Welcome to Holykingdom: Computers and Internet

ใครที่โดนไวรัส Hacked By Godzilla มีวิธีแก้นะครับ

Sat, 30 Dec 2006 00:02:35 GMT

ระยะนี้มีเพื่อนผมคนนึงโดนไวรัสเข้าไปครับ อาการคือไม่สามารdouble clickไดรใดๆได้เลย แถมเวลาเปิดเว็บจะข้อความ Hacked By Godzilla

วิธีแก้ไวรัส Hacked By Godzilla
Hacked By Godzilla

เป็นไวรัสตัวใหม่ที่กำลังระบาดอยู่ จัดเป็น spyware ที่ก่อกวนการทำงานมากกว่าจะทำลายข้อมูล โดยจะเป็นการติดผ่าน Handy Drive และ Floppy Disk เท่านั้น

ลักษณะอาการ
1.เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือExplore
2.มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked By Godzilla”

วิธีการแก้ไขเมื่อติดไวรัส Godzilla
1.Double Click ไอคอน My Computer ที่ Desktop เลือกเมนู Tools --> Folder Options
2.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิกเลือก Show Hidden files and folders
2)เอาเครื่องหมาย / ในช่องสี่เหลี่ยมหน้า Hide extention… และ Hide protected operating system file ออก
3)คลิก OK

3.กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด
4.ปรากฏไดอะล็อกบ็อก Windows Task Manager คลิกเลือกแท็บ Processes
1)คลิกเลือกเมนู Image Name (เพื่อ sort File)
2)คลิกเลือกไฟล์ wscript.exe ( ทีละตัว )
3)คลิกปุ่ม End Process

5.เปิดไดร์ฟ ( โดยคลิกเม้าส์ขวาเลือก Explore ห้าม Double Click ไดร์ฟ ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive และ Floppy disk ด้วย

6.เปิดโฟลเดอร์ C:\WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete )

7.ไปที่ปุ่ม Start-->Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง regedit กดปุ่ม OK
ปรากฏไดอะล็อกบ็อก Registry Edit

8.คลิกเลือก HKEY_LOCAL_MACHINE --> Software --> Current Version --> Run เพื่อลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )

9.คลิกเลือก HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main เพื่อลบไฟล์ที่ Window Title “Hacked by Godzilla” ออก (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )

10.คลิกปุ่ม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง gpedit.msc กดปุ่ม OK
ปรากฏไดอะล็อกบ็อก Group Policy
11.คลิกเลือก User Configuration --> Administrative Templates --> System --> Double Click ไฟล์ Turn Off Autoplay ปรากกฎไดอะล็อกบ็อก Turn Off Autoplay Properties
1)คลิกเลือก Enabled
2)คลิกเลือก All drives
3)คลิก OK
เพื่อป้องกันการเปิดไดร์ฟอัตโนมัติในกรณีที่นำแผ่นซีดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได้ง่ายขึ้น

12.คลิกปุ่ม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง msconfig กดปุ่ม OK
ปรากฏไดอะล็อกบ็อก System Configuration Utility คลิกแท็บ Startup
1)เอาเครื่องหมาย / ในช่องสี่เหลี่ยมหน้าไฟล์ MS32DLL ออก
2)คลิกปุ่ม Apply
3)คลิกปุ่ม OK (หรือ Close)
จะปรากฏไดอะล็อกบ็อก System Configuration เลือก Exit Without Restart

13.Double Click ไอคอน Mycomputer ที่ Desktop เลือกเมนู Tools --> Folder Options
14.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิก / ในช่องสี่เหลี่ยมหน้า Hide extention… และ Hide protected operating system file
2)คลิก OK

15. Click เม้าส์ขวาที่ไอคอน Recycle bin เพื่อเรียก Shortcut Menu เลือกคำสั่ง Empty Recycle bin เพื่อยืนยันการลบไฟล์ไวรัสออกจากเครื่องคอมพิวเตอร์อีกครั้ง

ทั้งหมดก็อบเขามาอีกทีน่ะครับ

Code จาวา การเปลี่ยนค่าintเป็นเลขฐาน2นำไปใส่intarrayครับ

Fri, 24 Nov 2006 03:57:03 GMT

เนื่องจากหมู่นี้ผมได้รับโปรเจ็คจาวามาชิ้นนึง ซึ่งมีการทำtextหรือintให้เป็นเลขฐาน2 ผมได้ลองหาโค้ดอยู่นานพอสมควรก็หาไม่ได้(ใครอาจจะมีโค้ดแล้วก็เป็นได้นะครับ) ผมเลยทำขึ้นมาเอง โดยนำค่าที่ได้นำไปใส่ int array

หลักการคือสมมุติค่าintขึ้นมาเช่น 78 การที่เราจะเปลี่ยนเป็นเลขฐาน2นั้นจะต้องนำ(2ยกกำลังx) มาเทียบกับ 78 ถ้า(2ยกกำลังx)มากกว่า78ก็นำ0ไปใส่ใน array แต่ถ้าน้อยกว่าหรือเท่ากันก็นำ 1 ไปใส่ใน array นะครับ

โดยโค้ดคือ

class t2 {
public static void main(String args[]) {
  char c[] = {'H', 'e', 'l', 'l', 'o'};
  String s = new String(c);
//เปลี่ยนจากcharเป็นint/////////////////////////////////////////////////
  int kb = c[1] ;
  int km = c[2] ;
//เปลี่ยนจากintเป็นint arrayเก็บเลขฐาน2//////////////////////////////////
  int temp = km;
  int D[] = new int[8];
  for (int i=0;i<7 ;i++ )//index0-7
  { int ex = 1;
  ///วนลูป2ยกกำลังj
   for (int j=0;j < 6-i;j++ )
   {
    ex = ex*2 ;
   }
   if (temp < ex)
   {
    D[i] = 0;
   }
   if (temp>=ex)
   {
    temp = temp - ex;
    D[i] = 1;
   }
////ดูค่าtempในแต่ละรอบ
  System.out.println(temp);
  }

//เปลี่ยนจากintarrayเก็บเลขฐาน2เป็นint///////////////////////////////////
  int temp2 = 0;
  for (int i=0;i<7 ;i++ )
  { int ex = 1;
   for (int j=0;j < 6-i;j++ )
   {
    ex = ex*2 ;
   }
   if (D[i] ==1)
   {
    temp2 = temp2 + ex;
   }

}

//ทดสอบดูค่า
//นำintที่ได้มาเรียงเป็นstring
  StringBuffer Data= new StringBuffer();
    for (int j=0;j<8 ;j++ )
    { String ou = Integer.toString(D[j]);
     Data.append(ou) ;
    }
  System.out.println(Data);
////////////////
  System.out.println(kb);
  System.out.println(temp2);
  System.out.println(km);
}
}

นำโค้ดข้างบนไปเซฟชื่อเป็น t2.java แล้วrunด้วยeditplusก็ได้นะครับ อ้อแล้วตอนแปลงจากมีเพียงจากเลขฐาน2กลับเป็นintเท่านั้น ส่วนเป็นstringนั้นยังไม่สมบูรณ์นะครับต้องเขียนต่ออีกนิด

วิธีการถอดรหัสwepเบื้องต้นนะครับ

Sun, 19 Nov 2006 12:44:10 GMT

ขอบอกว่าเป็นเทคนิคคร่าวๆเพื่อให้ทราบว่ามันถอดรหัสได้ง่ายขนาดไหนนะครับไม่แนะทำให้ลองทำจริงนะครับ โปรแกรมที่ใช้คือ Auditor Security Collection มี

1. airodump ใช้สแกนเครือข่ายครับ พวกที่ซ่อนไว้ก็จะหาเจอเกือบหมดครับ

2. void11 ใช้ De-Authenticate เครือข่ายเป้าหมาย

3. aireplay เอา arp จากvoid11ไปใช้ปลอมเป็นลูกข่าย

4. aircrack นำข้อมูลที่ได้จาก airodumpไปถอดรหัส

ซึ่งเป็นโปรแกรมที่จะต้องใช้ linux เป็นosนะครับดังนั้นเราจะต้องทำแผ่นlinux live on cd โดยมีโปรแกรมAuditor Security Collectionอยู่ด้วยครับ

step by step

1. พอบูตเสร็จเข้าที่airodumpเราจะดักจับข้อมูลของเป้าหมาย โดยข้อมูลที่ดักจับมาจะมีชื่อว่า cap1 โดยจะไปที่shell หรือ command promptแล้วพิมพ์ airodump แล้วenter

2. เราจะเห็น mac addressของเป้าหมาย เช่น cap1 00:a0:c5:90:40:df จากนั้นก็ปล่อยให้มันรันไปเรื่อยๆ ข้อมูลมันก็จะโตๆไปเรื่อยๆ จนIV count ประมาณ150000สำหรับ64บิต แต่ถ้าเป็น128จะประมาณ500000ครับ พอได้เสร็จก็กด ctrol-cเพื่อให้มันหยุด ส่วนเวลานั้นก็ขึ้นอยู่กับว่าเป้าหมายจะใช้งานถี่แค่ไหน ถ้าใช้น้อยก็จะดักได้ช้าแต่ถ้าใช้งานมาก ก็จะดักได้เร็วครับ

3. ทำDe-authentication โดย void11ในกรณีนี้ถ้าให้รอให้เป้าหมายใช้งานเครือข่ายอาจจะไม่ทันกิน ดังนั้นเราจะจำลองอีกเครื่องขึ้นมาโจมตีครับ โดยอาจจะใช้เครื่องอีกเครื่องบูตแผ่น Auditor-2ขั้นมา (อีกตัวน่ะครับไม่ใช่Auditor อีกเวอร์ชั่น)พอบูตเสร็จก็เข้าshell หรือ command พิมพ์

switch-to-hostap

cardctl ejectcardctl insert

iwconfig wlan0 channel CHANNELNUM

iwpriv wlan0 hostapd 1

iwconfig wlan0 mode master

void11_penetration -D -s MACSTATION -B MACAP wlan0

โดย CHANNELNUM คือช่องสัญญาณที่ใช้ MACSTATIONคือmacของพวก accesspointเป้าหมาย MACAP คือmacของอุปกรณ์หรือการ์ดของเป้าหมาย โดยจะหาได้จาก โปรแกรม Kismet ซึ่งผมจะไม่ขอกล่าวถึงนะ ใครอยากทราบก็หาวิธีเองครับ

หลักการใช้งานนะครับ เราจะให้ Auditor-1เป็นตัวดักpacket ส่วน Auditor-2 จะโจมตีลูกข่ายให้เครื่องcilentที่เราโจมตีนั้นหลุดบ่อยๆ

4.ใช้airplayโดยจะมี2หน้าที่หลัก

- ดักจับpacket

- ส่งข้อมูลร้องขอการเชื่อมต่อไปที่accesspoint หลอกว่าตัวเองเป็นเครื่อง cilentเป้าหมาย

โดย Auditor-1 อาจจะรัน void11,airdump or aircrack และ Auditor-2 รัน airplay ซึ่งเราสามารถมอนิเตอร์โดยเข้าshell หรือ command พิมพ์

switch-towlanng

cardctl eject

cardctl insert

monitor.wlan wanl0 CHANNELNUM

โดย CHANNELNUM คือช่องสัญญาณ wanl0 คือการ์ดแลนที่ใช้

จากนั้นไปที่ ramdisk โดนพิมพ์

cd /ramdisk

aireplay -i wlan0 -b MACAP -m 68 -n 68 -d ff:ff:ff:ff:ff:ff

โดย MACAP คือmacของอุปกรณ์หรือการ์ดของเป้าหมาย ส่วน68นั้นคือขนาดของข้อมูล 68 ไบต์นั่นเอง

รอจนมันหยุด ก็จะเราให้เรากดyก็จะบันทึกข้อมูล ถ้าnก็จะรันใหม่จนกว่าจะได้ข้อมูลที่เราต้องการ

5.การใช้aircrack ถอดรหัสโดยเข้าไปที่ ramdisk พิมพ์

aircrack -f FACTOR -m MACAP -n BIT -q 3 cap*.cap

โดยที่ FACTOR คือ2 MACAP คือmacของอุปกรณ์หรือการ์ดของเป้าหมาย BIT คือเข้ารหัส 64 หรือ128บิต

จากนั้นโปรแกรม aircrack จะทำงาน จนพบ key มันก็จะรายงาน KEY FOUND (..............)

เสร็จแล้วครับ ในกรณี64นั้นสามารถถอดรหัสได้ภายใน5นาที ส่วนถ้า128สามารถถอดได้ภายใน10นาที

สรุปแล้วwepนั้นเป็นการเข้ารหัสที่ไม่ดีเอาเสียเลยครับ สามารถถอดรหัสได้ภายใน30นาที(สำหรับผมนะ กะไว้เผื่อๆอิอิ) ดังนั้นเวลากำหนด security ให้ใช้ wpaหรือwpa2จะดีกว่าครับ แล้วถ้าwpaสามารถถอดได้เมื่อไหร่จะมานำเสนอวิธีถอดรหัสอีกครับ

วีธีการเซ็ตค่าwirelessของ smcwbra2+

Sun, 19 Nov 2006 03:42:41 GMT

การเซ็ทค่าการใช้wirelessของ smcwbra2+ เบื้องต้นโดยใช้ DHCP

ผมจะข้ามการเซ็ตของการเชื่อมต่อadslไปนะครับ เพราะการเซ็ตadslใช้ setupwizardจะค่อนข้างง่าย ก่อนอื่นให้เซ็ตเปลี่ยนpasswordก่อนนะครับ เพราะถ้าdefaultแล้วจะไม่ปลอดภัยครับ

1. ของ smc นั้นจะเซ็ตค่าผ่านlanจะดีกว่านะครับ เราข้ามมาหัวข้อwirelessเลยเซ็ตให้เป็น enableครับ

2. หัวข้อ channel and ssid

2.1 โดยdefaultมันจะตั้งให้ssidเป็นชื่อsmcควรเปลี่ยนเป็นชื่ออื่นนะครับเพื่อความปลอดภัย

2.2 ssid boardcast ให้เซ็ตเป็นdisableนะครับ มันจะซ่อนเครือข่ายของเราไว้

2.3 ในส่วนwireless mode ก็ให้เลือกว่าจะเป็นแบบbหรือแบบg ซึ่ง bจะเชื่อมต่อได้11mbส่วนgจะใช้ได้54mbให้เซ็ตb+gเพื่อให้มันปรับเองตามการ์ดน่ะครับ

2.4 channelก็ไม่มีไรมาก ถ้าเกิดการชนกันของเครือข่ายอื่น ก็เปลี่ยนให้เป็นchannelอื่นซึ่งในที่นี้มี13ช่องให้เลือกครับ

3. Acces Control

3.1 enable mac filtering เซ็ตให้เป็นenableคือมันจะให้มีการกรองmac addressที่สามารถจะเชื่อมกับเครือข่ายได้

3.2 Acces Rule ฯ โดยปกติจะเซ็ตเป็นdenyครับ แต่ถ้าจะมีเครื่องมาเชื่อมให้เซ็ตเป็น allowมันจะยอมให้เครื่องที่อยู่ใกล้ทั้งหมดต่อเข้ามาได้แล้วมันจะดึงค่าMAC address เครื่องนั้นครับลงมาในช่อง ในกรณีนี้มันจะให้ค่า 192.168.2.102 แล้วให้copyลงในMac filter tableด้านล่าง ให้เลือกว่าจะให้ลงช่องไหนด้วยนะครับ พอเสร็จให้เซ็ตเป็น denyไว้นะครับมันจะอนุญาตให้MAC addressใน tableเท่านั้นเชื่อมต่อกับเครือข่ายได้ อ้างอิง helpดังนี้นะครับ

Advanced Setup | Wireless | Access Control
Access Control provides Connection Control function to allow the Administrator to control access to the Access Point from wireless clients based on their MAC addresses. When enabled, there are two policies for controlling the MAC addresses. "Allow" policy means all wireless clients are denied to access the Access Point unless specified in the MAC address table. "Deny" policy means all wireless clients are allowed to access the Access Point except ones specified in the MAC address table. This security feature supports up to 32 wirerless clients.

กรณีถ้าไม่ใช่ของ smc เช่นd-link เราจะต้องไปจดค่าMAC addressของwirelessการ์ดต่างๆจากในเครื่องเราเอง โดยเข้าไปในdos ซึ่งผมจะไม่พูดถึง

4. ในส่วนของ security มีหัวข้อย่อยมากหน่อยดูรูปแรกเลยครับ ในที่นี้ผมจะบังคับให้มันใช้wpaนะครับ ซึ่งผมว่าค่อนข้างปลอดภัยกว่า wep เพราะผมสามารถถอดรหัสwepได้ภายในครึ่งชั่วโมงเนื่องจากสามารถหาโปรดแกรมถอดรหัสได้ง่ายๆเลยครับ เพียงแค่มีตัว wireles adapterตัวเดียวก็สามารถถอดได้แล้วละครับ

4.1 ในเมื่อจะเราจะใช้wpaผมเลยข้าม wep ไปเลยนะครับ หัวข้อwpamodeนั้นผมแนะนำให้เซ็ต wpa2ครับซึ่งจะปลอดภัยที่สุด แล้วก็ใส่pre share keyเข้าไปนะครับ ส่วนหัวข้ออื่นนั้นไม่อยากเซ็ตครับ เพราะถ้าเซ็ตแล้วจะต้องไปเซ็ตในการ์ดwirelessด้วย

4.2 802.1xเป็นการเซ็ตวิธี authentication ตรวจสอบลูกค่ายน่ะ โดยจะมีพวกTimeOut และเซ็ตพอร์ตของ access point ซึ่ง ไม่ต้องเซ็ตอะไรครับ

5. ในหัวข้อ wds ให้เซ็ตเป็นdisableนะครับ wds มันก็คือ repeaterนั่นเอง ตั้งชื่อให้งงเล่นนะครับ วิธีการเซ็ตโดยละเอียดจะข้ามไปนะครับ แต่โดยทั่วๆไปจะให้ตัวนึงเป็นตัว repeat อีกตัวเป็นตัวรับอย่าเซ็ตเป็น repeatทั้งคู่นะครับมันจะตีกัน

6. advanced setting จะเป็นการเซ็ตตัวเราเตอร์เองน่ะครับเช่นจะให้มีการเช็คเครื่องต่างๆกี่ครั้ง เป็นเวลาเท่าใด -ไม่ต้องเซ็ตอะไรครับ

เสร็จแล้วก็ให้เซฟแล้วรอสักพักก็จะใช้งานได้และครับ

ในส่วนของcilentก็เซ็ตค่าต่างๆในtcp/ipให้เป็น autoให้หมดละครับ