Deface Virus TaiLong DFVr 1 VẠCH MẶT VIRUS Lời giới thiệu: Virus là một vấn ñề muôn thủa, luôn luôn mới và người viết ra Virus luôn là người ñi trước. Mình viết và tham khảo ñược một ít về cái gọi là virus ñể các bạn có một ít cách nhìn về Virus và ñể tìm và vạch mặt cái ñó Cám ơn người anh em vovi ñã giúp ñỡ hoàn thành việc chuyển thể ra file .chm Deface Virus TaiLong DFVr 2 1. Nói qua về Virus(VR), Rootkit a. Virus b. Rootkit 2. Máy tính của bạn bị nhiễm virus theo cách nào 3. Các triệu chứng biểu hiện của VR, Rootkit a. Các triệu chứng biểu hiện của VR b. Các triệu chứng biểu hiện của Rootkit 4. Tìm kiếm/nhận biết/phát hiện VR, Rootkit a. Cách nhận biết và phát hiện VR b. Cách nhận biết và phát hiện Rootkit 5. Làm thể nào ñể tự bảo vệ bản thân 6. Sử dụng câu lệnh CMD ñể phát hiện VR a. Câu lệnh hiển thị file b. Câu lệnh xem tiến trình ñang chạy c. Câu lệnh tắt tiến trình ñang chạy d. Câu lệnh tắt dịch vụ ñang chạy e. Câu lệnh xóa f. Câu lệnh thực thi trong REGEDIT g. Một số lệnh hay dùng khác Deface Virus TaiLong DFVr 3 1. Nói qua về virus(VR), Rootkit a. Virus Virus hay nói chung hơn là malware (= MALicious + softWARE) là những phần mềm ñộc hại hay những ñoạn mã ñộc có khả năng lây, nhiễm, tự sao chép chính nó, ăn cắp thông tin, giả danh các tiến trình hệ thống, ẩn nấp, cố gắng phá hoại nhân hệ ñiều hành(OS kernel), làm thay ñổi cấu hình hệ thống hoặc các ứng dụng khác chạy trên hệ thống của bạn… Malware nói chung ñược gồm có các loại sau: Trojan horse, virus, worm, spyware(phần mềm gián ñiệp), adware(phần mềm quảng cáo), backdoor, keylog, botnet, và hiện giờ còn có phần mềm giả danh các chương trình antivirus (như antivirus2009,…), rootkit(chuyên ñể ẩn nấp)…. b. Rootkit • “Một rootkit là một công cụ ñược thiết kế ñể tự ẩn chính nó và các tiến trình, dữ liệu khác và/hoặc hoạt ñộng trên một hệ thống” - G. Hoglund (www.rootkit.com) • Một công cụ ñược sử dụng ñể bảo vệ các backdoor và các công cụ khác dựa vào việc phát hiện ra bởi các nhà quản trị • Rootkit không phải là một virus, worm • Nhiệm vụ mà người tạo rootkit muốn làm là Ẩn các process Ẩn các services Ẩn các drivers Ẩn các kernel modules Ẩn các cổng TCP/UDP ñang ñược lắng nghe Ẩn các files Ẩn các khóa trong regedit Và xu thế bây giờ thường là lai ghép vidu: rootkit+virus, rootkit+worm, rootkit+trojan,… 2. Máy tính của bạn bị nhiễm virus theo cách nào - Lây nhiễm vào máy tính từ một ổ cứng bị virus, từ ổ CD hoặc ổ A. Hoặc lây nhiễm qua ổ USB (bằng cách tự ñộng kích hoạt). Thường là khi ta kích ñúp vào USB, hoặc kích chuột phải chọn Open/Explorer. - Lây nhiễm qua phần ñính kèm trong email. Các file lây nhiễm bị ñính kèm thường là các file thực thi (như là .exe, .com, .vbs, .dll, .sh, .bat, .scr, .pif, …). Và các email gửi tới thường ñược gửi từ những người không quen biết, và chúng có thể chứa các ñoạn mã phá hoại bên trong các form của .html, mà tự ñộng ñược thực thi khi ta mở email - Lây nhiễm khi download nhạc trên Bittorrent - Lây nhiễm qua các trang web (sex, crack…) thường là khi download. Các trang web này thường ñược ñẩy tới qua việc quảng cáo, hoặc ñính kèm vào các web khác và ñẩy tới người viếng thăm. Việc duyệt web cũng bị lây nhiễm (thường là qua các ñịnh dạng .htm và .html) - Virus khai thác qua các ñiểm yếu chưa ñược vá của Microsoft(IE, Office, Media,…) 3. Các triệu chứng biểu hiện của VR, Rootkit a. Các triệu chứng biểu hiện của VR - Máy tính chạy ñờ ñẫn - Khóa, không cho chạy các chương trình hệ thống như (cmd, regedit, task manager, gpedit, run, control panel, …) hoặc các chương trình diệt virus không thể thực thi ñược - Hoặc khi chạy một chương trình gì thường thông báo lỗi, chạy các file *.exe, *.com, *.bat… ñều bị thay thế bằng các chương trình khác(virus) Deface Virus TaiLong DFVr 4 - Hình như có tiến trình nào ñó ñang chạy tốn nhiều tài nguyên hệ thống, tốn RAM CPU hay sao nhưng chưa tìm ra… - Ẩn file, thư mục làm người dùng hoang mang không thấy dữ liệu cần làm ñâu - Thay ñổi ñịa chỉ IP làm cho không thể vào ñược mạng - Lây nhiễm qua USB sử dụng file autorun.inf ñể kích hoạt khi người dùng kích ñúp/chuột phải vào USB, lây qua mạng LAN, Internet tức lây qua các ñường link có chứa virus, các file ñính kèm gửi qua email… b. Các triệu chứng biểu hiện của Rootkit - Xảy ra hiện tượng màn hình xanh(BSoD) trên các hệ thống ñang ổn ñịnh bình thường - Xảy ra các lỗi khi bạn cố gắng shutdown hoặc reboot lại hệ thống - Xảy ra lỗi khi kết nối mạng - Các chương trình antivirus cảnh báo nhưng “móm” 4. Tìm kiếm/nhận biết/phát hiện VR, Rootkit a. Cách nhận biết và phát hiện VR - Process ñó chiếm khá nhiều tài nguyên hệ thống (CPU và Memory) - Process có tên lạ, hoặc có tên gần giống với các process hệ thống. Một vài process hệ thống hay bị “nhái” là explorer.exe, svchost.exe; lsass.exe, winlogon.exe, chúng thường có tên giả kiểu như expl0rer.exe, schost.exe, 1sass.exe, WIN1OGON.exe chẳng hạn… - Process bị tắt rồi tự ñộng ñược chạy lại (tức ko thể tắt ñược): Trường hợp này là do virus gọi 1 lúc nhiều process, phải tìm ñược process gốc và những process liên quan ñể tắt hết chúng ñi. Có thể tắt 1 lúc nhiều process, hoặc tắt “từ trên xuống dưới”, theo dạng cây hay dừng(suspend) process rồi mới del tiến trình ñó. - Dựa vào cách mô tả(description), xác minh chữ ký(verify signature), user name, ñường dẫn(image name)… của tiến trình ñang chạy - Tìm kiếm thu thập thông tin về tiến trình nào ñó không xác ñịnh trên google hoặc những trang cung cấp thông tin về con virus ñó như threatexpert.com hay kiểm tra thông tin mô tả về VR ở GriSOFT's Virus Encyclopedia, Eset's Virus Descriptions, McAffee's Virus Glossary, Symantec's Virus Encyclopedia, or Trend Micro's Virus Encyclopedia.… Dưới ñây là một số file mà virus thường hay giả danh - explorer.exe là một chương trình hợp pháp nằm trong thư mục c:\windows chứ không nằm trong c:\windows\system32 hoặc bất cứ nơi ñâu khác - taskmgr.exe là một chương trình hợp lệ của windows ñựoc gọi là “taskmgr.exe” chứ không phải “taskmngr.exe” lưu ý là virus rất hay giả danh, ñổi tên những file hệ thống - rundll32.exe – là một chương trình hợp lệ của windows và nằm trong c:\windows\system32 chứ không nằm trong bất cứ nơi nào khác Một số khóa REGEDIT mà VR hay khởi chạy HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce Deface Virus TaiLong DFVr 5 có nhiều nơi mà virus thay thêm vào các ñoạn script và các shortcut khi khởi chạy tiến trình trong start up: Lưu ý: Một số khoá sau trong registry, giá trị ñúng của nó là “%1%*”. Bất cứ chương trình nào mà thêm giá trị này sẽ thực thi các file nhị phân như (.exe, .com) vidụ: “virus.exe %1%*” HKEY_CLASSES_ROOT\exefile\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command HKEY_CLASSES_ROOT\comfile\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command HKEY_CLASSES_ROOT\comfile\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command Cũng kiểm tra tại các nơi sau Startup folder: kích vào Start->Programs->Startup, and right click on Startup and select "Open" from the menu. Check every file in this folder and make sure you know what they are. These files will startup automatically every time you login to your systems. Windows Scheduler - kiểm tra nếu bất kỳ chương trình xem nó ñược ñặt chạy vào những lúc nào. ðôi khi các virus thường sử dụng scheduler như một cách ñể cho chương trình thực thi. nằm trong c:\windows\task Kiểm tra các file: Win.ini (load=Trojan.exe or run=Trojan.exe) (cho win98) System.ini (Shell=Explorer.exe trojan.exe) (cho win98) Autoexec.bat – Tìm xem những file nào ñựơc thêm vào, có thể theo các ñuôi mở rộng : .exe, .scr, .pif, .com, .bat Config.sys – Tìm xem nhưng file nào ñược thêm vào b. Cách nhận biết và phát hiện Rootkit - Tìm kiếm những tiến trình không xác ñịnh - Kiểm tra các cổng mở(netstat, tcpview) - Dựa trên chữ ký ñể tìm kiếm rootkits, virus, backdoors ñã biết, tìm kiếm các “phần ñộc hại, các từ như kill, die…” sống trong bộ nhớ(memory) - Có hai cách chính ñể phát hiện một rootkit trên máy bị nhiễm: quét và theo dõi các sự kiện. Kĩ thuật quét sử dụng phương pháp so sánh cách nhìn của hệ thống sử dụng các công cụ mức người dùng với cách nhìn từ bên trong lõi HðH. Nếu có dấu hiệu che giấu nào, thành phần ñó phải hiện lên bên trong lõi chứ không phải ở màn hình người dùng. Gần ñây ñã có khá nhiều chương trình có thể ñảm nhiệm chức năng quét này. - Về mặt lý thuyết thì phương pháp này là rất tốt – rootkit giấu các tài nguyên hệ thống, vậy cách tốt nhất ñể phát hiện rootkit là tìm kiếm những gì bị che giấu. Tuy nhiên vẫn có một vài nhược ñiểm. Nhược ñiểm ñầu tiên là nếu bản thân HðH ñã có lỗi thì việc quét cũng có thể bị chính rootkit qua mặt. Khả năng xảy ra nguy cơ này phụ thuộc vào cụ thể quá trình quét và bản thân rootkit ñược thực thi như thế nào. Thường thì lõi HðH Windows không ñược mô tả công khai cho nên rất khó ñảm bảo tiến trình quét Deface Virus TaiLong DFVr 6 ñạt kết quả chính xác. Hơn nữa, rootkit có thể tránh bị phát hiện bằng cách che giấu tất cả các tiến trình ngoại trừ chính tiến trình phát hiện rootkit. - Một cách khác là sử dụng một hệ thống hoạt ñộng dựa trên các sự kiện liên tục theo dõi ñể có thể nắm ñược rootkit vào thời ñiểm nó tiến hành tác vụ cài ñặt. Những chương trình như thế thường ñược gọi là hệ thống chống xâm nhập (IPS). Việc theo dõi từ phía HðH là rất cần thiết. Các hệ thống IPS theo dõi ở mức người dùng thực ra cũng vẫn có thể bị rootkit tấn công như chính những chương trình khác của người dùng. - Những hệ thống này có thể phát hiện và khóa những tác vụ nạp các module của HðH. Tuy nhiên việc khóa hết các module lại là một ñiều phi thực tế - nhiều chương trình hợp lệ khác cũng sẽ tiến hành cài ñặt các module lõi. Ví dụ, một số trình diệt virus sử dụng các module lõi ñể thực hiện tác vụ quét theo yêu cầu. - Vẫn có thể ñưa ra một giải pháp hay hơn là tính thêm khả năng cân nhắc liệu việc nạp một module có phải là xấu hay không bằng cách xem xét các thuộc tính khác của bộ cài ñặt cùng những chương trình liên quan. Trong khi một rootkit và một trình duyệt virus có thể có chung một số tác vụ (như cài ñặt một module lõi) thì phần lớn những ñặc tính khác của chúng lại hoàn toàn không giống nhau. - Ví dụ, một rootkit có thể cố gắng “lánh mặt” bằng cách không tạo ra cửa sổ trực quan, trong khi một trình diệt virus lại muốn cho người dùng biết sự hiện diện của chương trình. Trình rootkit cũng có thể cài một keylogger (bắt bàn phím và gửi thông tin tới một người dùng khác) còn một chương trình diệt virus thì hoàn toàn không làm thế. Bằng cách tổng hợp các ñặc tính hành ñộng khác nhau (ñược lựa chọn cẩn thận ñể có thể bắt ñược những thao tác chung liên quan tới phần mềm mục ñích xấu), việc phát hiện những chương trình rootkit là hoàn toàn có thể thực hiện ñược với ñộ tin tưởng cao. Thực tế, phương pháp này có tên “ñánh giá qua hành ñộng” và có thể ñược áp dụng rộng rãi ñể phát hiện những lớp mã mục ñích xấu như Trojan hay phần mềm gián ñiệp. - Vì dựa trên nguyên lý ñánh giá, tích lũy kinh nghiệm, hệ thống kiểu này có thể vẫn mắc lỗi (coi những chương trình bình thường là phần mềm xấu). Cách giải quyết ñơn giản với vấn ñề này là cần phải có danh sách cấm cho những lỗi chung thường gặp. (phần này kAmIkAzE (http://www.hedspi.net/diendan/) viết) 5. Làm thể nào ñể tự bảo vệ bản thân - Tạo một bản sao cho những file thường xuyên sử dụng của bạn, sau khi ñã ñược quét sạch với một chương trình antivirus - Cập nhật chương trình antivirus mới nhất ngay khi có thể - Cập nhật các trình duyệt web mới nhấtt khi có thể - Cập nhật các chương trình ñọc thư mới nhất phía máy trạm ngay khi có thể - Cập nhật chương trình Acrobat Reader mới nhất (nếu bạn sử dụng nó) - Cập nhật chương trình Office - Quét mọi file khi bạn tải từ mạng về - Nếu bạn sử dụng chát qua IRC bạn phải vô hiệu hóa tùy chọn tự ñộng truy nhập tới các file. - Không cắm USB từ các nguồn không ñáng tin cậy. Hoặc khi cắm USB vào bạn phải disable chức năng tự ñộng chạy trong từ USB ñi. Xem thêm ở mấy link sau http://support.microsoft.com/kb/126025 http://antivirus.about.com/od/securitytips/ht/autorun.htm http://nick.brown.free.fr/blog/2007/10/memory-stick-worms http://blogs.computerworld.com/the_best_way_to_disable_autorun_to_be_protected_from_infected_usb _flash_drives - Khi máy tính bạn ñang hoạt ñộng hay ñể chương trình virus chạy ñể theo dõi các chương trình chạy, và sự xâm nhập, thực thi của một chương trình nào ñó - Không truy cập vào các trang web ñược gửi từ những người lạ. Nó có thể chứa một ñoạn mã thực thi làm hỏng, lỗi hệ thống máy tính của bạn. Nếu bạn muốn xem trang web ñó bạn có thể copy ñường link rồi vào trang này ñể kiểm tra link ñó Deface Virus TaiLong DFVr 7 http://linkscanner.explabs.com/linkscanner/default.aspx - Tại thời ñiểm hiện nay bạn nên dùng một trình duyệt thứ 3 ngoài Internet Explorer như Firefox, Opera, Google Chrome…Vì hiện tại IE bị tấn công nhiều nhất sau ñó ñến Firefox và các trình duyệt khác (mình hay dùng Opera :D) - Vô hiệu hóa chức năng thực thi của java hoặc các script active-x trong trình duyệt của bạn. Khi nào cần thì cho phép lại - Hiện ẩn các phần ñuôi mở rộng ñể biết ñược ñịnh dạng file ñó là gì(vào Folder Options viewbỏ tích Hide extensions for know files). Vì nếu ai ñó gửi cho bạn một file như là pic.jpg.vbs, bạn có thể nghĩ rằng file ñó ñịnh dạng là .jpg và chạy nó…thế là….ăn “ñạn” ngay :D - Luôn luôn có một ñĩa boot, ñĩa phục hồi ñể sửa chưa máy tính của bạn trong trường hợp ñã bị lây nhiễm. Khi có ñĩa này bạn có thể copy dữ liệu của mình, kiểm tra virus từ ñĩa ñó. Bạn sử dụng ñĩa Windows PE, Hiren’s Boot (từ bản 9.7 là có winxp mini chạy và có thể thực thi việc copy và diệt virus bằng tay). Hoặc bạn sử dụng các ñĩa cứu hộ virus của các hãng bảo mật ñể cứu http://www.raymond.cc/blog/archives/2008/12/11/13-antivirus-rescue-cds-software-compared-in- search-for-the-best-rescue-disk/ - Bạn dùng chỉ một chương trình diệt virus và cập nhật nó thường xuyên, khi bạn sử dụng một phần mềm diệt virus sẽ quen với cách dùng ñó và chức năng diệt virus của các phần mềm diệt cũng có một số yếu tố chung nhất. Tự mình là một công cụ diệt hay hơn :>) Dưới ñây là danh sách một số phần mềm hàng ñầu về diệt virus (nếu bạn trả tiền mua) F-Secure (http://www.f-secure.com/en_EMEA/) BitDefender (http://www.bitdefender.com/) Kaspersky (http://www.kaspersky.com/) McAfee (http://www.mcafee.com/) Symantec (http://www.symantec.com/) Panda (http://www.pandasecurity.com/) Còn ñây là danh sách phần mềm diệt virus miễn phí AVG Free Edition (http://free.avg.com/) Avast Home Edition (http://www.avast.com/eng/download-avast-home.html) Antivir Personal Edition (http://www.free-av.com/) Rising Antivirus Free Edition (http://www.freerav.com/) ClamWin Free Antivirus (http://www.clamwin.com/) A-Squared Free (http://www.emsisoft.com/en/software/free/) Phần mềm của Việt Nam có BKAV - http://www.bkav.com.vn/ (có bản Home miễn phí cho người dùng ở nhà, và bản thương mại dùng cho doanh nghiệp) CMC Antivirus - http://cmcinfosec.com/index.php (cũng có bản free và bản thương mại) - Cập nhật các bản vá lỗi cho windows http://www.microsoft.com/technet/security/current.aspx Hoặc bạn có thể dùng tool Rising PC doctor ñể vá phần nào ñó lỗi http://www.rising-global.com/Download/Rising-Free-Utilities/Rising-PC-Doctor.html Cài ñặt ra  chọn Leaks Vulnerabilities found Details tích vào ô Select all Chọn Fix Vulnerabilities Deface Virus TaiLong DFVr 8 6. Sử dụng câu lệnh CMD ñể phát hiện VR - Các file ẩn có ñuôi (*.exe, *.dll, *.bat, *.txt, *.vbs, *.js, *.reg, *.cmd, *.com, *.pif, *.lnk, *.wsh) nằm trong ổ hệ thống (thường là ổ C) C:\windows, c:\windows\system32, c:\windows\system, c:\windows\system\drivers…. (mặc ñịnh của windows thì không có những file ñó ẩn) mà ko phải do người dùng ẩn ñi thì ñều là virus hoặc chương trình ñộc hại. Khi muốn kiểm tra các thuộc tính ẩn nên kiểm tra ở các thư mục windows, system32, system, drivers, tasks trong ổ C:\ - VR xu hướng bây giờ thường chạy cùng một lúc nhiều tiến trình a) Câu lệnh hiển thị file - DIR + Lệnh Dir /ah ñể xem tất cả các file ẩn + Lệnh Dir /ah /s ñể xem tất cả các file ẩn ở thư mục ñấy và các thư mục con của nó + Lệnh Dir /ah /b xem các file ẩn sắp xếp theo hàng + Lệnh Dir /ah *.exe là chỉ xem những file ẩn có ñuôi *.exe. Muốn xem nhiều ñịnh dạng file ta thêm dấu “,” vd: “DIR /ah *.exe, *.dll, *.bat” + Lệnh Dir /ah /s *.dll là xem tất cả các file ẩn có ñuôi *.dll ở thư mục ñó và thư mục con của nó Vd ta ñang ở C:\windows\system32: c:\windows\dir /ah /s *.dll  chỉ hiện thị những file ẩn dạng *.dll Deface Virus TaiLong DFVr 9 Như hình này ñã sử dụng câu lệnh “dir /ah”, “dir /ah /b”, “dir /ah /b /s *.exe, *.dll” b) Câu lệnh xem tiến trình ñang chạy - TASKLIST + Xem có dịch vụ nào ñang chạy cùng tiến trình ñó Tasklist /svc Lọc riêng một tiến trình xem có dịch vụ nào ñang chạy cùng nó Tasklist /svc /fi “imagename eq explorer.exe” + Hiển thị các tiến trình có PID lớn hơn 2000(tùy chọn PID) và in ra ñịnh dạng csv: hiển thị bao gồm "Image Name","PID","Session Name","Session#","Mem Usage","Status","User Name","CPU Time","Window Title" Tasklist /v /fi "pid gt 2000" /fo csv In ra một file cho dễ nhìn: Tasklist /v /fi "pid gt 2000" /fo csv >hell.txt + ðể hiển thị các tiến trình với trạng thái ñang chạy với các username mặc ñịnh với các username: system, network service, local service, administrator. Còn nếu bạn ñang chạy trong user nào thì hiện thị với tên user ñó Tasklist /fi "USERNAME eq NT AUTHORITY\SYSTEM” /fi "STATUS eq running" Lệnh rút gọn: Tasklist /fi "USERNAME eq SYSTEM" /fi "STATUS eq running" Deface Virus TaiLong DFVr 10 Tasklist /fi “username eq ten_user_dang_dung” /fi “status eq running” Tasklist /fi “username ne system” /f “status eq running”  lệnh này hiển thị trạng thái ñang chạy với username ko phải là system Tasklist /v /fi "STATUS eq running"  xem chỉ những tiến trình ñang chạy + Hiển thị các file DLL chạy cùng tiến trình Tasklist /m Tasklist /m wbem* Lọc những tiến trình chạy có các file *.dll với ñầu ngữ wbem Tasklist /fi “modules eq ntdll*”  lệnh này chỉ lọc các file dll với ñầu ngữ ntdll Tasklist /fi “modules eq dnsq.dll”  chỉ hiện tiến trình chạy có dnsq.dll (con dashfer) - WMIC + Hiển thị tiến trình wmic process list wmic process list brief wmic process list full wmic process list brief /every:10  cứ 10s lại cập nhật 1 lần (CTRL+C to end) wmic process list brief | find "cmd.exe"  chỉ tìm với cmd.exe + Hiển thị các tiến trình ko nằm trong thư mục %windows% wmic PROCESS WHERE "NOT ExecutablePath LIKE '%Windows%'" GET ExecutablePath + Hiển thị các chương trình khi khởi ñộng Wmic startup list brief [...]... notepad.exe + T t ti n trình theo d ng cây v i s ID là 12 34 nhưng ch v i username nào ñó (administrator ch ng h n) Taskkill /pid 12 34 /t fi “username eq administrator” + T t ti n trình v i PID l n hơn 2000 mà ko quan tâm ñ n tên c a nó Taskkill /f /fi “pid ge 2000” /im * lưu ý d u * ch áp d ng l c cho tùy ch n /im - WMIC TaiLong 11 DFVr Deface Virus + T t ti n trình v i PID và name Wmic process [pid]... các services khóa HKLM\SYSTEM\CurrentControlSet\Services - NET STOP L nh này ch stop m t d ch v Vd: Net stop srservice Net stop schedule - WMIC TaiLong 12 DFVr Deface Virus + T t(stop) m t d ch v nào ñó ñang ch y Wmic service where name=”ten_dichvu” call stopservice Vd: Wmic service where name=”srservice” call stopservice + T t nhi u d ch v 1 lúc ta s d ng câu l nh gi ng như t t nhi u ti n trình VD:... “HKCU\Software\Microsoft\Windows\CurrentVersion\policies” g) M t s l nh hay dùng khác - Scheduled Tasks: (t m d ch là vi c l p l ch) Khi h th ng b n b nhi m virus, khi ñó virus s th c hi n tác v l p l ch t c ñ t th i gian kh i ch y m t file th c thi c a virus Như vi c keylog theo dõi bàn phím và g i các phím mà b n ñã b m ñ n m t server t xa nào ñó trên cơ s ñã ñư c l p l ch Scheduled Tasks ch là m t nơi khác mà virus n náu Chính là thư m c c:\windows\tasks... mu n h i có xóa hay không trư c khi th c thi Thêm tùy ch n /q là c l ng l “pem” trong im l ng - RD (ho c rmdir) L nh này ñ xóa thư m c Vidu: t o ra m t thư m c nodel.exe RD nodel.exe Thêm tùy ch n /s ñ xóa các file và thư m c con Rd /s nodel.exe TaiLong 13 DFVr Deface Virus f) Câu l nh th c thi trong REGEDIT - REG Xem tr giúp REG /? ñây Vidu th c t luôn :> + REG ADD: L nh này s d ng ñ thêm, thi t l p... cũng ñ t t ti n trình nhưng v i ít tính năng l c hơn Tskill pid Tskill name (vi d : tskill explorer) lưu ý là ko có ñuôi exe - TASKKILL + T t ti n trình cùng lúc v i nhi u PID, name Taskkill /f /pid id1 /pid id2 /pid id3 Vidu v i các id như 12 34, 243, 879: taskkill /f /pid 12 34 /pid 243 /pid 879 Taskkill /f /im explorer.exe /im system.exe /im userinit.exe + B t ép t t ti n trình nào ñó ñang ch y v... Mu n xóa t t c các l ch ta s d ng ký t * schtasks /delete /tn * /f Như hình trên: s d ng l nh schtasks /query ñ xem th y có 2 file hell, virus Và s d ng l nh schtasks /delete ñ xóa TaiLong 16 DFVr Deface Virus Openfiles: Xem xét k lư ng các file ch y trong h th ng - Câu l nh Openfiles xem sâu hơn các file ñang ch y xem có nhưng file nào ch y cùng Nhi u nhà qu n tr h th ng không thân thi n v i l nh khá... File Execution Options\procexp.exe" /v Debugger /f Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /f + REG QUERY: Hi n th key m y khóa virus hay chui vào ñ th c thi TaiLong 15 DFVr Deface Virus Hi n th xem khóa Run có kh i ch y gì khi kh i ñ ng không Vidu: Reg query “HKLM\software\microsoft\windows\currentversion\run” Reg query “HKLM\software\microsoft\windows\currentversion\runonce”...Deface Virus Wmic startup list full + Hi n th tên, danh sách các user Wmic USERACCOUNT Wmic USERACCOUNT list brief Wmic USERACCOUNT list full Wmic USERACCOUNT WHERE "Disabled=0 AND LocalAccount =1" GET Name  (ch hi n th tên) L nh “Wmic USERACCOUNT” cũng gi ng l nh “net user” nhưng xem chi ti t hơn c) Câu l nh t t ti n trình ñang ch y - TSKILL L nh này cũng ñ t t ti n trình... "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t REG_DWORD /d 0 /f REG add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 1 /f TaiLong 14 DFVr Deface Virus REG add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFind /t REG_DWORD /d 0 /f REG add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"... có pid là 3288 và 4556 wmic process where (processid=3288 OR Processid=4556) call terminate - NTSD Theo ñư c bi t thì l nh này dùng ñ debug Cũng ko bi t nhi u v l nh này có 2 l nh sau d ng như t t m t ti n trình NTSD –c q –p PID NTSD –c q –pn name Vd: ntsd –c q –pn explorer.exe d) Câu l nh t t d ch v ñang ch y - SC L nh này dùng cho các services + Truy v n, xem các services, drivers SC query type= services . diệt virus bằng tay). Hoặc bạn sử dụng các ñĩa cứu hộ virus của các hãng bảo mật ñể cứu http://www.raymond.cc/blog/archives/2008 /12 /11 /13 -antivirus-rescue-cds-software-compared-in- search-for-the-best-rescue-disk/. http://www.raymond.cc/blog/archives/2008 /12 /11 /13 -antivirus-rescue-cds-software-compared-in- search-for-the-best-rescue-disk/ - Bạn dùng chỉ một chương trình diệt virus và cập nhật nó thường xuyên, khi bạn sử dụng một phần mềm diệt virus sẽ quen với cách dùng ñó và chức năng diệt virus của các phần. Deface Virus TaiLong DFVr 1 VẠCH MẶT VIRUS Lời giới thiệu: Virus là một vấn ñề muôn thủa, luôn luôn mới và người viết ra Virus luôn là người ñi trước.