1. Trang chủ
  2. » Công Nghệ Thông Tin

tìm và diệt virus

64 302 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 64
Dung lượng 3,13 MB

Nội dung

Bài giảng Tìm và diệt virus 1. Cách tìm tiến trình chạy, virus sử dụng câu lệnh trong cmd * Tất cả các file đuôi ẩn *.exe, *.dll, *.bat, *.txt, *.vbs, *.js nằm trong C:\windows, c:\windows\system32, c:\windows\system đều là virus hoặc chương trình độc hại. Khi muốn kiểm tra các thuộc tính ẩn nên kiểm tra ở các thư mục windows, system32, system, drivers trong ổ c:\ . Và tìm các file ẩn ở các ổ D , E , F cứ bem thẳng tay ko phải sợ ^^ * Bây giờ virus thường chạy cùng một lúc nhiều tiến trình Ta có thể tắt cùng một lúc nhiều tiến trình hoặc là dừng một tiến trình của nó rồi tắt từng tiến trình một a. sử dụng lệnh dir để xem file lệnh dir /ah dùng để xem tất cả những file ẩn b. sử dụng lệnh tasklist để xem tiến trình đang chạy * Nếu dùng nguyên lệnh tasklist thì để xem tiến trình đang chạy * Còn nếu muốn xem chi tiết các dịch vụ(services) chạy cùng tiến trình đó Ta dùng lệnh tasklist /svc Nếu có mấy tiến trình cùng tên nhau muốn xem rõ có những dịch vụ j chạy cùng ta dùng lệnh tasklist /svc /fi “imagename eq tên tiến trình” Vidu: tasklist /svc /fi “imagename eq svchost.exe” c. sử dụng lệnh taskkill để tắt tiến trình đang chạy * lệnh taskkill /f /pid để tắt tiến trình khi biết chỉ số PID của nó vidu: như bên trên tasklist PID của explorer là 768, ta tắt explorer.exe taskkill /f /pid 768 • muốn tắt nhiều tiến trình cùng một lúc ta chỉ việc thêm pid, hoặc thêm tên tiến trình taskkill /f /pid id1 /pid id2 /pid id3… taskkill /f /im tientrinh1 /im tientrinh2… vidu: d. sử dụng lệnh del để xóa các file Muốn xóa 1 file có thuộc tính ẩn, siêu ẩn ta dùng lệnh del /a /f Vidụ: ở dưới ta thấy có file he.txt là ẩn ta dùng lệnh del /a /f he.txt để xóa 2. Ngăn chặn file chạy sử dụng gpedit.msc khi đã nhiễm virus ta chỉ có thể ngăn chặn việc khởi chạy của chúng bằng cách chạy gpedit.msc để ngăn cản không cho tiến trình đó chạy là ok vào Run  gõ Gpedit.msc computer configuration  windows settings  security settings software restrictions policies chuột phải vào software restrictions policies chọn creat new policies chọn additional rules chuột phải chọn new hash rules -> rồi browse đến chương trình mình cần chặn ko cho khởi chạy vidụ: ở đây tôi chặn chương trình regedit.exe(not virus). Nếu là virus bạn phải tìm tới tận gốc của nó, tức nơi mà chương trình đang thực thi Bây giờ thử mở regedit ko thể đựoc nữa rồi :> 3. Sử dụng auturuns + APT + Gmer + Icesword * Autoruns process: chương trình autoruns dùng để xem những file khởi chạy, những file thư viện động (dll) chạy trong regedit Chương trình có thế được download tại http://technet.microsoft.com/en- us/sysinternals/bb963902.aspx Hiện mọi nơi trong hệ thống mà có thể được cấu hình để chạy lúc khởi động và lúc đăng nhập Những khoá chạy ở Run và Những khoá chạy ở Run và folders Startup Startup - - chạy ở Shell, và userinit chạy ở Shell, và userinit - các dịch vụ(services) và chạy ở drivers - các dịch vụ(services) và chạy ở drivers - - chạy ở tác vụ(tasks) chạy ở tác vụ(tasks) - - những thay đổi trong winlogon những thay đổi trong winlogon - - những phần đính vào (addins) trong IE và trong Explorer. những phần đính vào (addins) trong IE và trong Explorer. - - một số phần khác phụ thêm…. một số phần khác phụ thêm…. Autoruns dùng xem để biết đường dẫn của các file như độc hại vẫn nằm trong hệ thống, từ đó ta có thể biết nơi virus đang nằm để xóa.ok. chứ ở trong autoruns này chỉ thể hiện các khóa nằm trong regedit. • Advanced Process Termination (APT 4.0) : sử dụng APT để dừng và tắt tiến trình cứng đầu, cứng cả cổ Nếu có nhiều tiến trình của virus chạy cùng một lúc.ta dùng chương trình này để dừng(suspend) tiến trình đó rồi tắt từng “chú” một Đây là một chương trình khá mạnh dùng để dừng một tiến trình hoặc tắt một tiến trình theo nhiều cách [...]... bước khởi tạo và chạy thử cuối cùng chúng ta sẽ kiểm tra tiến trình chạy và các file được sinh ra do con virus mà chúng ta vua chạy thử Các bạn kiểm tra bằng cách sau: vào C:\Sandbox\Administrator \virus, trong user virus xẽ hiển thị tất cả các file mà đã được kích hoạt Trong trường hợp máy của chúng ta bị virus thì chúng ta có thể tìm file lây nhiễm sau đó dùng chương trình sandboxed để tìm ra các file... entries nào đó khả nghi và có thể tìm hiểu thêm về nó ở các trang web được liệt kê ở trên Tiến hành sửa chữa những entries không hợp lệ trong bảng log của hijackthis : Sau khi đã kiểm tra và phát hiện ra những entries khả nghi trong log-file, bạn có thể tiến hành fix những entries đấy: -Tiến hành tắt system restore và reboot máy vào chế độ safe mode -Cho chạy lại hijackthis và đánh dấu vào những entries... (answer that work) http://computercops.biz/CLSID.html ( CLSID list) www.google.com (:-)) http://www.viruslist.com/en/find?search_mo p;x=21&y=11 (virus list) https://www.virusbtn.com/login (Vgrep) Tất nhiên, bạn phải biết được chính xác là bạn đang tìm kiếm về con virus, tiến trình hay chuỗi nào trong registry và không nên ghi đè hay xoá đi logfile đã thu được bằng hijackthis phòng cho trường hợp bạn gặp... http://www.diamondcs.com.au/advancedseries/apt.php • GMER: Công cụ này dùng để xoá những file không thể xoá, và để tìm những file ẩn bằng các hàm API trong windows, để tìm những file sys chạy trong c:\ window\system32\drivrers • Icesword: Công cụ này có thể dùng thực thi trong regedit khi mà regedit bị khoá hay bị ngăn chặn không cho thực thi Và công cụ này cũng để tìm và xoá những file không thể xoá, nhìn thấy những file siêu ẩn, những... ấn vào config -> chọn tab backup và nó sẽ hiện ra entry tớ đã xóa : đánh dấu vào entry đó và chọn restore, nó sẽ trả lại về vị trí cũ của entry đó trong registry Hoặc có thể phân tích log như sau R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs R0, R1, R2, R3 – những trang bắt đầu chạy và search khi chạy IE F0, F1 - Tự động load các chương trình N1, N2, N3, N4 - những trang bắt đầu chạy và. .. thu được bằng hijackthis phòng cho trường hợp bạn gặp sai sót khi sử dụng sửa chữa của hijackthis (fix) b.Trường hợp thứ 2 thì bạn có thể tạo log-file và sau đó vào trang sau: http://www.hijackthis.de/en và dán nội dung của log-file vào ô textbox rồi ấn vào Analyze ở dưới để cho trang web phân tích nội dung log-file của bạn Trên trang này là một trang tập hợp được rất nhiều các ghi chú của các thành... dụ như coolwebsearch) Tiện ích này còn có thể làm được nhiều hơn thế nữa đó là kiểm tra và phát hiện các trình phá hoại khác được cài vào hệ thống Với sự giúp ích của hijackthis thì công việc phân tích, tìm và đưa ra hướng giải quyết đối với malware sẽ dễ dàng hơn nhiều cho cả người bị nhiễm với người giúp Tải về và cài đặt : Sau khi tải về hoặc tải về từ http://www.merijn.org/files/hijackthis.zip hoặc... hình dưới đây Các bạn vào menu -> sandbox ->create new sandbox(tạo ra một user) Sau khi các bạn tạo user xong bước tiếp theo là: chọn start ->programs ->Sandboxie -> Run any program sandboxed tiếp đó xẽ hiện ra cửa sổ run sandboxed các bạn chon vào user (virus) mà các bạn mới khởi tạo và chọn OK tiếp theo đó chương trình xẽ đưa ra một cửa sổ đường dẫn bạn chọn Browse… Sau đó tìm đến thư mục bạn cần... thống [1] có thể là c:\program files\hijackthis\ Lỗi có thể gặp phải khi cài hijackthis : Thiếu MSVBVM60.DLL -> cách giải quyết là vào http://support.microsoft.com/?scid=kb%3Ben p;x=13&y=16 để tải VBRun60.exe về và cài vào máy Nếu không thể chạy được chương trình hijackthis và có nghi ngờ là chương trình phá hoại đã làm việc ngăn chặn máy bạn cho chạy tiến trình của hijackthis thì bạn có thể đổi tên của... máy vào chế độ safe mode -Cho chạy lại hijackthis và đánh dấu vào những entries được đánh giá là khả nghi và sau đó ấn vào “fix checked” để chương trình có thể tiến hành loại bỏ những entries khả nghi đó -Thí dụ: khi tớ phát hiện ra entry O4- igfxtray.exe của tớ có khả nghi (giả sử thôi nha), tớ vào safe mode, bật hijackthis lên, sau đó cho nó scan rồi đánh dấu chọn entry này như hình sau : rồi ấn fixchecked . Bài giảng Tìm và diệt virus 1. Cách tìm tiến trình chạy, virus sử dụng câu lệnh trong cmd * Tất cả các file đuôi ẩn *.exe, *.dll,. khởi động và lúc đăng nhập Những khoá chạy ở Run và Những khoá chạy ở Run và folders Startup Startup - - chạy ở Shell, và userinit chạy ở Shell, và userinit - các dịch vụ(services) và chạy. tạo và chạy thử. cuối cùng chúng ta sẽ kiểm tra tiến trình chạy và các file được sinh ra do con virus mà chúng ta vua chạy thử. Các bạn kiểm tra bằng cách sau: vào C:SandboxAdministrator virus,

Ngày đăng: 11/07/2014, 09:01

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w