ไม่ได้เข้ามาอัพเดดเลยครับพอดีมาสุพรรณบุรีจะสามอาทิตย์แล้ว วันนี้ว่างเลยถือโอกาสอัพเดดสักหน่อย วันนี้ก็เป็นเรื่อง (Covering) หรือการปิดบังอำพราง จะอำพรางแบบไหนไม่ให้ user จับเราได้ว่าเราแอบเข้ามา หรือไม่ให้ admin รู้ว่าเราเป็นใครมาจากไหนเข้ามาทำไม ก็จะมาสอนพื่นฐานกันก่อนนะครับ
ในหัวข้อนี้ ไม่ได้มีอะไรมากเลยครับ จะเปรียบเทียบบางอย่างให้คุณฟังก่อนนะครับ ถ้าคุณไปย่องเบาที่บ้านใครก็ตาม เวลาเสร็จงานโจรกรรมต่างๆแล้วก็ต้องมีการทำลายหลักฐาน จริงมั้ยครับ การที่จะ Hack เครื่องใดๆก็ตามแต่ สำหรับผู้ที่ชำนาญแล้ว มักจะต้องลบร่องรอยต่างๆที่ได้กระทำเอาไว้ (หรือลบไฟล์ข้อมูลเหยื่อด้วย หรือป่าว! อย่าเชียวน๊า อย่าไปแกล้งเค้า) คุณแค่ลบไฟล์ ที่เป็นไฟล์ log ที่เก็บข้อมูลต่างๆเท่านั้นก็เพียงพอแล้ว และไฟล์ที่คุณได้ส่งเข้าไป หรือสร้างขึ้นมาบนเครื่องเหยื่อ ถ้ามันหมดประโยชน์แล้วก็ควรกำจัดทิ้งไปด้วย
นอกเรื่องอีกนิด
จากประสบการณ์ผม ที่เคยเจาะตามเครื่องต่างๆ รวมถึงบางเว็บไซด์ ผมจะส่งเมล์หรือเซฟ text file เอาไว้ที่เครื่องเหยื่อว่า เครื่องคุณมีช่องโหว่ นี่ไงหลักฐานว่าผมได้บุกเข้ามาในเครื่องคุณได้แล้ว และทิ้งเมล์ให้เค้าติดต่อกลับมา เชื่อมั้ย ไม่มีคนตอบกลับมาซักคนเลยอ่า เราก็อุตสาห์เป็นคนดีมีจรรยาบรรณ มันเสือกดันไม่สนใจซะนี่ แย่เจงๆ พักหลังๆผมเลยเอาโปรแกรม remote ไปลงซะเลย คิกๆ ปรากฏว่า "วันๆมานเล่นแต่เกมส์ โอ้ววว... อนาคตเด็กไทย" แต่ดีนะไม่มีรูปโป้ ไม่งั้นเสร็จผม มานสนแต่เกมส์ บ้าเจง ไม่เห็นเหมือนเราเลย คิกๆ
โปรแกรมที่ผมเคยใช้เล่นกันอยู่บ่อยก็คือโปรแกรม Cleareventlog.exe ซึ่งโปรแกรมนี้จะคอยลบไฟล์ต่างๆใน log ให้หมดสิ้นไป ส่วนโปรแกรมอื่นคุณลองหาจากใน Internet จาก google เองนะครับ การค้นหาก็คงไม่ยากเย็นอะไร
สรุป
-ไฟล์ต่างๆที่คุณได้ส่งไปรันที่เครื่งอเหยื่อนั้น เช่นไฟล์ server ต่างๆไม่ว่าจะเป็นของ Backdoor Trojan Remote ต่างๆ การปิดบังที่ดีที่สุดคือ เปลี่ยนชื่อไฟล์เหล่านั้นให้เป็นชื่อคล้ายๆกับไฟล์ระบบ เช่น nodepad.exe หรือ NTsys.exe เพื่อให้เหยื่อเห็นแล้วไม่กล้าที่จะลบ
-ไฟล์บางไฟล์เช่นไฟล์ที่เป็นตัวติดตั้งโปรแกรมเช่น bat file ที่คุณสร้างมาเพื่อติดตั้ง Backdoor Trojan Remote ต่างๆ ให้คุณทำการลบทิ้งด้วย หรือเพิ่มคำสั่งให้มันมีการลบตัวเอง
-หาโปรแกรมต่างๆที่กำจัด log ไฟล์ต่างๆ (โปรแกรมประเภทที่ไม่จำเป็นต้องติดตั้งที่เครื่องเหยื่อ) ที่สามารถรันได้เลยจะยิ่งดี เพราะมันจะทำการเคลียร์ ลบ หลักฐานต่างๆที่เราเข้าไปเจาะ ซึ่งบางทีมันอาจเก็บค่า IP รวมไปถึงการกระทำต่างๆ และเวลา ที่คุณได้กระทำเอาไว้
-อันนี้อาจไม่เกี่ยวซักเท่าไหร่ "คุณอย่าเที่ยวไปเป่าประกาศตามเว็บบอร์ดหรือในหน่วยงาน ว่าฉ้านก็เป็น Hacker" เพราะ เมื่อเกิดเหตุการณ์ต่างๆที่ เป็นการเข้าข่ายโจรกรรมทางข้อมูลต่างๆในหน่วยงานคุณเอง หรือที่ไหนๆก็ตาม คุณนั่นแหละเป็นคนแรกที่จะซวย นิ่งไว้
ไม่มีความคิดเห็น:
แสดงความคิดเห็น