1. Trang chủ
  2. » Giáo án - Bài giảng

Diệt vi rút bằng tay ( Cực hay )

38 331 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 38
Dung lượng 2,08 MB

Nội dung

KIẾN THỨC CƠ BẢN VỀ VIRUS LƯU NGỌC HẢI 11A1 LỚP TOÁN THPT CẨM THUỶ 2 Tìm và diệt virus 1. Cách tìm tiến trình chạy, virus sử dụng câu lệnh trong cmd * Tất cả các file đuôi ẩn *.exe, *.dll, *.bat, *.txt, *.vbs, *.js nằm trong C:\windows, c:\windows\system32, c:\windows\system đều là virus hoặc chương trình độc hại. Khi muốn kiểm tra các thuộc tính ẩn nên kiểm tra ở các thư mục windows, system32, system, drivers trong ổ c:\ . Và tìm các file ẩn ở các ổ D , E , F cứ bem thẳng tay ko phải sợ ^^ * Bây giờ virus thường chạy cùng một lúc nhiều tiến trình Ta có thể tắt cùng một lúc nhiều tiến trình hoặc là dừng một tiến trình của nó rồi tắt từng tiến trình một a. sử dụng lệnh dir để xem file lệnh dir /ah dùng để xem tất cả những file ẩn b. sử dụng lệnh tasklist để xem tiến trình đang chạy * Nếu dùng nguyên lệnh tasklist thì để xem tiến trình đang chạy KIẾN THỨC CƠ BẢN VỀ VIRUS LƯU NGỌC HẢI 11A1 LỚP TOÁN THPT CẨM THUỶ 2 * Còn nếu muốn xem chi tiết các dịch vụ(services) chạy cùng tiến trình đó Ta dùng lệnh tasklist /svc KIẾN THỨC CƠ BẢN VỀ VIRUS LƯU NGỌC HẢI 11A1 LỚP TOÁN THPT CẨM THUỶ 2 Nếu có mấy tiến trình cùng tên nhau muốn xem rõ có những dịch vụ j chạy cùng ta dùng lệnh tasklist /svc /fi “imagename eq tên tiến trình” Vidu: tasklist /svc /fi “imagename eq svchost.exe” KIẾN THỨC CƠ BẢN VỀ VIRUS LƯU NGỌC HẢI 11A1 LỚP TOÁN THPT CẨM THUỶ 2 c. sử dụng lệnh taskkill để tắt tiến trình đang chạy * lệnh taskkill /f /pid để tắt tiến trình khi biết chỉ số PID của nó vidu: như bên trên tasklist PID của explorer là 768, ta tắt explorer.exe taskkill /f /pid 768 KIẾN THỨC CƠ BẢN VỀ VIRUS LƯU NGỌC HẢI 11A1 LỚP TOÁN THPT CẨM THUỶ 2 • muốn tắt nhiều tiến trình cùng một lúc ta chỉ việc thêm pid, hoặc thêm tên tiến trình taskkill /f /pid id1 /pid id2 /pid id3… taskkill /f /im tientrinh1 /im tientrinh2… vidu: KIẾN THỨC CƠ BẢN VỀ VIRUS LƯU NGỌC HẢI 11A1 LỚP TOÁN THPT CẨM THUỶ 2 d. sử dụng lệnh del để xóa các file Muốn xóa 1 file có thuộc tính ẩn, siêu ẩn ta dùng lệnh del /a /f Vidụ: ở dưới ta thấy có file he.txt là ẩn ta dùng lệnh del /a /f he.txt để xóa 2. Ngăn chặn file chạy sử dụng gpedit.msc khi đã nhiễm virus ta chỉ có thể ngăn chặn việc khởi chạy của chúng bằng cách chạy gpedit.msc để ngăn cản không cho tiến trình đó chạy là ok vào Run  gõ Gpedit.msc computer configuration  windows settings  security settings software restrictions policies KIẾN THỨC CƠ BẢN VỀ VIRUS LƯU NGỌC HẢI 11A1 LỚP TOÁN THPT CẨM THUỶ 2 chuột phải vào software restrictions policies chọn creat new policies chọn additional rules chuột phải chọn new hash rules -> rồi browse đến chương trình mình cần chặn ko cho khởi chạy vidụ: ở đây tôi chặn chương trình regedit.exe(not virus). Nếu là virus bạn phải tìm tới tận gốc của nó, tức nơi mà chương trình đang thực thi Bây giờ thử mở regedit ko thể đựoc nữa rồi :> KIẾN THỨC CƠ BẢN VỀ VIRUS LƯU NGỌC HẢI 11A1 LỚP TOÁN THPT CẨM THUỶ 2 3. Sử dụng auturuns + APT + Gmer + Icesword * Autoruns process: chương trình autoruns dùng để xem những file khởi chạy, những file thư viện động (dll) chạy trong regedit Chương trình có thế được download tại http://technet.microsoft.com/en- us/sysinternals/bb963902.aspx Hiện mọi nơi trong hệ thống mà có thể được cấu hình để chạy lúc khởi động và lúc đăng nhập Những khoá chạy ở Run và Những khoá chạy ở Run và folders Startup Startup - - chạy ở Shell, và userinit chạy ở Shell, và userinit - các dịch vụ(services) và chạy ở drivers - các dịch vụ(services) và chạy ở drivers - - chạy ở tác vụ(tasks) chạy ở tác vụ(tasks) - - những thay đổi trong winlogon những thay đổi trong winlogon - - những phần đính vào (addins) trong IE và trong Explorer. những phần đính vào (addins) trong IE và trong Explorer. - - một số phần khác phụ thêm…. một số phần khác phụ thêm…. KIẾN THỨC CƠ BẢN VỀ VIRUS LƯU NGỌC HẢI 11A1 LỚP TOÁN THPT CẨM THUỶ 2 Autoruns dùng xem để biết đường dẫn của các file như độc hại vẫn nằm trong hệ thống, từ đó ta có thể biết nơi virus đang nằm để xóa.ok. chứ ở trong autoruns này chỉ thể hiện các khóa nằm trong regedit. • Advanced Process Termination (APT 4.0) : sử dụng APT để dừng và tắt tiến trình cứng đầu, cứng cả cổ Nếu có nhiều tiến trình của virus chạy cùng một lúc.ta dùng chương trình này để dừng(suspend) tiến trình đó rồi tắt từng “chú” một Đây là một chương trình khá mạnh dùng để dừng một tiến trình hoặc tắt một tiến trình theo nhiều cách KIẾN THỨC CƠ BẢN VỀ VIRUS LƯU NGỌC HẢI 11A1 LỚP TOÁN THPT CẨM THUỶ 2 Chế độ kernel kill của chương trình này khá mạnh.có thể tắt được nhiều chương trình cứng đầu, có đăth password như pcsecurity,… Download tại đây http://www.diamondcs.com.au/advancedseries/apt.php • GMER: Công cụ này dùng để xoá những file không thể xoá, và để tìm những file ẩn bằng các hàm API trong windows, để tìm những file .sys chạy trong c:\ window\system32\drivrers. [...]... www.google.com (: -)) http://www.viruslist.com/en/find?search_mo p;x=21&y=11 (virus list) https://www.virusbtn.com/login (Vgrep) Tất nhiên, bạn phải biết được chính xác là bạn đang tìm kiếm về con virus, tiến trình hay chuỗi nào trong registry và không nên ghi đè hay xoá đi logfile đã thu được bằng hijackthis phòng cho trường hợp bạn gặp sai sót khi sử dụng sửa chữa của hijackthis (fix) b.Trường hợp... CƠ BẢN VỀ VIRUS 11A1 LỚP TOÁN LƯU NGỌC HẢI THPT CẨM THUỶ 2 Bạn có thể tự đánh giá logfile do hijackthis tạo ra bằng cách kiểm tra những processes hoặc những mục của registry có khả năng là do malware tạo ra ở trong các trang sau đây : http://www.sysinfo.org/startuplist.php (pacmans-startup list) http://www.answersthatwork.com/ (answer that work) http://computercops.biz/CLSID.html ( CLSID list) www.google.com... => Folder=> Hidden=> SHOWALL=> delete key CheckedValue rồi tạo key mới tên CheckedValue (kiểu DWORD) set value là 1(trước đó 100% key này mang giá trị là 0) Vào Statup bằng cách vào Run > gõ msconfig Bỏ check Kavo, hoặc Avpo Khởi động lại máy tính của bạn lần nữa Một số khoá trong regedit mà virus hay sử dụng và thay đổi: * các khoá chạy khi khởi động máy HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows... tương tự như gmer Icesword cũng có nhiều chức năng giống gmer(nhưng tôi khoái gmer hơn :D) KIẾN THỨC CƠ BẢN VỀ VIRUS 11A1 LỚP TOÁN LƯU NGỌC HẢI THPT CẨM THUỶ 2 KIẾN THỨC CƠ BẢN VỀ VIRUS 11A1 LỚP TOÁN LƯU NGỌC HẢI THPT CẨM THUỶ 2 4 sử dụng sand boxie control để phân tích virus, các bạn có thể tải chương * trình sand boxie control(dung lượng 244 kb)các bạn có thể phần mềm sendboxie tại địa chỉ sau: www sandboxie.com... ra do con virus mà chúng ta vua chạy thử Các bạn kiểm tra bằng cách sau: vào C:\Sandbox\Administrator\virus, trong user virus xẽ hiển thị tất cả các file mà đã được kích hoạt KIẾN THỨC CƠ BẢN VỀ VIRUS 11A1 LỚP TOÁN LƯU NGỌC HẢI THPT CẨM THUỶ 2 Trong trường hợp máy của chúng ta bị virus thì chúng ta có thể tìm file lây nhiễm sau đó dùng chương trình sandboxed để tìm ra các file lây nhiễm và diệt theo... qua vi c đọc hướng dẫn khá dài này bằng vi c nhấn ok (nhưng tôi vẫn khuyên bạn nên đọc để hiểu thêm một chút về chương trình bạn sử dụng) 3.Sau khi bạn ấn ok để xác nhận thì chương trình sẽ hiện lên cửa sổ “new user quickstart”, bạn nhấn vào nút được tô màu đỏ với tên “Do a system scan and save a log file” KIẾN THỨC CƠ BẢN VỀ VIRUS 11A1 LỚP TOÁN LƯU NGỌC HẢI THPT CẨM THUỶ 2 KIẾN THỨC CƠ BẢN VỀ VIRUS... KIẾN THỨC CƠ BẢN VỀ VIRUS 11A1 LỚP TOÁN LƯU NGỌC HẢI THPT CẨM THUỶ 2 với file -> save as > tên là hijathis1.log và ấn save ;) Log file được tạo ra với 3 phần : 1.Phần đầu tiên là những thông tin về hệ thống (systeminformation), tình trạng vá lỗi của hệ thống 2.Phần giữa là những chương trình đang được chạy trên hệ thống 3.Phần cuối là những mục từ R0 đến R23 (sẽ được mô tả ở dưới) Đánh giá về logfile... tạo key mới tên CheckedValue (kiểu DWORD) set value là 1(trước đó 100% key này mang giá trị là 0) B.3-My Computer => Tools => Folder Options -> View => Tại mục Hidden files and folders => đánh chọn Show hidden files and folders => OK B.4-Phải chuột vào từng phân vùng chọn explorer rồi xóa bỏ file autorun.inf, ntdelect.com,chú ý nha ko phải là ntdetect.com,nói chung là diệt tát cả những file ẩn không... được kích hoạt khi nạn nhân nháy đúp chuột vào ổ cứng Để tránh vi c tái kích hoạt virus, một trong những điều đầu tiên là bạn phải xóa bỏ các file Autorun và các file exe không xác định trong thư mục gốc của các ổ ( máy của tôi là ổ C, D, E) Trong cửa sổ Task Manager bạn chọn File > New Task (Run ) KIẾN THỨC CƠ BẢN VỀ VIRUS 11A1 LỚP TOÁN LƯU NGỌC HẢI THPT CẨM THUỶ 2 Chạy lệnh CMD Trong console bạn... KIẾN THỨC CƠ BẢN VỀ VIRUS 11A1 LỚP TOÁN LƯU NGỌC HẢI THPT CẨM THUỶ 2 tiếp đó xẽ hiện ra cửa sổ run sandboxed các bạn chon vào user (virus) mà các bạn mới khởi tạo và chọn OK KIẾN THỨC CƠ BẢN VỀ VIRUS 11A1 LỚP TOÁN LƯU NGỌC HẢI THPT CẨM THUỶ 2 tiếp theo đó chương trình xẽ đưa ra một cửa sổ đường dẫn bạn chọn Browse… Sau đó tìm đến thư mục bạn cần chạy thử KIẾN THỨC CƠ BẢN VỀ VIRUS 11A1 LỚP TOÁN LƯU . userinit - các dịch vụ(services) và chạy ở drivers - các dịch vụ(services) và chạy ở drivers - - chạy ở tác vụ(tasks) chạy ở tác vụ(tasks) - - những thay đổi trong winlogon những thay đổi trong winlogon - - những. -> rồi browse đến chương trình mình cần chặn ko cho khởi chạy vidụ: ở đây tôi chặn chương trình regedit.exe(not virus). Nếu là virus bạn phải tìm tới tận gốc của nó, tức nơi mà chương trình. CƠ BẢN VỀ VIRUS LƯU NGỌC HẢI 11A1 LỚP TOÁN THPT CẨM THUỶ 2 * Còn nếu muốn xem chi tiết các dịch vụ(services) chạy cùng tiến trình đó Ta dùng lệnh tasklist /svc KIẾN THỨC CƠ BẢN VỀ VIRUS LƯU

Ngày đăng: 13/07/2014, 09:00

TỪ KHÓA LIÊN QUAN

w