Bản in của bài viết

Click vào đây để xem bài viết này ở định dạng ban đầu

DigitalViệt

Kiểm tra và diệt Keylog như thế nào?

KIỂM TRA VÀ DIỆT KEYLOG TRONG CON CPU THÂN YÊU CỦA MÌNH NHƯ THẾ NÀO?

Keylogger - phần mềm gián điệp, chuyên ghi lại các thao tác trên bàn phím vào một tập tin nhật ký để người cài đặt nó xem - hiện nay có rất nhiều loại qua mặt được các chương trình diệt virus mạnh mẽ như AVG, NAV, McAfee..., nhất là các loại keylogger mà người khác cố tình cài vào máy. Tuy nhiên, với thủ thuật sau đây, bạn có thể phát hiện các loại keylogger đang lẩn tránh trong máy của mình khi các chương trình diệt virus đã hoàn toàn bó tay!

NGUYÊN TẮC
Hầu hết các chương trình keylog mà người khác cố tình cài lên máy bạn đều có phím nóng gọi chương trình thoát khỏi chế độ ẩn. Lý do có các phím nóng này là để người cài keylog có thể xem kết quả trực tiếp và điều chỉnh các thông số. Đây cũng chính là điểm mà chúng ta lợi dụng để phát hiện chương trình keylog. Chúng ta sẽ thử tất cả các phím nóng thông dụng (nói ở phần sau), nếu có bảng thông báo hoặc đăng nhập của chương trình keylog thì có nghĩa là máy của bạn đang bị theo dõi.

TIẾN HÀNH
Hầu hết các phím nóng (hotkey) của chương trình keylog đều có dạng như Ctrl hoặc/và Alt, Shift bấm đồng thời với một phím chữ hoặc số hoặc các phím chức năng từ F1 đến F12. Chỉ có một số rất ít keylogger dùng mật khẩu chương trình để làm phím nóng, do đó tỉ lệ phát hiện thành công của chúng ta là rất cao.

Đầu tiên bạn thu nhỏ tất cả các cửa sổ đang có trên màn hình, nếu được thì tắt luôn. Sau đó, bạn giữ một trong ba phím Ctrl, Alt, Shift rồi thử gõ tất cả các phím số, phím chữ, F1 đến F12. Nói tóm lại là bạn thử với tất cả các phím có khả năng tạo ra ký tự trong Microsoft Word hay bất cứ chương trình soạn thảo văn bản nào.

Tiếp đến, thay vì giữ một phím, bạn thử giữ đồng thời hai trong ba phím Ctrl, Alt, Shift, thao tác cũng tương tự như trên. Và cuối cùng là giữ đồng thời cả ba phím để thử.

Mẹo: thay vì gõ từng phím, bạn hãy gõ và đè lướt tay qua nguyên một dãy phím từ trái sang phải hoặc từ phải sang trái. Việc này sẽ giúp bạn tiết kiệm rất nhiều thời gian. Bạn đừng lo rằng làm như vậy sẽ ảnh hưởng đến tuổi thọ của bàn phím. Vì bàn phím được thiết kế để chịu những thao tác như vậy và những gamer làm những thao tác còn nặng nề hơn thế nhưng bàn phím của họ vẫn không hề hấn gì.

PHÁT HIỆN
Trước khi thực hiện như trên, bạn hãy nhớ tất cả các biểu tượng ở khay hệ thống (các biểu tượng nằm cạnh đồng hồ hệ thống) và tất cả cửa sổ đang mở. Nếu bạn gõ đúng phím nóng của chương trình keylog thì có thể một biểu tượng mới hiện ra ở khay hệ thống (ví dụ trong hình là của Ardamax Keylogger), hoặc có thể xuất hiện một cửa sổ mới đòi bạn đăng nhập tên và mật khẩu.

Lưu ý :
- Trong lúc thực hiện, bạn có thể vô tình gõ trúng phím tắt của chương trình tiện ích mà bạn đã cài. Do đó, nếu hiện ra cửa sổ mới hoặc biểu tượng mới sau khi thực hiện thì bạn hãy xem kỹ cửa sổ đó có phải là một trong những chương trình mình đã cài hay không.

- Nếu bạn đã phát hiện được một chương trình keylog thì đừng dừng lại. Tiếp tục thử đến khi hết các phím nóng thông dụng mới thôi.

XỬ LÝ
Đối với những chương trình keylog chưa được chương trình antivirus của bạn cập nhật kịp thì mọi việc xử lý có vẻ khó khăn. Tuy nhiên có thể có phần mềm antivirus khác cập nhật keylogger đó rồi. Do đó hãy thử chương trình antivirus khác. Nếu vẫn không phát hiện được, bạn hãy tìm hiểu thông tin về con keylogger đó. Nếu biểu tượng của keylogger xuất hiện trong khay hệ thống, hãy bấm phải vào đó và chọn About hoặc các nút tương tự như thế. Còn nếu sau khi thử phím nóng mà xuất hiện cửa sổ mới, bạn hãy để ý thanh tiêu đề của cửa sổ đó. Thông thường tên của thanh tiêu đề cũng chính là tên của con keylogger. Sau đó bạn vào các trang tìm kiếm như Google, Yahoo, MSN... và tìm theo tên bạn đã có ở trên. Bạn cũng phải chú ý đến phiên bản.

Nếu bạn tìm được luôn bản cài đặt của keylogger thì càng tốt. Lúc này hãy truy cập vào các trang web của các chương trình antivirus. Các trang web này luôn có mục tiếp nhận mẫu virus. Bạn hãy gửi mẫu bạn có cùng những thông tin về keylogger mà bạn thu thập được. Chỉ chừng vài ngay sau là sẽ có bản cập nhật mới diệt được loại keylogger này.

Trong khi chờ đợi bản cập nhật, bạn nên hạn chế sử dụng những thông tin nhạy cảm. Nếu cần thiết thì dùng bàn phím ảo.

_______________________________________________________________

PHÁT HIỆN & KILL KEYLOG NHANH.

Có thể dùng cách này để kiểm tra trong PC mình có nhiễm con key nào ko? Mình viết dưới đây là 1 số con key quen thuộc, sẽ up tiếp nếu biêt thêm. Dưới đây là perfect keylogger và easy keylogger.
Mỗi chương trình Keylogger đều sử dụng 1 tập tin .dll để capture thao tác máy tính, con Perfect Keylogger này thì sử dụng tập tin bpkhk.dll , còn con Easy sử dụng Ekey.dll . Như vậy chúng ta sẽ kiểm tra trong máy có xuất hiện những tệp tin này ko?=> có key ( đơn giản thế thôi )
+. Với Perfect keylogger :
1. Vào mục Start -> Run gõ : cmd
2. Ở màn hình Dos gõ : tasklist /m bpkhk.dll
Nếu không có Keylogger bạn sẽ nhận được 1 thông báo lỗi :

INFO: No tasks running with the specified criteria.

Nếu có Keylogger màn hình sẽ hiển thị :

Image Name PID Modules Diễn giải
================ ==== ===== ====== =========
explorer*************** 468 bpkhk.dll <--- quen thuộc
DUMeter*************** 1444 bpkhk.dll <--- quen thuộc
ctfmon*************** 1548 bpkhk.dll <--- quen thuộc
acrotray*************** 1820 bpkhk.dll <--- quen thuộc
notepad*************** 1956 bpkhk.dll <--- quen thuộc
firefox*************** 2012 bpkhk.dll <--- quen thuộc
bdmcon*************** 1744 bpkhk.dll <--- quen thuộc
TOTALCMD*************** 2396 bpkhk.dll <--- quen thuộc
bpk*************** 2812 bpkhk.dll <--- nó đây rồi ( chứng tở máy bạn đã dính perfect key )
+. Với Easy Key:
1. Vào mục Start -> Run gõ : cmd
2. Ở màn hình Dos gõ : tasklist /m Ekey.dll
Nếu không có Keylogger bạn sẽ nhận được 1 thông báo lỗi :

INFO: No tasks running with the specified criteria.

Nếu có Keylogger màn hình sẽ hiển thị :
Image Name -------- PID -- Modules ----- Diễn giải
================ ==== ===== ========
TOTALCMD*************** ----- 2040 ----- ekey.dll <--- quen thuộc
Easy Keylogger*************** -- 2340 ----- ekey.dll <--- nó đây rồi ( máy bạn đã dính Easy Key)

Mình nói thêm về cách diệt :
+, Với Perfect Key
1. Vào mục Start -> Run gõ : cmd
2. Ở màn hình Dos gõ : taskkill /f /im bpk*************** /t
3. Tắt tất cả các chương trình đang chạy hiện thời (Explorer***************, bdswitch***************, DUMeter*************** ...)
4. Mở Explorer vào thư mục Windows\System32 xóa các tập tin bpk***************, bpkhk.dll, bpkwb.dll ...
Đã xong

+. Với Easy Key

1. Vào mục Start -> Run gõ : cmd
2. Ở màn hình Dos gõ : taskkill /f /fi "pid ge 2340" /im *
Đã xong
Lưu ý 1 chút đó là BPK có cho phép đổi tên các file bpk***************, các file .dll... nên khi các bạn không thấy file bpk*************** và bpk*.dll thì vẫn chưa thể yên tâm là trong máy ko có BPK.

bởi: Nhoxpro trong May 30 2009, 12:39 PM

kum' on ban nhiu nha:Embarrassed::Embarrassed:

bởi: anh vũ trong Dec 5 2010, 02:09 PM

thanks

bởi: Guest_duc_* trong May 1 2011, 07:15 AM

tk nhju`

bởi: Jusop trong Jun 27 2011, 12:51 PM

Bai viet tu nam 2008 roi chu topic co cap nhat moi dc ji ko

bởi: Yes trong Dec 25 2011, 12:28 PM

Chào Các Bạn Chương trình diệt Virus này  phát hiện = cách nào chỉ cho tớ với Hx Hx      [email protected]

bởi: Guest_nhan_* trong Feb 22 2012, 02:40 PM

phan mem va cach ngan chan keylock
keylock tong hop:    http://test.easyvn.com/tonghop

VnVista I-Shine
© http://vnvista.com