CurrPorts Tool

  • Mô tả:

CurrPorts hiển thị danh sách tất cả các cổng (port) TCP/IP và UDP đang mở trên máy. Với mỗi cổng, thì thông tin tiến trình (process) tương ứng cũng được hiển thị lên, bao gồm: tên tiến trình, ID tiến trình, giao thức (protocol), đường dẫn, mô tả, phiên bản, thời gian mà tiến trình được tạo ra, người dùng (user) mà tạo ra tiến trình, …

Ngoài ra, CurrPorts còn cho phép đóng các kết nối TCP mong muốn, tắt tiến trình tương ứng với cổng đang mở, và lưu thông tin các cổng TCP/UDP thành tệp HTML, XML hoặc thành một tệp văn bản (text).

CurrPorts cũng tự động tô màu hồng với những cổng TCP/UDP đáng ngờ thuộc những ứng dụng không xác định được – các ứng dụng không có thông tin về phiên bản và biểu tượng.

  • Cách sử dụng

Công cụ CurrPorts là một tiện ích thực thi một cách đơn thuần, không yêu cầu cài đặt hoặc bổ sung những thư viện DLLs, mà chỉ cần thực thi tệp cports.exe và sử dụng nó.

Màn hình chính của CurrPorts hiển thị danh sách tất cả các cổng TCP/UDP đang mở.

Người dùng có thể chọn một hoặc nhiều mục để: đóng kết nối, sao chép thông tin vào clipboard hay lưu nó vào tệp HTML/XML/Text.

Nếu không muốn xem tất cả các cột mà chỉ một số cột nhất định hay thay đổi thứ tự của các cột trên màn hình thì chọn View > Choose Column

Để sắp xếp danh sách theo một cột cụ thể nào đó, thì chỉ cần nhấn vào tiêu đề của cột đó

  • Menu Options

  • Display Listening – hiển thị tất cả các cổng đang lắng nghe.
  • Display Established – hiển thi tất cả các kết nối đã được thiết lập.
  • Display Closed – hiển thị cổng đã đóng với trạng thái Time Wait, Close Wait, Closed.
  • Display Items With Unknown State – hiển thị các mục với trạng thái unknown ( ở màn hình chính thì cột trạng thái đó là rỗng ).
  • Display Items Without Remote Address – hiển thị các cổng bị ngắt kết nối cùng với không có địa chỉ từ xa (remote address).
  • Display TCP Ports – hiển thị các cổng sử dụng giao thức TCP
  • Display UDP Ports – hiển thị các cổn sử dụng giao thức UDP
  • Mark Ports Of Unidentified Applications – hiển thị những ứng dụng không có thông tin về phiên bản hay biểu tượng và được đánh dấu màu hồng.
  • Mark New/Modified Ports – mỗi lần danh sách cổng được làm mới (refresh) thì tất cả các cổng mới được thêm vào hoặc đã có sẳn mà thay đổi thì sẽ được đánh dấu màu xanh.
  • Auto Refresh – tự động làm mới danh sách các cổng mỗi 2s, 4s, 6s, 8s hay 10s.
  • Sort On Auto Refresh – danh sách các cổng được sắp xếp lại mỗi khi làm mới. Ngược lại nếu không kích hoạt chức năng này thì các cổng mới hay được chỉnh sửa sẽ nằm cuối danh sách.
  • Sử dụng bộ lọc

Sử dụng công cụ  để lọc những cổng cần giám sát.

Trong hộp thoại Edit Filter, có thể thêm một hoặc nhiều chuỗi lọc ( được phân cách nhau bởi khoảng cách (spaces), dấu chấm phầy “ ; ” )

Sử dụng theo cú pháp sau: [include | exclude] : [local | remote | both | process] : [tcp | udp | tcpudp] : [IP Range | Ports Range] Ví dụ:

  • include:remote:tcp:80 à chỉ hiển thị các gói tin với cổng remote TCP 80
  • include:process:firefox.exe à chỉ hiển thị các cổng được mở bởi trình duyệt firefox
  • include:both:tcpudp:53-139 à chỉ hiển thị gói TCP và UDP sử dụng dãi cổng 53 đến 139

ExeMaker Tool

  • Mô tả

ExeMaker là một công cụ nhỏ tạo ra một tệp .exe từ mã đoạn mã Python. Sao chép nó vào cũng thư mục với chương trình ExeMaker này, và tạo ra một tệp Windows EXE trong cùng thư mục. Khi chạy tệp EXE đó, nó sẽ tự động chạy các đoạn mã python.

Ví dụ:

> exemaker pythondoc.py c:/​​bin

c: /bin/pythondoc.exe ok

c: /bin/pythondoc.py ok

> Dir c:\bin\pythondoc *

2004/10/10 15:00 4 096 pythondoc.exe

2004/10/10 15:00 41 611 pythondoc.py

               2 File (s) 45 707 byte

Giả sử tệp pythondoc.exe được tạo ở thư mục c:/bin, thì chỉ cần vào thư mục đó và chạy câu lệnh bình thường như dưới đây:

> Pythondoc

Nói cách khác, ExeMaker cho phép cài đặt chương trình dòng lệnh được viết bằng ngôn ngữ Python, và sử dụng chúng mà không cần phải bận tâm với đuôi tệp là .py hay .bat hay những đuôi khác.

  • Chi tiết

Công cụ ExeMaker tạo rra hai tập tin dựa trên mã; một tập tin EXE và một tập tin PY. Tập tin EXE chứa một bộ nạp runtime nhỏ, và tập tin PY chỉ đơn giản là một bản sao của mã đó, với một tiêu đề (header) nhỏ được đính kèm trên đầu. Tiêu đề được sử dụng bởi bộ nạp EXE để tìm hiểu làm thế nào để chạy tập tin EXE.

Nó thường giống như thế này:

#!python.exe

import site

… your script follows …

Dòng lệnh #! được sử dụng bởi bộ nạp EXE để xác định vị trí của Python DLL. Nếu dòng lệnh chứa một tập tin EXE, nó kiểm tra xem những Python DLL nào được sử dụng, và sau đó DLL được sử dụng để chạy các đoạn mã. Nếu dòng lệnh chứa một tập tin DLL, DLL được sử dụng trực tiếp.

Mặc ​​định để thực thi Python là python.exe. Bạn có thể ghi đè lên nó bằng cách sử dụng –i, hoặc chỉnh sử dòng #! trong tập tin PY tạo ra.\

Ví dụ:

  • Cách sử dụng

Cú pháp:

exemaker [-i interpreter] script [directory] Để tệp mã và bộ nạp EXE cùng thư mục. Nếu thực mục không được chỉ rõ ở dòng lệnh thì tệp mã sẽ được sao chép vào thư mục – nơi mà exemaker được cài đặt.

Tùy chọn –i có thể được sử dụng để kiểm soát Python EXE hoặc DLL mà được sử dụng để chạy chương trình. Nếu bỏ qua, nó sẽ mặc định là python.exe.

Lưu ý rằng bộ nạp EXE không thực sự sử dụng EXE để chạy các mã; nó chỉ kiểm tra Python DLL sử dụng là gì, và nạp DLL trực tiếp vào.

Netstat

  • Chức năng

Lệnh netstat là một lệnh nằm trong số các tập lệnh để giám sát hệ thống trên linux. netstat giám sát cả chiều in và chiều out kết nối vào server, hoặc các tuyến đường route, trạng thái của card mạng. lệnh netstat rất hữu dụng trong việc giải quyết các vấn đề về sự cố liên quan đến network như là lượng connect kết nối, traffic, tốc độ, trạng thái của từng port, Ip …

  • Cấu trúc lệnh
  • netstat [address_family_options]   [–tcp|-t]   [–udp|-u]  [–raw|-w]  [–listening|-l]  [–all|-a]  [–numeric|-n]  [–numeric-hosts]  [–numeric-ports] [–numeric-users] [–symbolic|-N] [–extend|-e[–extend|-e]] [–timers|-o] [–program|-p] [–verbose|-v] [–continuous|-c]
  • netstat {–route|-r} [address_family_options] [–extend|-e[–extend|-e]] [–verbose|-v] [–numeric|-n] [–numeric-hosts] [–numeric-ports] [–numeric-users] [–continuous|-c]
  • netstat {–interfaces|-i} [–all|-a] [–extend|-e[–extend|-e]] [–verbose|-v] [–program|-p] [–numeric|-n] [–numeric-hosts] [–numeric-ports] [–numeric- users] [–continuous|-c]
  • netstat {–groups|-g} [–numeric|-n] [–numeric-hosts] [–numeric-ports] [–numeric-users] [–continuous|-c]
  • netstat {–masquerade|-M} [–extend|-e] [–numeric|-n] [–numeric-hosts] [–numeric-ports] [–numeric-users] [–continuous|-c]
  • netstat {–statistics|-s} [–tcp|-t] [–udp|-u] [–raw|-w]
  • netstat {–version|-V}
  • netstat {–help|-h}
  • address_family_options:
    • [-4] [-6] [–protocol={inet,unix,ipx,ax25,netrom,ddp}[,…]] [–unix|-x] [–inet|–ip] [–ax25] [–ipx] [–netrom] [–ddp]
  • Cách sử dụng:

Khởi động terminal và nhập lệnh netstat –a

Lệnh hiển thị thông tin tổng quát các kết nối và lắng nghe, port đang mở, đường dẫn của ứng dụng.

Netstat –at : kiểm tra các port đang sử dụng TCP

Netstart –au : Kiểm tra các port đang sử dụng phương phức UDP

Netstat –l : Kiểm tra các port đang ở trạng thái listening

Netstat –lt : Kiểm tra các port đang listen dùng phương thức TCP

Netstat –lu : Kiểm tra các port đang listen dùng phương thức UDP

Netstat –pnlt : Kiểm tra được port đang lắng nghe sử dụng dịch vụ gì ?

Netstat –rn : Hiển thị bảng định tuyến

Một số website tin tức security, trojan, virus phổ biến

Đây là trang web tiếng việt chuyên về các thông tin về bảo mật, cập nhật các loại malware được sử dụng hằng ngày trên thế giới, và các tin tức tấn công, thiệt hại bởi chúng gây ra.

  • Ransomware

Sơ lược:

  • Là một dạng phần mềm độc hại có tác dụng chính là ngăn chặn người dùng truy cập và sử dụng hệ thống máy tính của họ.
  • Hầu hết các phần mềm Ransomware đều chiếm quyền và mã hóa toàn bộ thông tin của nạn nhân mà nó tìm được.

Nơi lây lan:

Giống như các phần mềm độc hại khác, Ransomware có thể xâm nhập vào máy tính của người sử dụng khi:

  • Tìm và dùng các phần mềm crack.
  • Bấm vào quảng cáo.
  • Truy cập web đen, đồi trụy.
  • Truy cập vào website giả mạo.
  • Tải và cài đặt phần mềm không rõ nguồn gốc.
  • File đính kèm qua email spam.

Cách hoạt động:

Khi đã xâm nhập và kích hoạt trong máy tính của người dùng, Ransomware sẽ đồng thời thực hiện các tác vụ như sau:

  • Khóa màn hình máy tính, hiển thị thông báo như hình ví dụ trên.
  • Mã hóa bất kỳ file tài liệu nào mà nó tìm được, tất nhiên là sẽ có mật khẩu bảo vệ.

Nếu trường hợp 1 xảy ra, người dùng sẽ không thể thực hiện được bất kỳ thao tác nào trên máy tính (ngoại trừ việc bật – tắt màn hình). Đồng thời trên màn hình đó cũng sẽ có hướng dẫn chi tiết và cụ thể việc chuyển khoản, tiền cho hacker để lấy lại thông tin cá nhân. Còn trường hợp thứ 2 (thông thường là xấu hơn) vì Ransomware sẽ mã hóa toàn bộ các file văn bản (thường là file Office như *.doc, *.xls… file emailfile *.pdf), những file này sẽ bị đổi đuôi thành những định dạng nhất định nào đó, có mật khẩu bảo vệ, bạn không thể thực hiện bất kỳ thao tác nào như copy, paste, đổi tên, đổi đuôi hoặc xóa.

Ransomware, hoặc gọi là Scareware có cách thức hoạt động tương tự như những phần mềm bảo mật giả mạo – FakeAV (1 loại Malware)

  • USB Thief – Mã độc Trojan đánh cắp dữ liệu vô hình thông qua USB

USB Thief (hoặc Win32/PSW.Stealer.NAI) – một loại mã độc thuộc họ Trojan, mã độc này khi hoạt động có khả năng tàng hình tấn công. Được đặc biệt tạo ra nhằm vào các máy tính an toàn (được cách ly với mạng Internet), USB Thief là một mối đe doạ cho các hệ thống có mức độ bảo mật cao. Cha đẻ của loại mã độc này đã sử dụng một chương trình đặc biệt nhằm bảo vệ USB Thief không bị sao chép cũng như khó có thể bị phát hiện và dịch ngược mã nguồn.

USB Thief được lập trình ẩn dưới dạng một plugin hoặc một Dynamically Linked Library (DLL) được dùng bởi các ứng dụng portable phổ biến (ứng dụng sử dụng luôn không cần cài đặt) như Firefox, Notepad++ hay TrueCrypt. Đây là một thủ đoạn rất dễ đánh lừa người dùng, nếu người dùng kích hoạt các ứng dụng này trên USB thì đồng thời USB Thief cũng được kích hoạt và chạy ngầm trên hệ thống.

USB Thief được lập trình phức tạp với mã hóa nhiều tầng khiến rất khó bị phát hiện và phân tích. USB Thief chạy trên thiết bị USB do đó nó không để lại bất cứ dấu vết về hoạt động, thậm chí nạn nhân còn không nhận ra dữ liệu nào đã bị đánh cắp.

Một số biện pháp tự bảo vệ trước loại mã độc Trojan tinh vi này:

  • Không sử dụng thiết bị USB không đáng tin cậy
  • Tắt chế độ Autorun
  • Thường xuyên sao lưu dữ liệu

Đây là trang web tiếng anh chuyên về bảo mật. Hầu như tin tức nóng hổi về giới security đều được cập nhật hằng này. Trang này rất nhiều thông tin hay và có các mục chọn lựa theo sở thích của người đọc.

  • PNG Embedded – Malicious payload hidden in a PNG file

Đây là kỹ thuật ẩn giấu thông tin (Steganography), là một trong số những kỹ thuật được những hacker sử dụng như là công cụ để hỗ trợ việc lừa người dùng nhằm thực thi, lây nhiễm mã độc. Những đoạn mã độc hại này không chỉ được ngụy trang, ẩn giấu trong những bức ảnh.

Khi sử dụng kỹ thuật này, người dùng khó có thể nhìn và phát hiện việc có tồn tại mã độc trong những bức ảnh này bằng mắt thường. Với kỹ thuật này, kẻ xấu sẽ thực hiện ẩn giấu, hay nhúng các đoạn mã độc hại vào bên trong những bức ảnh bình thường. Thông điệp ban đầu và đoạn mã đọc sẽ được đưa vào bộ mã hóa (Encoder) để thực hiện nhúng và cho ra thông điệp mà nếu chỉ quan sát bình thường sẽ thấy nó giống y hệt thông điệp ban đầu. Chỉ khi thực hiện giải mã (cho qua bộ Decoder) mới có thể tách phần thông điệp và đoạn mã độc ra riêng.

Thường kỹ thuật ẩn giấu thông tin (Steganography) này khi kết hợp sử dụng cùng các phương thức mật mã có thể được dùng để truyền tải, ẩn giấu, trao đổi những thông tin bí mật tránh việc bị đánh cắp, lộ thông tin trong các lĩnh vực yêu cầu độ an toàn cao (quân sự, quốc phòng…), trong các cuộc chiến tranh. Trong các lĩnh vực sở hữu trí tuệ, phương pháp này cũng được xem như một cơ chế hoàn hảo để chống gian lận, giả mạo, lạm dụng bản quyền khi có thể nhúng chữ ký vào trong sản phẩm. Ngày này, khi công nghệ ngày càng phát triển, thì kỹ thuật này cũng được lợi dụng cho những mục đích xấu. Kẻ xấu thực hiện nhúng, che giấu sự có mặt của các mã độc để có thể thực hiện các hành vi đánh cắp thông tin, phá hoại khi người dùng click xem những hình ảnh đã được ẩn mã độc đó.