Deface VR TaiLong DFVr 1 1. Sử dụng công cụ ñể phát hiện VR 1.1. Process Explorer 1.2. Autoruns 1.3. Hijackfree 1.4. Grouped Access Tools 1.5. APT(Advanced Process Termination) 2. Sử dụng công cụ ñể phát hiện ROOTKIT *** Một số khái niệm tìm hiểu về Rootkit **** 2.1.The Avenger 2.2. Gmer 2.3. ICESword 2.4. Rootkit Unhooker 2.5. RootkitDetector 2.6. PANDA ARK 2.7. WSYSCHECK (tool hay) 2.8. AVZ 2.9. RADIX 2.10. SEEM (System Eyes & Ears Monitor) 2.11. RootkitRevealer 2.12. HELIOS Deface VR TaiLong DFVr 2 1. Sử dụng công cụ ñể phát hiện VR 1.1. Process Explorer Download: http://download.sysinternals.com/Files/ProcessExplorer.zip Giới thiệu: Process Explorer(PX) là công cụ theo dõi các tiến trình trong máy tính của bạn, hiển thị thông tin về các tiến trình các handle và các thư viện dll trong các tiến trình ñược mở hoặc ñược nạp vào. PX có thể chạy với tài khoản người dùng thông thường nhưng nó sẽ không thể hiển thị hết ñược tất cả, chi tiết các tiến trình trên windows. Theo khuyến cáo thì nên chạy PX với tài khoản Administrator ñể nhìn một cách chi tiết hơn về các tiến trình hệ thống Process Explorer hiển thị 2 cửa sổ con. Cửa sổ trên hiện danh sách các tiến trình ñang chạy hiện tại, bao gồm tên các tài khoản riêng của từng tiến trình, trong ñó phần thông tin ñuợc hiển thị ở phần dưới phụ thuộc vào cách chọn trong Process Explorer: Nếu chọn hiển thị chế ñộ handle bạn sẽ nhìn thấy các handle ñược hiển thị khi chọn tiến trình nào ñó ở cửa sổ bên trên; còn nếu chọn chế ñộ hiển thị theo các file DLL bạn sẽ thấy các file DLL và các file ñược gán vào bộ nhớ khi tiến trình khởi chạy. Process Explorer cũng có chức năng tìm kiếm rất mạnh mà nhanh hơn khi các handle ñang ñược mở hoặc tìm các file DLL ñược nạp vào Khả năng ñộc ñáo của Process Explorer là tạo cho nó có thể ñược dùng cho việc kiểm tra các vấn ñề về phiên bản các file DLL hoặc các lỗi handle, và cung cấp một cách khá toàn diện theo hướng các ứng dụng của Windows hay các ứng dụng trong công việc. - Thông tin về các loại màu sắc trong cửa sổ chính Trong PX ta chọn Options  Configure Highlighting Với từng màu tương ứng sẽ là một loại chương trình như : New Objects : Tiến trình mới vừa ñược gọi Deleted Objects : Tiến trình ñã bị tắt Own processes : Tiến trình chạy với người dùng của bạn ñang sử dụng Services : Tiến trình dịch vụ Packed Images : Process bị pack (virus thường có màu này) .NET Processes : Ứng dụng chạy trên nền .NET Jobs: Tiến trình này ít xảy ra Relocated DLLs: Những DLLs ñược tạo lại. cái này cũng ít xảy ra hoặc chỉ xảy ra Hướng dẫn sử dụng: Deface VR TaiLong DFVr 3 Cấu hình ProcessXp ñể hiện các cột về nội dung thông tin các tiến trình ñược hiển thị - Click vào View->Lower Pane View->Handles(Ctrl + H) ñể hiển thị các handle - Click vào View->Lower Pane View->DLLs(Crtl + D) ñể hiển thị các DLLs Một cửa sổ sẽ hiển thị bên dưới. Nội dung của sổ ñó sẽ cho phép ta thấy ñược các handle và các DLLs ñược ñi kèm cùng tiến trình khi ta chọn Muốn nhìn rõ các thông tin về các tiến trình chọn ViewSelect columns. Tích vào nội dung thông tin muốn hiển thị bao gồm các tab (Process Image, Handle, DLL, Process Performance, Process Memory, .NET, Status Bar) • Tab Process Image có các thông tin sau - “User Name” (tên người dùng) - “Description” (mô tả) - “Company Name” (Tên công ty) - “Version” (Phiên bản) - “Image Path” (ðường dẫn) - “PID (Process Identifier)” - “Verified Signer(Xác minh chữ ký)”  cái này hay dùng - “Windows Title” (Phần tiêu ñề ) - “Windows Status”(Phần trạng thái) - “Session” (Phiên kết nối) - “Command Line” (Dòng lệnh thực thi) - “Comment” (Lời nhận xét) - “DEP(Data Execution Prevention) Status” (Trạng thái của một ñặc tính bảo mật ñược sử dụng trong windows) • Tab DLL (Hiện thị chi tiết thông tin về các file thư viện DLL) • Tab Handle (Hiện thị chi tiết thông tin về Handle nào ñó) • Tab Process Performance (hiển thị thông tin về tính thực thi của tiến trình) • Tab Process Memory (Hiển thị thông tin về bộ nhớ) Deface VR TaiLong DFVr 4 • Tab .NET (khi nào cài chương trình có sử dụng ñến thư viện Net Framework mới hiển thị ñược thông tin trong tab ) • Tab Status Bar (hiện thông tin thanh trạng thái ở dưới cùng) Muốn tìm kiếm các handle hay các DLL thì ta chọn Find   Find Handle or DLL…(Crtl+F) ñánh tên handle hay DLL muốn tìm - Xử lý các tiến trình + Tắt tiến trình Muốn tắt(kill) một tiến trình nào ñó ta chuột phải vào tiến trình ñó chọn Kill Process(hay ấn phím Del). Deface VR TaiLong DFVr 5 Còn nếu muốn tắt các tiến trình con của nó ta chọn Kill Process Tree(Shift + Del) hay còn gọi là tắt theo dạng cây + Tạm dừng tiến trình(Suspend) Nếu muốn tắt nhiều tiến trình ta có thể chọn cách dừng(suspend) không cho chạy tiến trình ñó rồi thực hiện tùy chọn tắt từng tiến trình một 1.2. Autoruns Download: http://download.sysinternals.com/Files/Autoruns.zip Giới thiệu: Tiện ích này bao hàm toàn diện những nhận biết về cách xác ñịnh các tiến trình khởi chạy ña phần trong regedit, hiện những chương trình khởi chạy trong quá trình ñăng nhập vào hệ thống và hiện cho bạn những ñường dẫn theo thứ tự các tiến trình của chúng Các chương trình tự khởi chạy bao gồm folder startup, các khóa Run, Runonce và các khóa trong Registry. Bạn có thể cấu hình autoruns ñể hiện các vùng khác bao gồm các DLL khác như ở toolbars là Deface VR TaiLong DFVr 6 các BHO(Browser Helper Objects), các thông báo winlogon, các dịch vụ tự ñộng chạy, và nhiều cái nữa… Autoruns cũng bao gồm một phần hiển thị như tiện ích MSConfig trong windows XP/Server 2003. Vào menu Options chọn “Hide Microsoft and Windows entries” sẽ ẩn toàn bộ những ứng dụng tự chạy của windows và của microsoft, lúc ñó chỉ hiển thị những phần ứng dụng của một hãng thứ 3 ñược chạy khi khởi ñộng vào hệ thống. lúc này ta có thể lọc ñược những ứng dụng nào là không ñáng tin cậy(thường không có chữ ký và phần mô tả, và nhà cung cấp) Tất nhiên bạn có thể sẽ ngạc nhiên làm thế nào ñể biết ñược có bao nhiêu ứng dụng tự khởi chạy và phát hiện nó ra sao! Khi tiếp xúc nhiều bạn sẽ thấy quen mắt và bạn sẽ lọc ñược cái nào là không ñáng tin cậy Autoruns làm việc trên tất cả các phiên bản của vWindows bao gồm cả Windows XP 64-bit Edition (x64) và Windows Server 2003 64-bit Edition (x64). Sử dụng: Thường thì chạy Autoruns và nó hiện cho bạn hiện tại các cấu hình những ứng dụng tự ñộng chạy cũng như toàn bộ danh sách các vùng trong registry và trong file hệ thống mà sẵn ñược cấu hình tự ñộng chạy. Các vùng ứng dụng tự ñộng chạy ñược hiển thị bởi Autoruns bao gồm các entry logon, phần add- ons Explorer, add-ons Internet Explorer bao gồm phần BHO(Browser Helper Objects), các Appinit DLLs, image hijacks, các ảnh thực thi khi khởi ñộng(boot execute images), các DLLs thông báo ở winlogon, Windows Services và Winsock Layered Service Providers. Chuyển qua tab khác ñể hiển thị các phần khác như về printer… ðể disable một entry ta bỏ check vào hộp check ñó. ðể delete một entry cấu hình tự chạy ta chọn menu entry chọn Delete(Ctrl + D) hoặc chuột phải vào entry ñó chọn Delete Deface VR TaiLong DFVr 7 - Disable và xóa các Entry (ñầu vào) Nếu bạn muốn một entry kích hoạt vào thời ñiểm tiếp theo khi bạn ñăng nhập vào hệ thống bạn có thể chọn một trong 2 tùy chọn là disble hoặc delete nó. ðể disable một entry bạn chỉ cần bỏ check(uncheck) nó. Autoruns sẽ lưu lại thông tin startup vào trong một vùng backup vì thế ta có thể ñược kích hoạt lại nếu cần thiết. Một số mục chọn ñược lưu trữ trong thư mục startup autorus tạo ra một thư mục ñược gọi là autoruns ñã bị disable. Nếu có các mục chọn bị disable trong các thư mục khác khi bạn chạy Explorer sẽ tạo một cửa sổ ñể thư mục trên desktop (nhưng không thực thi các hình ảnh bên trong ñó). Check một mục bị disable sẽ enable lại mục chọn ñó. Bạn nên xóa các mục chọn mà bạn không muốn nó thực thi bao giờ. Vì thế bằng cách chọn Delete trong menu Entry. Chỉ lựa chọn mục chọn hiện tại ñể delete Nếu bạn ñang chạy autoruns không với quyền quản trị trên windows Vista và cố gắng thay ñổi trạng thái của một entry toàn cục, bạn sẽ bị từ chối truy cập (deny access). Autorus sẽ hiển thị một hộp thoại với một nút mà cho phép bạn chạy lại Autoruns với ñúng quyền quản trị. Bạn cũng có thể sử dụng lựa chọn –e ở tùy chọn command-line ñể khởi chạy autoruns với ñúng quyền quản trị - Nội dung các vùng và các entry ñược hiển thị Thường khi chạy Autoruns và nó hiện cho bạn cấu hình hiện tại các ứng dụng tự ñộng chạy trong vùng mà các ứng dụng chạy trực tiếp. Thực hiện một scan mới sẽ lại các hiển thị • Logon: Khi scan vùng này thì những kết quả hiện thị các entry ñuợc scan là thư mục startup cho người dùng hiện tại và tất cả các người dùng, các khóa Run trong regedit, và các vùng khởi chạy ứng dụng chuẩn • Explorer: Entry trong tùy chọn này ñể xem các shell mở rộng, BHO(Browser Helper Objects), phần hiện thị ở thanh toolbar của explorer, và các shell thực thi các hook. • Internet Explorer(IE): Entry này hiện các ñối tượng ñính thêm BHO, các phần mở rộng ở thanh toolbar của IE • Service: Hiển thị tất cả các dịch vụ ñược cấu hình tự ñộng chạy khi hệ thống bắt ñầu khởi chạy Deface VR TaiLong DFVr 8 • Drivers: Entry này sẽ hiển thị tất cả các driver ở chế ñộ kernel ñược ñăng ký vào hệ thống loại trừ các drivers ñã bị disable • Scheduled Tasks: Các entry ở task schedule ñược cấu hình ñể ñặt lịch khi khởi ñộng vào hệ thống • AppInit DLLS: Entry hiện thị ở task này hiện các DLL ñược ñăng ký như một ứng dụng ñể khởi chạy các file DLL • Boot Execute: Các hình ảnh ban ñầu (khác với các ứng windows) mà chạy sớm hơn lúc các tiến trình khởi ñộng vào hệ thống • Image Hijacks: Entry này ở khóa “image file execution options” của regedit và ứng dụng tự chạy ở cửa sổ dòng lệnh và khóa này ñược sử dụng ñể thay thế một file khởi chạy bằng một file khác (thường là virus sẽ thay ñổi) • Known DLLs: Những báo cáo này là vị trí của các DLLs mà Windows load và trong các ứng dụng mà tham chiếu của chúng • Winlogon Notifications: Hiện các DLLs mà ñăng ký cho thông báo Winlogon của các sự kiện khi khởi chạy • Winsock Providers: Hiện những giao thức winsock ñã ñược ñăng ký, bao gồm nhà cung cấp dịch vụ winsock. Malware thường cài ñặt chính nó như một nhà cung cấp dịch vụ winsock bởi vì có một vài công cụ mà có thể remove chúng. Autoruns có thể gỡ bỏ chúng nhưng không thể disable chúng • LSA Providers: Hiện những ñăng ký ủy quyền LSA(Local Security Authority), thông báo và bảo mật các gói tin • Printer Monitor Drivers: Hiển thị các file DLLs mà load vào trong các dịch vụ in ấn. Malware thường sử dụng hỗ trợ này ñể tự khởi chạy chính nó • Sidebar: Hiển thị Phần ñược cải tiến thêm ở sidebar trong Windows Vista Trừ khi ta check vào lựa chọn “Include Empty Locations” trong menu Options. Autoruns không hiện các vùng không với entry nào cả(làm mờ các entry) Tùy chọn Verify Signatures xuất hiện trong menu Options trên hệ thống mà hỗ trợ việc xác minh hình ảnh các chữ ký và có thể ñưa ra kết quả trong autoruns truy vấn ñể ñược chứng nhận thu hồi danh sách(CRL-Certificate Revocation List) các web site ñể xác ñịnh xem chữ ký nào là hợp lệ. Autoruns hiện thị ra ñoạn thông báo “Not verified ” rồi ñến tên công ty của file mà không có chữ ký hoặc chữ ký ñó không ñược ký bằng các quyền chứng thực gốc trên danh sách của sự ủy quyền gốc ñáng tin cậy bởi hệ thống Sử dụng “Hide Microsoft Entries” hoặc “Hide Windows Entries” trong menu Options giúp bạn nhận dạng phần mềm mà ñã ñược thêm vào hệ thống từ lúc cài ñặt. Autoruns sẽ chỉ hiện những file nào mà không phải của hãng microsoft và của hệ thống windows. Và nếu ta tích chọn cả phần “Verified Code Signatures” autoruns sẽ xác minh cho ta chữ ký số của file ñó xem có ñáng tin cậy không.nếu không ở phần nhà sản xuất (Publisher) sẽ có tiền tố “(Not verified)” • Phiên bản mới 9.50 có tùy chọn “Hide Microsoft and Windows entries” phần “Hide Microsoft” sẽ bỏ qua những file ñã ñược ký bởi Microsoft nếu ta lựa chọn cả phần “Verify Signatures” và bỏ qua cả những file nào mà có tài nguyên của Microsoft trong trường tên công ty nếu ta không lựa chọn “Verify Signatures”. Còn về phần “Hide Windows” sẽ bỏ qua các file ñược ký bởi Windows nếu ta ñã lựa chọn “Verify Signatures”, Hide Windows bỏ qua những hình ảnh mà có trong tài nguyên của Microsoft trong trường tên công ty và hình ảnh ñó ñược lưu trữ dưới thư mục %SystemRoot% Trên các hệ ñiều hành Windows NT/XP/2000/2003 có nhiều tài khoản người dùng thì ở menu Users ta có thể tùy chọn với những tên người dùng ñó. Chọn một tài khoản ñể xem các file tự ñộng chạy ở tài khoản ñó Deface VR TaiLong DFVr 9 Quan sát biểu hiện virus: Khi sử dụng chương trình này bạn ñể ý thông tin phần mô tả(Description), xuất sứ(Publisher). Virus có thể giả danh các file hệ thống của windows các bạn ñể ý phần ñường dẫn(Image Path) Thường không có 2 phần mô tả(Description) và nhà cung cấp(Publisher) Nếu virus giả danh hệ thống thì ñể ý phần ñường dẫn(Image Path) Các cột lưu ý virus hay nằm ở ñó: Logon, services, Drivers, Image Hijacks, Appinit, winlogon. Tất nhiên ta kiểm tra cả cột explorer và Internet explorer ñể xem có file dll nào inject vào không 1.3. Hijackfree Download: http://download3.emsisoft.com/a2HiJackFree.exe Giới thiệu: Quản lý các file tự ñộng chạy trên hệ thống của bạn Kiểm soát các phần như Explorer và các phần ñính kèm vào Trình duyệt IE(BHOs, Toolbars,…) Quản lý các tiến trình ñang chạy và các module ñược tích hợp vào Kiểm soát các dịch vụ thậm chí cả những cửa sổ không ñược hiện thị Xem các cổng mở và những tiến trình nào ñang lắng nghe Xem tất cả các tên miền ñược gán vào file hosts Quản lý các LSP(Layered Service Providers) ñược cài ñặt ra Phân tích cấu hình hệ thống với chức năng phân tích online Sử dụng: Xem những tiến trình ñang chạy: Như chức năng Task Manager của window, HiJackFree sẽ hiện tất cả theo danh sách các tiến trình ñang chạy. Nhưng thêm vào ñó nó sẽ hiện thêm cho ta nhiều thông tin chi tiết hơn. Như ñặc tính, những modules ñược khởi chạy, thông tin online và chi tiết tiến trình ñược chỉ ra thêm cả các chương trình chạy như một dịch vụ, ñược bắt ñầu bởi một ñầu vào tự ñộng hoặc các cổng TCP, UDP mở Xem các cổng mở: Deface VR TaiLong DFVr 10 HiJackFree sẽ hiện tất cả các cổng mở bên trong. Một cổng mở nghĩa là có một tiến trình ñang chạy và ñược lắng nghe với số cổng ñược nhập vào từ bên ngoài Việc quản lý các cổng cũng ñược hiện trong các tiến trình bạn cũng có thể xem luôn. Bạn có thể kill một tiến trình và ñặt nó vào vùng cách lý(quarantine) dùng ñể phục hồi sau nếu cần thiết Xem các phần tự khởi chạy(autoruns) Hiển thị và chỉnh sửa tất cả các ñầu vào tự khởi chạy. Chỉ ra hơn 30 phần tự chạy khác nhau ñược hiển thị và có thể ñược chỉnh sửa theo cách tốt nhất. Bên cạnh ñó còn có các phần tự khởi chạy ở trong Registry của người dùng hiện thời(ở khóa HKCU) và của tất cả người dùng(ở khóa HKLM), HiJackFree cũng hiện phần tự khởi chạy trong các file như win.ini, system.ini, autoexec.bat và config.sys. Thêm vào ñó nó hiện tất cả các chương trình tự chạy trong thư mục start menu [...]... nh nó cung c p ñ n 18 ch c năng ñ “ñ p ch t” m t ti n trình :D - 2 ch ñ t t sâu vào h th ng d ng nhân (kernel-mode) TaiLong 15 DFVr Deface VR - 12 ch ñ t t d ng ngư i dùng(user-mode) 2 tùy ch n d ng ti n trình 2 tùy ch n phá h y ti n trình Khi mu n t t, d ng ti n trình nào b n ch c n ch n ti n trình ñó r i tha h mà (kill, Crash, suspend) 2 S d ng công c ñ phát hi n Rootkit(m y tool thông d ng) Trong... TaiLong 26 DFVr Deface VR + Scan xem có nh ng thông tin gì t ñ ng ch y khi ñăng nh p vào máy( tab Autostart) + Và ch c năng dòng l nh CMD(Tab CMD): S d ng như CMD TaiLong 27 windows DFVr Deface VR 2. 3 ICESword Download: http://mail.ustc.edu.cn/~jfpan/download/IceSword 122 en.zip Các ch c năng chính c a IS - Funtions: Bao g m vi c theo dõi và hi n th Process, Port, Kernel Module, Startup, Win 32 Services,... tương ng Vì h u h t các trình di t virus và ch ng ph n m m gián ñi p ñ u d a vào nh ng l i g i hàm này (như l i g i hàm tìm TaiLong 18 DFVr Deface VR ki m file ñ quét), khi ñó nh ng file ñư c các rootkit che gi u s tr nên vô hình v i nh ng trình di t virus này Máy tính có th b v n lây nhi m nhưng trình di t virus l i không th phát hi n ra Rootkit ch ñ nhân (Kernel-mode Rootkits) Rootkit ch ñ nhân nguy... c - K ch b n ví d cho rootkit ( ñây rootkit mu n tr n tránh kh i API FindNextFIle ch ng h n): + rootkit scan b nh ñ tìm DLL nào có export ra m t API FindNextFile + Nó s scan ra t t c các Kernel 32. dll + rootkit s ghi ñè ñ a ch trong b nh c a hàm API trên trong b ng EAT c a Kernel 32. dll ñ tr ñ n hàm API m o danh ñ t trong injected DLL c a rootkit (hi n nhiên là hàm API này ñã ñư c load vào b nh r i) -. .. ng The Avenger như m t công c th c thi các ño n script - The Avenger cho b n các l nh ñ th c thi các script bao g m các file ñ xóa, các khóa regedit ñ xóa, các drivers ñ disble và hơn th n a - The Avenger kh i ñ ng l i máy tính c a b n(nó ph bi n cho vi c kh i ñ ng l i l n th 2, n u như c n thi t) và th c thi các l nh trong quá trình kh i ñ ng l i - Sau ñó, windows s restart l i, và m m t b n log ñư... ñư c k t qu TaiLong 20 DFVr Deface VR M t ví d s d ng chương trình v i m t script m u Nh p vào m t script C a s chính c a The Avenger cho phép b n nh p vào m t script c a các dòng l nh ñ th c thi B n có th làm ñi u này b ng cách: - ðánh tr c ti p vào text box trong màn hình chính - Load m t ño n script t m t file (m t file text hay m t file ñ nh d ng ANSI ñã ñư c encode) s d ng nút - Load m t script... thay th file virus b ng các file gi (nh ng file gi s không th th c thi ñư c) Vidu: TaiLong 21 DFVr Deface VR Files to replace with dummy: C:\WINDOWS\System 32\ kavo.dll %windir%\bad.exe c:\documents and settings\file.exe vidu trên s thay th các file kavo.dll, bad.exe, file.exe + Files to move: L nh này s d ng ñ di chuy n m t file t nơi này ñ n nơi khác Vidu: Files to move: C:\WINDOWS\System 32\ kavo.dll... ng máy tính ñư c t t hơn, tuy nhiên, k x u l i l i d ng vi c hi u bi t này vào m c ñích nguy hi m Active-X The Active-X section shows all installed Active-X modules (DLLs) on the system The list shows invalid references which can be removed Active-X hi n t t các modules(DLLs) Active-X hi n trên h th ng Danh sách các các ph n liên quan không h p l có th b remove Quarantine (Vùng cách ly) Khi remove... Ch trong 5 năm s lư ng b ph n c u thành rootkit ñã tăng t 27 lên t i 2. 400 Và trong th i gian s p t i s còn tăng lên ñáng k Khó ai có th d ñoán ñư c s nguy hi m ti m tàng c a rootkit trong tương lai - Phân lo i và phương th c ho t ñ ng c a Rootkit Có nhi u tiêu chí phân lo i Rootkit Trong bài này chúng ta s phân lo i Rootkit theo 2 tiêu chí + Phân lo i theo th i gian t n t i: chia làm hai lo i Rootkit... ño n mã mà ngư i s d ng không hay bi t Rootkit trên b nh (Memory-Based Rootkits) Lo i rootkit này chính là các malware không có nh ng ño n mã "dai d ng" - ch lưu trong b nh , chính vì th lo i rootkit này không t n t i sau khi kh i ñ ng l i máy + Phân lo i d a trên m c ñ xâm nh p h th ng: chia làm hai lo i Rootkit ch ñ ngư i dùng (User-mode Rootkits) Nh ng rootkit này s s a (ch nh) nh ng process ñang . Avenger 2. 2. Gmer 2. 3. ICESword 2. 4. Rootkit Unhooker 2. 5. RootkitDetector 2. 6. PANDA ARK 2. 7. WSYSCHECK (tool hay) 2. 8. AVZ 2. 9. RADIX 2. 10. SEEM (System Eyes & Ears Monitor) 2. 11 tiến trình :D - 2 chế ñộ tắt sâu vào hệ thống ở dạng nhân (kernel-mode) Deface VR TaiLong DFVr 16 - 12 chế ñộ tắt ở dạng người dùng(user-mode) - 2 tùy chọn dừng tiến trình - 2 tùy chọn phá. này hay dùng - “Windows Title” (Phần tiêu ñề ) - “Windows Status” (Phần trạng thái) - “Session” (Phiên kết nối) - “Command Line” (Dòng lệnh thực thi) - “Comment” (Lời nhận xét) - “DEP(Data