Theo mình biết thì có cách này, mời các bạn xem. ai có cách hay thì post lên nhé, key log thì nó k hiển thị trong Task manager
Có nhiều loại keylog còn nguy hiểm và qua mặt được cả Kaspersky =))
* Cách tìm kiếm Keylogger có bên máy của mình hay không :
Lưu ý :đây chỉ là cách mình sử dụng tìm Keylogger qua các thí nghiệm ở trên, nếu bạn nào có cách hay hơn xin hãy nêu
lên cho các bạn tham khảo nha.
Sử dụng các lện được tích hợp sẵn trong Windows, tuy nhiên vẫn có bất tiện là chỉ áp dụng được trên Win2K, XP.
Các chương trình quét Virus, Spyware... được sử dụng thì quá tốt nhưng nếu ra ngoài chơi, liệu ở dịch đó họ có cài cho
các bạn hay không ? Các chương trình đó có được cập nhật liên tục hay không ? Hay là mỗi lần ra ngoài chơi bạn chịu khó ngồi
đợi chương trình cập nhật mới, download các chương trình trên mạng về hoặc chép vào USB rồi sử dụng ?
Tôi có thể trả lời rằng : Các cách trên đều không thể bảo vệ được bạn khỏi Keylogger hay Virus.
1. Đâu phải ai cũng có khả năng tài chính mua cho mình 1 cái USB.
2. Nếu máy mà bạn đang ngồi nhiễm Virus hay Trojan thì việc cài thêm chương trình Virus vào còn làm cho sự phát tán
nhanh hơn hơn.
3. Không lẽ mỗi lần ra ngoài chơi bạn luôn phải kè kè theo bên người cái chương trình quét Virus ưng ý nhất của mình hay sao ?
Mà chủ phòng máy liệu có cho bạn cài vào máy của họ không ? Nếu làm vậy bạn sẽ bị từ chối với lý do : máy tui có cài
Deep hoặc GoBack mà, an toàn lắm . Deep và GoBack bây giờ không còn an toàn với bạn nữa vì Keylogger đã có thể
"phá băng" và đính kèm vào đó, còn Ghost thì có vẻ được nhưng bất tiện ở chỗ không lẽ mỗi lần chơi xong lại phải "xả ghost"
bảo đảm ổ cứng của bạn sẽ viếng thăm I-care của Nguyễn Hoàng trong thời gian ngắn nhất .
Win2K và XP đã tích hợp sẵn các câu lệnh hay tại sao không khai thác nó, rất tiện dụng ở chỗ ĐI ĐÂU CŨNG CÓ SẴN.
*Cách sử dụng và mẹo sử dụng để khai thác tốt các câu lệnh :
đây mình đề cập đến 2 lệnh của Win2K, XP đó là : tasklist và taskkill
1. Tasklist : Dùng để liệt kê danh sách các ứng dụng chạy bên trong của Windows.
- Cách sử dụng : tasklist <thông số>
Để biết thêm chi tiết về thông số bạn gõ : tasklist /?
- Cách hiển thị của Tasklist :
+ Image name : Tên của ứng dụng đang chạy.
+ PID (Proccess ID) : Mã số tương ứng của ứng dụng đó.
+ Modules : Các thư viện (dll) mà ứng dụng đó sử dụng.
-Ví dụ minh họa về hiển thị tất cả các ứng dụng đang chạy :
+ câu lệnh : tasklist /m
+ Hiển thị : (Ở đây mình chỉ lấy VD về Explorer vì tập tin quá dài)
explorer*************** 1660 ntdll.dll, kernel32.dll, msvcrt.dll,
ADVAPI32.dll, RPCRT4.dll, GDI32.dll,
USER32.dll, SHLWAPI.dll, SHELL32.dll,
ole32.dll, OLEAUT32.dll, BROWSEUI.dll,....
+ Diễn giải :
. Image name : explorer***************
. PID : 1160
. Modules : ntdll.dll, kernel32.dll, msvcrt.dll .....
- Mẹo nhỏ cho tasklist :
+ Nên tắt bớt các ứng dụng nằm ở SystemTray (ở gần đồng hồ) để cho cách hiển thị ngắn lại.
+ Sử dụng lệnh : tasklist /m > clog.txt sau đó các bạn mở tập tin log.txt ở ổ C lên tham khảo cho dễ.
- Phân biệt một số ứng dụng của Windows và Keylogger trong Tasklist :
smss***************
csrss***************
winlogon***************
services***************
lsass***************
svchost***************
spoolsv***************
explorer***************
ctfmon***************
alg***************
nvsvc32***************
wmiapsrv***************
wmiprvse***************
.........
Đây là những ứng dụng khi Windows khởi động sẽ gọi lên (tùy theo mỗi máy tính khác nhau, Windows sẽ nạp nhiều hay ít), qua đó các bạn sẽ tìm được nhanh hơn những ứng dụng lạ. Hiện nay các Keylogger có thể cho phép thay đổi tên của nó hòng đánh lừa chúng ta, chẳng hạn như : bpk*************** sẽ đổi thành bbp*************** . Nếu nghi ngờ 1 ứng dụng nào đó, bạn hãy tìm ứng dụng đó (bằng
công cụ Search của Windows hay của các chương trình quản lý tập tin). Khi đã tìm ra được ứng dụng đó thì bạn hãy :
Nhấp chuột phải (Right Click) vào ứng dụng đó, chọn mục Properties, chọn Version -> Company. Nếu ở đó có ghi là Microsoft Corporation thì đây chính là ứng dụng của Windows.
2. Taskkill : Dùng để loại bỏ 1 hay nhiều ứng dụng đang chạy.
- Cách sử dụng : taskkill <thông số>
Để biết thêm chi tiết về thông số bạn gõ : taskkill /?
- Có 2 cách sử dụng lệnh taskkill :
+ Sử dụng với ứng dụng (Image name) có tên 8 ký tự :
Taskkill /f /im <tên ứng dụng>
+ Sử dụng với ứng dụng (Image name) có tên quá 8 ký tự :
Taskkill /f /fi "PID ge id" /im *
Trong đó id là PID của ứng dụng, ở ví dụ trên Explorer*************** có PID là 1660, vậy câu lệnh sẽ là :
Taskkill /f /fi "PID ge 1660" /im *
Câu lệnh này sẽ đóng tất cả các ứng dụng và Modules có liên quan đến Explorer***************
To dechbieri :
Để vào Registry bạn hãy làm như sau :
Start -> Run -> gõ Regedit
Trong Regstry sẽ có 5 từ khóa (Key) :
- HKEY_CLASS_ROOT
- HKEY_CURRENT_USER
- HKEY_LOCAL_MACHINE (Đây chính là từ khóa bạn cần tìm mà mình đã nêu ở trên)
- HKEY_USERS
- HKEY_CURRENT_CONFIG
Chúc may mắn !!
