file này. Chọn “Yes” để tiếp tục cài đặt.
3. Khi bắt đầu cài đặt Malwarebytes Anti-Malware Setup Wizard sẽ hướng dẫn bạn.
   
   Đọc các thông báo và nhấn nút “Next”.
   
4. Cài đặt xong Malwarebytes Anti-Malware sẽ tự động chạy và bạn sẽ thấy thông báo chương trình cập nhật lần đầu tiên. Để quét hệ thống, sử dụng nút“Fix Now”.
   
   Hoặc bạn có thể chọn “Scan”  ->“Threat Scan“ -> “Scan Now”.
   
5. Malwarebytes Anti-Malware kiểm tra bản cập nhật nếu có, hoặc bạn sử dụng nút “Update Now”.
   
6. Malwarebytes Anti-Malware bắt đầu quét
   
7. Sau khi quét xong, kết quả sẽ hiển thị lên màn hình. Để loại bỏ phần mềm độc hại, chọn “Quarantine All”  ->“Apply Now”.
   
8. Malwarebytes Anti-Malware sẽ cách ly file độc hại và khóa registry. Khi loại bỏ đôi khi phần mềm yêu cầu bạn khởi động lại.
   

---

BƯỚC 4: Loại bỏ adware với AdwCleaner

Công cụ AdwCleaner sẽ quét file độc hại, khóa registry phần mở rộng trên máy tính, trình duyệt, chúng có thể đã được cài đặt mà bạn không hề hay biết.

1. Tải AdwCleaner với đường dẫn dưới đây.
   ADWCLEANER DOWNLOAD LINK
2. Trước khi sử dụng AdwCleaner, đóng toàn bộ phần mềm và trình duyệt sau đó nháy đúp vào biểu tượng AdwCleaner.
   
3. Cửa sổ phần mềm hiện lên, chọn nút “Scan”
   
4. Loại bỏ mã độc tìm thấy bằng nút “Clean”.
   
5. AdwCleaner lưu lại những file hoặc tài liệu đang mở vì phần mềm sẽ khởi động lại máy. Chọn OK.
   

---

Bước 5: Loại bỏ khóa registry độc hại bằng RogueKiller

1. Bạn có thể tải về phiên bản chính thức bằng đường dẫn dưới đây.
   • ROGUEKILLER x86 DOWNLOAD LINK (với thiết bị 32-bit)
   • ROGUEKILLER x64 DOWNLOAD LINK (với thiết bị 64-bit)
2. Nháy đúp vào file  “RogueKiller.exe” hoặc “RogueKillerX64.exe”. Chờ Prescan hoàn thành rồi nhấn nút the “Scan” để thực hiện quét hệ thống.
   
3. Sau khi quét xong sử dụng “Delete” để xóa khóa registry hoặc file.
   

---

Giờ thì bạn đã có thể an tâm loại bỏ hoàn toàn malware ra khỏi hệ thống của mình. Nếu gặp bất kì sự cố malware nào, hãy liên hệ với chúng tôi để được tư vấn và giải quyết.

Theo SD.net

Một số lỗ hổng bảo mật.(cập nhật....)

1. Theo dõi vị trí GPS và cuộc gọi (kiểu như MTMD).

Một lỗ hổng nghiêm trọng trong hệ thống riêng điện thoại di động sử dụng để giao tiếp với nhau trên toàn thế giới – Hệ thống tín hiệu toàn cầu, gọi là SS7
SS7 hay còn gọi là hệ thống tín hiệu số 7 là một bộ giao thức được sử dụng bởi hầu hết các nhà khai thác viễn thông trên toàn thế giới để kết nối  với nhau khi chuyển hướng các cuộc gọi, văn bản và dữ liệu Internet. SS7 cho phép các hãng điện thoại di động thu thập thông tin về vị trí từ tháp điện thoại di động và chia sẻ với nhau. Điều này có nghĩa là một hãng viễn thông Mỹ sẽ tìm thấy khách hàng của mình, không có vấn đề gì ngay cả khi họ đi đến bất kỳ nước nào khác.
Khai thác thành công lỗ hổng trong SS7 có thể cho phép kẻ tấn công lắng nghe tất cả các cuộc gọi bằng giọng nói của bạn cũng như theo dõi vị trí chính xác GPS của bạn.

2. Nhiều lỗ hổng rò rỉ trong Pocket Add-on cho Firefox

Nút Pocket trong trình duyệt Firefox cho phép bạn lưu lại các liên kết, video, các trang web, hoặc các bài báo vào tài khoản Pocket của bạn chỉ với một cú nhấp chuột, giúp bạn đọc chúng sau này dễ dàng hơn, thường là khi ngoại tuyến. Tuy nhiên, các lỗ hổng được phát hiện bởi nhà nghiên cứu bảo mật Clint Ruoho có thể cho phép tin tặc có được quyền truy cập root không hạn chế tới các máy chủ lưu trữ các ứng dụng

3. Có thể bị hack ngay cả khi download phầm mềm từ trang chủ của nhà sản xuất

 Bài viết của Ddos. Trước đây, mục đích chính của MTIM là nghe lén, ăn cắp thông tin qua các gói tin, thay đổi hoặc làm độc ARP, thay đổi DNS. Nhưng với Josh Pitts, MITM không dừng lại ở đó. Ngoài những hệ quả trên của MITM, Josh Pitts đã thay đổi nội dung của gói tin và inject shellcode vào các gói tin ấy. Nó nguy hiểm ở chỗ, khi bạn muốn tải bất kỳ một file cài đặt dạng exe như idm.exe, winrar.exe từ trang chủ, kẻ tấn công sẽ thực hiện tấn công MITM sử dụng BDF và BDFProxy, khi nạn nhân gửi lệnh download, gói tin có chứa file .exe sẽ được kẻ tấn công chặn lại và chèn mã độc vào đó. Lúc này, nạn nhân không một chút hoài nghi bởi lẽ, họ đang tải file cài đặt từ trang chủ của phần mềm. Nhưng không may mắn, họ đã bị dính mã độc.

4.Lỗ hổng xâm nhập trái phép trên android

lỗ hổng trong Debuggerd (trình gỡ lỗi được tích hợp trong Android). Lỗi này có thể bị kết hợp với một số tùy biến để tin tặc thực hiện các mã khai thác trái phép trên thiết bị. hỗ hổng này hiện diện trong tất cả các phiên bản Android bắt đầu từ 4.0 (Ice Cream Sandwich) đến 5.x (Lollipop). Như vậy, ước tính lỗ hổng đang chiếm đến 94% thiết bị chạy Android.
tin tặc có thể tạo ra một tập tin EFL đặc biệt (Executable và Format Linkable - Định dạng thực thi và liên kết) để khiến trình gỡ lỗi (debugger) ngừng hoạt động nhằm xem được các tập tin kết xuất (dump file) và tập tin đăng ký (log file).
lợi dụng cho các mục đích tấn công từ chối dịch vụ, bằng cách liên tục làm ngừng hoạt động trình gỡ lỗi được tích hợp sẵn. Ngoài ra, lỗ hổng này còn xâm nhập được vào camera và các phân vùng lưu trữ bên ngoài.


5. khai thác Portmap  khuếch đại tấn công DDoS.

NFS sử dụng thủ tục RPC (Remote Procedure Calls) để gửi, nhận yêu cầu giữa máy trạm và máy chủ nên dịch vụ portmap (dịch vụ quản lý yêu cầu RPC) cần phải được khởi động trước. Trên máy chủ NFS (máy dự định sẽ chia sẻ dữ liệu) khởi động hai dịch vụ nfs và portmap.
Portmaper: tiến trình này không làm việc trực tiếp với dịch vụ NFS mà tham gia quản lý các yêu cầu RPC từ máy trạm gửi đến.
Portmaper hoạt động trên cổng 111(tcp và udp).

6. Một cách khai thác lỗ hỗng XSS.

Đây là lỗ hổng trong PayPal

• Kẻ tấn công cần thiết lập một trang web mua sắm lừa đảo hoặc chiếm quyền điều khiển một trang web mua sắm hợp pháp bất kỳ nào đó
• Sau đó, kẻ tấn công thay đổi nút “CheckOut” (Thanh toán) với một URL được thiết kế để khai thác lỗ hổng XSS
• Bất cứ khi nào người dùng Paypal duyệt trang web mua sắm đã bị kẻ lừa đảo thay đổi, và bấm vào nút “CheckOut” để trả tiền với tài khoản Paypal của họ, họ sẽ bị chuyển hướng đến trang Secure Payments
• Trang này thực ra hiển thị một trang web lừa đảo, trong đó các nạn nhân được yêu cầu nhập thông tin thẻ thanh toán của họ để hoàn thành việc mua sắm
• Sau đó bằng cách nhấp vào nút Submit Payment (xác nhận thanh toán), thay vì trả tiền cho sản phẩm (chẳng hạn như 100 USD) thì người dùng Paypal sẽ trả số tiền này cho kẻ tấn công.

7. Mã độc tống tiền khóa PIN thiết bị Android

LockerPIN phát tán qua các kho ứng dụng của bên thứ ba không rõ nguồn gốc,  lừa người dùng tải về, Sau khi cài đặt thành công, mã độc cố gắng có được quyền quản trị trên thiết bị bằng cách chèn cửa sổ của chính nó lên tin nhắn hệ thống, giả mạo là một cập nhật, Khi nạn nhân click vào cài đặt có vẻ vô hại này, họ không biết rằng đã kích hoạt quyền quản trị trên thiết bị cho mã độc. khi đó LockerPIN sẽ thiết lập hoặc thay đổi khóa PIN của thiết bị, khóa màn hình và yêu cầu khoản tiền chuộc 500$.

Pack và Unpack

Packer là một kiểu chương trình nén hoặc che dấu file thực thi (executable file). Các chương trình này ra đời bắt nguồn từ mục đích giảm kích thước của file, làm cho việc tải file nhanh hơn.

Rất nhiều các coder hay các hãng phần mềm sử dụng Packer nhằm mục đích khiến cracker/reverser khó khăn và tốn thời gian hơn trong việc bẻ khỏa hoặc đảo ngược phần mềm của họ. Đối với những kẻ chuyên phát tán các phần mềm độc hại (malicious software) thì Packer còn có tác dụng giúp kéo dài thời gian tồn tại của phần mềm càng lâu bị phát hiện càng tốt.

Cụ thể khi sử dụng, Packer nén, mã hóa, lưu hoặc dấu code gốc của chương trình, tự động bổ sung một hoặc nhiều section, sau đó sẽ thêm đoạn code Unpacking Stub và chuyển hướng Entry Point (EP) tới vùng code này. Bình thường một file không đóng gói (Nonpacked) sẽ được tải bởi OS. Với file đã đóng gói thì Unpacking Stub sẽ được tải bởi OS, sau đó chương trình gốc sẽ tải Unpacking Stub. Lúc này code EP của file thực thi sẽ trỏ tới Unpacking Stub thay vì trỏ vào mã gốc. Để hiểu được các phần trên thì các bạn cần hiểu cấu trúc PE file và cách thực thi của nó. Bạn có thể xem bài viết Tìm hiểu cấu trúc PE file.

Cấu trúc đầy đủ của một PE file như sau:

Trong môi trường DOS, chương trình sẽ kiểm tra DOS header và nếu hợp lệ sẽ thực thi DOS Stub. Còn bình thường file của chúng ta hay chạy trên Windows thì 2 trường này có thể bỏ qua. Trường này là một cấu trúc có 19 thành phần.

Cuối trường DOS header sẽ có một thành phần là: e_lfanew sẽ chứa offset của PE header so với vị trí  đầu file. Chương trình sẽ thực thi đến PE header. Tiếp đến là đọc Section Table để xem trong chương trình có những section nào. Sau đó chương trình sẽ nhảy đến từng section và thực thi. Entry Point thường nằm ở các section đầu nếu file chưa bị đóng gói.

2. Nguyên lí hoạt động của Packer

Cấu trúc của file PE ban đầu sẽ có dạng như sau:

File này sẽ bị nén và mã hóa rồi được thêm vào một hay nhiều section do packer tự tạo ra.

Khi chạy file thì chương trình sẽ được thực thi như sau:

Tiếp theo chương trình sẽ thực thi PE header:

Sau khi nhảy đến Entry Point của section UMPACKER thì toàn bộ giá trị của các thanh ghi sẽ được lưu lại nhờ lệnh PUSHAD. Sau đó Import Table sẽ được tính toán lại. Trong một file bị pack, Import Table sẽ bị thay đổi và các dữ liệu sẽ bị mã hóa.

Tiếp theo chương trình sẽ khôi phục lại giá trị các thanh ghi đã được lưu trong Stack bằng lệnh POPAD. Cuối cùng chương trình sẽ nhảy đến Origin EntryPoint và thực thi như file lúc chưa bị đóng gói.

3.Nguyên lí Unpack

Đầu tiên ta phải nhận biết được xem một file có bị đóng gói hay không bằng cách dùng các công cụ như PEiD :

Ở đây mình dùng file UnPackMe_ASPack2.12 làm đối tượng để test thử. File trên đã bị đóng gói bằng ASPack. Thông thường, các bước cơ bản để thực hiện unpack như sau:

1. Tìm OEP (Origin Entry Point): Orginal entry point là nơi mà chương trình gốc thực sự bắt đầu thực thi. Ta sẽ dùng một số công cụ debug file như OllyDbg và IDA để tìm lại OEP.

2. Kết xuất file (Dump): Sau khi nhảy đến OEP ta sẽ tiến hành dump file. Mục đích của việc này là fix lại các section và import table như file ban đầu trước khi bị đóng gói. Sử dụng Plugin OllyDumpEx để dump file.

3. Sửa lại IAT (Repair Import Address Table): Sử dụng công cụ ImportREC.

4. Kiểm tra file xem còn các cơ chế Anti hoặc ngăn chặn việc thực thi hay không rồi tiến hành chỉnh sửa. Đảm bảo file sau unpack thực thi bình thường (Phần này sẽ được giới thiệu trong các phần sau).

một số kĩ thuật để tìm OEP(Origin Entry Point) cơ bản. Đây là quá trình khó nhất trong khi unpack.

Như đã giới thiệu trong phần trước thì các bước để unpack một file như sau:

1. Tìm OEP
2. Kết xuất file (Dump)
3. Sửa lại IAT (Repair IAT)
4. Kiểm tra file xem còn các cơ chế Anti hoặc ngăn chặn không cho thực thi không và tiến hành chỉnh sửa. Đảm bảo file sau unpack thực thi bình thường .

Bài viết sử dụng UnPackMe_ASPack2.12.exe và OllyDbg để minh họa.

1.1   Tìm opcode

Cách này đơn giản và hơi thô, chỉ có thể áp dụng với các trình packer đơn giản, không thể áp dụng nó cho các trình packer khó nhằn như Asprotect.

Ý tưởng cơ bản là tìm opcode của lệnh  LONG JMP (0xE9) hoặc LONG CALL (0xE8). Các trình packer sau khi thực hiện đóng gói file thì có khả năng có một lệnh nhảy hoặc một lời gọi hàm (call) tới section đầu tiên, mục đích là để tới được OEP. Với phương pháp này, ta hi vọng các lệnh JUMP hoặc CALL sẽ xuất hiện ngay đầu tiên trong quá trình tìm kiếm hoặc trình packer không có cơ chế tự động chỉnh sửa.

Ta chỉ cần tìm kiếm “Binary String” các chuỗi E9,E8. Sau đó xem câu lệnh nào có opcode. Ngoài ra câu lệnh đó phải nằm trong section đầu tiên của chương trình.

Chú ý , đôi khi ta xem code của các trình packer sẽ thấy có các lệnh kiểu như CALL EAX, CALL EBX, JMP EAX. Rất nhiều trình packer thường sử dụng các thanh ghi nhằm mục đích để che dấu việc nhảy tới OEP.

1.2 Sử dụng tính năng tìm kiếm OEP của OllyDBG

Mở đối tượng bị đóng gói trong OllyDBG, chọn Options > Debugging options hoặc nhấn phím tắt Alt+O, chuyển tới tab SFX:

Trong thẻ SFX  có 2 tùy chọn: “blockwise” cho phép tìm kiếm nhanh nhưng độ chính xác có thể không cao; “bytewise” cho phép  tìm kiếm với độ chính xác cao hơn nhưng tốc độ chậm hơn.

Chuyển qua thẻ Exceptions, lựa chọn tương tự như hình:

Sau khi cấu hình xong các bạn khởi động lại OllyDbg thì sẽ được như sau :

404000 chính là địa chỉ OEP của chương trình.Bạn có thể thử với tùy chọn khác trong SFX.

Sau khi thực hiện xong phương pháp này thì phải thiết lập tab SFX trở về tùy chọn ban đầu, nếu không thì OllyDBG sẽ không dừng lại tại EP như bình thường nữa mà luôn luôn thực hiện việc tìm kiếm OEP.

1.3. Sử dụng BPM on access với OllyDBG đã patch để tìm OEP

Load file vào OllyDBG, chuyển tới cửa sổ Memory map, lựa chọn section đầu tiên để thiết lập BPM:

Chuyển về cửa sổ code, nhấn F9 để chạy, OllyDBG sẽ break và dừng lại tại đây:

Ta thấy khi trace qua lệnh ret thì chương trình không nằm trong phân vùng đầu tiên nên ta cứ nhấn F9.Khi đó có thông báo hiện ra:

Khi đó chương trình đã kết thúc.Vậy chỗ OEP không nằm trong section đầu tiên. Ta thử với các section tiếp theo.

Với section thứ 2 tại địa chỉ 402000 cũng tương tự section thứ nhất. Ta thử tiếp với section thứ 3 tại địa chỉ 404000.Khi ta nhấn F9 thì chương trình sẽ dừng tại 404000 với câu lệnh WAIT.

Vì đây không nằm ngoài section ta đặt break point nên nó là địa chỉ câu lệnh đầu tiên của OEP.

1.4. PUSHAD Method

Nhiều trình packer sau khi được load vào OllyDBG ta thấy lệnh đầu tiên được thực thi là lệnh PUSHAD. Lệnh này nhằm mục đích bảo toàn các thanh ghi, nó sẽ thực hiện lưu toàn bộ giá trị khởi tạo của tất cả các thành ghi vào stack, sau đó thực hiện quá trình unpack, cuối cùng trước khi nhảy tới OEP, packer sẽ thực hiện việc khôi phục lại giá trị của các thanh ghi đã lưu trên stack bằng lệnh POPAD. Cặp lệnh PUSHAD và POPAD thường đi cùng với nhau. Nếu như ta thấy ở đâu đó trong mã của chương trình xuất hiện lệnh PUSHAD thì bên dưới chắc chắn sẽ có câu lệnh POPAD. Đây là phương pháp được áp dụng thành công cho khá nhiều trình packer.

Đầu tiên  load UnPackMe_ASPack2.12  vào OllyDBG và nhấn F9:

Thực hiện trace qua lệnh PUSHAD và quan sát trên cửa sổ Stack:

Như các bạn thấy tại cửa sổ Stack, giá trị ban đầu của các thanh ghi đã được lưu lại.Do vậy, trước khi nhảy tới OEP thì chắc chắn packer phải thực hiện việc khôi phục lại các giá trị đã lưu này. Căn cứ vào đó, ta có thể tiến hành đặt một Hardware BPX On Access trong OllyDBG nhằm break lại khi packer thực hiện lệnh khôi phục giá trị, và khi break ta sẽ dừng lại tại lệnh nhảy tới OEP.

Lựa chọn thanh ghi ESP, nhấn chuột phải và chọn Follow in Dump:

Sau đó ta đặt breakpoint hardware vào 0018FF6C.

Sau khi đặt BP xong, nhấn F9 để chạy, ta sẽ dừng lại tại đây:

Dưới lệnh POPAD sẽ là câu lệnh nhảy đến 004113BA. Nhưng nếu nhìn kĩ hơn một chút ta sẽ thấy có lệnh push 00404000 và ret. Như vậy đó chính là địa chỉ của OEP.

Trên đây mình đã trình bày 4 cách để unpack một file .exe cơ bản. Các bạn có thể tự tìm thêm các ví dụ để thực hành thêm và tham khảo tài liệu có sẵn trên mạng.

theo SD.net