Tài liệu Bảo mật mạng - Chương 8: System Hacking - Phạm Thanh Tân

sb đó. Để làm được điều này thì một hacker phải có 
quyền truy cập vật lý vào hệ thống. 
Keylogger cứng thường được cài ở các điềm internet công cộng 
có ý đồ xấu. Do đó khi truy cập net tại nơi công cộng, bạn 
nên quan sát kỹ lưỡng các thiết bị bất thường được cấm vào 
máy tính. 
Hacking Tools 
Spector là phần mềm gián điệp ghi lại mọi điều từ hệ thống nào đó trên mạng Internet, 
giống như một camera giám sát tự động. Spector có hàng trăm bức ảnh chụp mỗi giờ của 
bất cứ thứ gì trên màn hình máy tính và lưu những bức ảnh chụp ở một vị trí ẩn trên ổ đĩa 
cứng của hệ thống. Spector có thể được phát hiện và loại bỏ bở phần mềm chống Spector. 
eBlaster là phần mềm gián điệp internet để chụp các email gửi đến và gửi đi, và ngay lập 
tức chuyển chúng đến một địa chỉ email. Eblaster cũng có thể chụp cả hai mặt của một 
cuộc hội thoại nhắn tin tức thời (Instant Messenger), thực hiện tổ hợp phím đăng nhập và 
các trang web truy cập thường xuyên. 
Spyanywhere là một công cụ cho phép bạn xem các hoạt động hệ thống và hành động của 
người sử dụng, tắt/khởi động lại máy, khóa/đóng băng, và ngay cả trình duyệt gỡ bỏ tập tin 
hệ thống. Spyanywhere cho phép bạn kiểm soát chương trình mở và đóng cửa sổ trên hệ 
thống từ xa và xem lịch sử internet và các thông tin liên quan. 
Kkeylogger là một phần mềm gián điệp hiệu suất cao, trình điều khiển thiết bị ảo, chạy 
âm thầm ở mức thấp nhất của hệ điều hành Windows 95/98/ME. Tất cả các tổ hợp phím 
được ghi lại trong một tập tin. 
Email keylogger là phần mềm ghi lại tất cả các email được gửi và nhận trên một hệ thống. 
Mục tiêu các hacker là có thể xem người gửi, người nhận, chủ đề, và thời gian/ngày. nội 
dung email và bất kỳ file đính kèm cũng được ghi lại. 
Phần 4: Hiding Files 
Một hacker có thể muốn che dấu các tập tin trên một hệ thống, để ngăn chặn bị phát hiện, 
sau đó có thể được dùng để khởi động một cuộc tấn công khác trên hệ thống. Có hai cách 
để ẩn các tập tin trong Windows. 
Đầu tiên là sử dụng lệnh attrib. Để ẩn một tập tin với lệnh attrib, gõ như sau tại dấu nhắc 
lệnh: 
attrib +h [file/directory] 
Cách thứ hai để ẩn một tập tin trong Windows là với luồng dữ liệu xen kẽ NTFS (alternate 
data streaming - ADS). 
1. NTFS File Streaming 
NTFS sử dụng bởi Windows NT, 2000, và XP có một tính năng gọi là ADS cho phép dữ 
liệu được lưu trữ trong các tập tin liên kết ẩn một cách bình thường, có thể nhìn thấy được 
tập tin. Streams không giới hạn về kích thước, hơn nữa một stream có thể liên kết đến một 
file bình thường. 
Để tạo và kiểm tra NTFS file stream, ta thực hiện các bước sau: 
1. Tại dòng lệnh, nhập vào notepad test.txt 
2. Đặt một số dữ liệu trong tập tin, lưu tập tin, và đóng notepad 
3. Tại dòng lệnh, nhập dir test.txt và lưu ý kích thước tập tin 
4. Tại dòng lệnh, nhập vào notepad test.txt:hidden.txt thay đổi một số nội dung vào 
Notepad, lưu các tập tin, và đóng nó lại. 
5. Kiểm tra kích thước tập tin lại (giống như ở bước 3). 
6. Mở lại test.txt. bạn chỉ nhìn thấy những dữ liệu ban đầu. 
7. Nhập type test.txt:hidden.txt tại dòng lệnh một thông báo lỗi được hiển thị. “The 
filename, directory name, or volume label syntax is incorrect.” 
Hacking Tools 
Makestrm.exe là một tiện ích chuyển dữ liệu từ một tập tin vào một tập tin liên kết ADS 
và thay thế liên kết với các tập tin ban đầu. 
NTFS File Streaming Countermeasures 
Để xóa một stream file, đầu tiên là copy nó đến phân vùng FAT, và sau đó cpoy nó trởvào phân 
vùng NTFS. 
Stream bị mất khi tập tin được chuyển đến phân vùng FAT, vì nó có một tính năng của phân vùng 
NTFS và do đó chỉ tồn tại trên một phân vùng NTFS. 
Countermeasure Tools 
Bạn có thể sử dụng LNS.exe để phát hiện ra Stream. LNS báo cáo sự tồn tại và vị trí của những 
file chứa dữ liệu stream. 
2. Steganography Technologies 
Steganography là quá trình giấu dữ liệu trong các loại dữ liệu khác như hình ảnh hay tập 
tin văn bản. 
Các phương pháp phổ biến nhất của dữ liệu ẩn trong các tập tin là sử dụng hình ảnh đồ họa 
như là nơi để cất giấu. Kẻ tấn công có thể nhúng các thông tin trong một tập tin hình ảnh 
bằng cách sử dụng steganography. Các hacker có thể ẩn các chỉ dẫn thực hiện một quả 
bom, số bí mật của tài khoản ngân hàng... Hành động bất kỳ có thể được ẩn trong hình ảnh. 
Đối với file hình ảnh JGP, có một thuật toán gọi là Disrete 
Sosine Transform (DCT) để mã hóa, nén thêm dữ liệu ẩn vào 
trong file. Thuật toán này tính bằng công thức như sau: 
Hacking Tools 
1. Imagehide là một chương trình steganography, nó giấu số lượng lớn văn bản trong 
hình ảnh. Ngay cả sau khi thêm dữ liệu,vẫn không có sự gia tăng kích thước hình 
ảnh, hình ảnh trông giống như trong một chương trình đồ họa bình thường. Nó nạp 
và lưu các tập tin và do đó là có thể tránh được nghe lén. 
2. Blindside là một ứng dụng steganography mà giấu thông tin bên trong ảnh BMP 
(bitmap). Đó là một tiện ích dòng lệnh. 
3. MP3stego giấu thông tin trong file mp3 trong quá trình nén. Dữ liệu được nén, mã 
hóa, và chúng ẩn trong các dòng bit MP3. 
4. Snow là một chương trình whitespace steganography có nghĩa là che giấu thông 
điệp trong ASCII text, bằng cách phụ thêm các khoảng trắng ở cuối file. Vì spaces 
and tabs không thể nhìn thấy ở người xem văn bản. Nếu được sử dụng một thuật 
toán mã hóa, tin nhắn không thể đọc ngay cả khi nó bị phát hiện. 
5. Camera/shy làm việc với Window và trình duyệt Internet Explorer, cho phép người 
dùng chia sẻ tìm kiểm hoặc thông tin nhạy cảm được lưu giữ trong một hình ảnh 
GIF thường. 
6. Stealth là một công cụ lọc, cho các tập tin PGP. Nó loại bỏ thông tin nhận dạng từ 
tiêu đề, sau đó các tập tin có thể được sử dụng cho steganography. 
Chống lại Steganography 
Steganography có thể được phát hiện bởi một số chương trình, mặc dù làm như vậy là khó 
khăn. Bướcđầu tiên trong việc phát hiện là để xác định vị trí các tập tin với các văn bản ẩn, 
có thể được thực hiện bằng cách phân tích các mẫu trong các hình ảnh và thay đổi bảng 
màu. 
Countermeasure Tools 
Stegdetect là một công cụ tự động để phát hiện nội dung steganographic trong hình ảnh. 
Dskprobe là một công cụ trên đĩa CD cài đặt Windows 2000. Nó là quét đĩa cứng ở cấp 
độ thấp có thể phát hiện steganography. 
Phần 5: Cover Your Tracks & Erase 
Evidence 
Cover Your Tracks & Erase Evidence: Che dấu thông tin và xóa bỏ dấu vết 
Một khi kẻ xâm nhập thành công, đã đạt được quyền truy cập quản trị viên trên một hệ 
thống, cố gắng để che dấu vết của chúng để ngăn chặn bị phát hiện. Một hacker cũng có 
thể cố gắng để loại bỏ các bằng chứng hoặc các hoạt động của họ trên hệ thống, để ngăn 
ngừa truy tìm danh tính hoặc vị trí của cơ quan hacker. Xóa bất kỳ thông báo lỗi hoặc các 
sự kiện an ninh đã được lưu lại, để tránh phát hiện. 
Trong các phần sau đây, chúng tôi sẽ xem xét việc vô hiệu hóa kiểm toán (auditing) và xóa 
bỏ các bản ghi sự kiện (event log), đó là hai phương pháp được sử dụng bởi hacker để bao 
bọc dấu vết và tránh bị phát hiện. 
Auditing là tính năng ghi lại Event Log. Windows Event Viewer 
là chương trình dùng để quản lý Auditing trên windows. 
1. Vô hiệu hóa Auditing 
Những việc làm đầu tiên của kẻ xâm nhập sau khi giành được quyền quản trị là vô hiệu 
hóa auditing. Auditing trong Windows ghi lại tất cả các sự kiện nhất định Windows Event 
Viewer. Sự kiện có thể bao gồm đăng nhập vào hệ thống, một ứng dụng, hoặc một sự kiện. 
Một quản trị viên có thể chọn mức độ ghi nhật ký trên hệ thống. Hacker cần xác định mức 
độ ghi nhật ký để xem liệu họ cần làm gì để xóa những dấu vết trên hệ thống. 
Hacking tools 
auditPol là một công cụ có trong bộ Win NT dành cho các quản trị tài nguyên hệ thống. 
Công cụ này có thể vô hiệu hóa hoặc kích hoạt tính năng kiểm toán từ cửa sổ dòng lệnh. 
Nó cũng có thể được sử dụng để xác định mức độ ghi nhật ký được thực hiện bởi một quản 
trị viên hệ thống. 
2. Xóa Nhật Ký Xự Kiện 
Những kẻ xâm nhập có thể dễ dàng xóa bỏ các bản ghi bảo mật trong Windows Event 
Viewer. Một bản ghi sự kiện có chứa một hoặc một vài sự kiện là đáng ngờ bởi vì nó thường 
cho thấy rằng các sự kiện khác đã bị xóa. Vẫn còn cần thiết để xóa các bản ghi sự kiện sau 
khi tắt Auditing, bởi vì sử dụng công cụ AuditPol thì vẫn còn sự kiện ghi nhận việc tắt tính 
năng Auditing. 
Hacking Tools 
Một số công dụ để xóa các bản ghi sự kiện, hoặc một hacker có thể thực hiện bằng tay 
trong Windows Event Viewer. 
Tiện ích elsave.exe là một công cụ đơn giản để xóa các bản ghi sự kiện. 
Winzapper là một công cụ mà một kẻ tấn công có thể sử dụng để xóa các bản ghi sự kiện, 
chọn lọc từ các cửa sổ đăng nhập bảo mật trong năm 2000. Winzapper cũng đảm bảo rằng 
không có sự kiện bảo mật sẽ được lưu lại trong khi chương trình đang chạy. 
Evidence Eliminator là một trình xóa dữ liệu trên máy tính Windows. Nó ngăn ngừa 
không cho dữ liệu trở thành file ẩn vĩnh viễn trên hệ thống. Nó làm sạch thùng rác, bộ nhớ 
cache internet, hệ thống tập tin, thư mục temp Evidence Eliminator cũng có thể được 
hacker sử dụng để loại bỏ các bằng chứng từ một hệ thống sau khi tấn công. 
Tổng Kết 
Hiểu được tầm quan trọng của bảo mật mật khẩu. Thực hiện thay đổi mật khẩu trong 
khoảng thời gian nào đó, mật khẩu như thế nào là mạnh, và các biện pháp bảo mật khác là 
rất quan trọng đối với an ninh mạng. 
Biết các loại tấn công mật khẩu khác nhau. Passive online bao gồm sniffing, man-in-the-
middle, và replay. Active online bao gồm đoán mật khẩu tự động. Offline attacks bao gồm 
dictionary, hybrid, và brute force. Nonelectronic bao gồm surfing, keyboard sniffing, và 
social engineering. 
Biết làm thế nào để có bằng chứng về activite hacking là loại bỏ bởi những kẻ tấn công. 
Xoá bản ghi sự kiện và vô hiệu hoá phương pháp kiểm tra của những kẻ tấn công sử dụng 
để che dấu vết của chúng. 
Nhận ra rằng các tập tin ẩn là phương tiện được sử dụng để lấy ra những thông tin nhạy 
cảm. Steganography, NTFS File, và các lệnh attrib là những cách tin tặc có thể ẩn và ăn 
cắp các tập tin.