===================
Công cụ: Sniff Pass
(http://www.nirsoft.net/utils/password_sniffer.html)
Công cụ này giúp ta sniff lại password được truyền đi từ máy. Qua các giao thức như:
- HTTP
- SMTP
- FTP
- .......
Ta sẽ sử dụng công cụ này để capture lại Keylogger, tìm ra kẻ đã cài Keylog vào máy. Sniff Pass sẽ giúp ta capture lại password nếu Keylog sử dụng 1 trong 2 giao thức truyền file là:
- Qua Email <<< Sniff sẽ chộp qua giao thức SMTP
- Qua FTP <<< Capture lại IP của server + password và user của hacker.
Giải thích thế đủ rồi
. Giờ ta bắt đầu nhé.Đầu tiên ta cần download và giải nén Sniff Pass ra. Ở đây mình đã download sẵn rồi.
Ta chạy file sniffpass.exe
Ok, giao diện rất đơn giản phải không
Các chức năng cũng không khó sử dụng.
Để bắt đầu Capture các thông tin được truyền đi, ta nhấn vào nút Start màu xanh (phím tắt là F5)
Tiếp theo sẽ hiện lên bảng Capture Option, ta cần chọn Capture method: thường thì cứ để mặc định của Sniff Pass đã chọn.
Ta nhấn OK luôn!
OK, đã bắt đầu.
Xem kìa, vừa start đã capture được gì kia
2 log gồm 1 giao thức FTP và 1 SMTP, như vậy là có chương trình nào đó đang truyền thông tin đi.
Ta sử dụng Process Hacker (các bạn có thể sử dụng Process Explorer) để theo dõi các tiến trình đang hoạt động xem có tiến trình nào lạ không nhé!
Ồ
, bạn có thấy icon này quen không?Biểu tượng của Perfect Keylogger X_X
Như vậy rất có khả năng ta đang bị theo dõi, và Sniff Pass đã capture được Keylog đang gửi log cho Hacker.
Giờ chúng ta sẽ tiến hành "Hack lại" Keylogger nhé
.Xem nào, ta sử dụng chức năng xuất kết quả ra HTML của Sniff Pass nhé.
Đây là report đã được xuất ra HTML, ta kiểm tra kết quả nào
Đầu tiên là FTP, Remote Address chính là IP máy chủ FTP đang nhận log. Kết nối qua cổng 21 với User: a2521131 và Pass: Test123
Giờ ta sẽ đăng nhập máy chủ FTP để Hack lại tên Hacker đang theo dõi ta nhé
.comli.com <<< tên miền đặc trưng của 1 dịch vụ cung cấp Hosting Free, đó là 000webhost.
Vậy ta vô thôi =p~
Có link đăng nhập rồi:
http://members.000webhost.com/login.php
Sử dụng info ở bên trên nhé.
Không ổn roài, vì đây là sử dụng email.
Vậy ta thử xem Email Capture được xem sao X_X
106.10.167.86 <<< IP server nhận mail, thông qua cổng 587 <<< Với user: byg_h4x0r và pass là: Test123
Ta xem đây là server của dịch vụ email nào:
IP Location: Singapore Singapore Singapore Yahoo! Sg
ASN: AS56173
Resolve Host: vcs-smyc-vn.mail.vip.sg3.yahoo.com
Nhìn như này là các bạn đoán ra rồi chứ =p~
Đây là IP của Yahoo, vậy ta vào Yahoo Mail xem X_X
Sử dụng User + Pass capture được nhé
Đã đăng nhập
. Xem có gì hot nào =p~Toàn là mail từ Keylogger gửi về
Gồm tệp đính kèm (report keylog).
OK, đã có pass thì bạn có thể đổi password Yahoo của Hacker nhé
Giờ thì ta hãy tiến hành kill Keylog và đổi hết password của ta nếu sử dụng máy nhiễm keylog.
OK, Hướng dẫn hack lại Keylogger đến đây là hết
Chúc các bạn vui vẻ
Tutorial by Juno_okyo
GhostClub's Technician TeaM
Nguồn bài viết: http://www.ghostclub.info/@/showthread.php?p=86064#post86064