I - Quy trình thu thập mã độc Lấy mẫu virus là một quá trình rất quan trọng. Thông qua quá trình lấy mẫu, sẽ kịp thời cung cung cấp cho các đơn vị ứng cứu khẩn cấp, hang phần mềm anti- virus, đơn vị phát triển công cụ bảo mật, đơn vị cung cấp dịch vụ bảo mật, cơ quan nhà nước nghiên cứu và phân tích mã độc của mẫu virus đó để biết được hành vi cũng như có những giải pháp tiêu diệt chúng. Công cụ cần có: Đĩa CD chứa các công cụ cơ bản như sau: - Process Explorer (Hiển thị thông tin về các tiến trình); - Autoruns (Xác định những tiến trình tự chạy khi khởi động HĐH và đường dẫn tới các chương trình thực thi); - PowerTool (Xem toàn bộ thông tin về hệ thống, đánh giá sơ lược về hệ thống, xem các tiến trình bao gồm cả tiến trình ẩn, xem các file bao gồm cả file ẩn ); - WinRar (nén và thu thập mẫu). Bước 1: Từ Start Menu của Windows chạy Run và gõ msconfig -> Startup để bước đầu xem các tiến trình được khởi tạo chạy cùng HĐH. Ở đây ta thấy có 2 tiến trình lạ đang chạy và ở cột Command có thể thấy rõ đường dẫn của những file thực thi. Bước 2: Trên thanh công cụ của HĐH nhấp chuột phải và chọn Task Manager để xem các tiến trình đang chạy trên hệ thống: Chúng ta chỉ xét các tiến trình chạy dưới user người dùng, ở đây là Administrator. Bằng kinh nghiệm và hiểu biết cơ bản về các ứng dụng trên máy tính mà chúng ta có thể phát hiện ra các tiến trình lạ. Hình dưới chúng ta có thể dễ dàng phát hiện thấy có 2 tiến trình lạ đang chạy là fortinet.exe và spoolv.exe. Trong nhiều trường hợp virus có thể ngăn chặn không cho người dùng sử dụng chức năng msconfig và Task Manager thì chúng ta sẽ qua các bước tiếp theo là sử dụng công cụ nêu ở trên để tiến hành xem các file và tiến trình của Windows. Bước 3: Dùng Process Explorer để xem có tiến trình lạ nào chạy trên máy hay không. Dựa vào kinh nghiệm và các chương trình ta đang chạy có thể xác định được có hay không virus đang chạy trong hệ thống. Cụ thể ở đây ta có thể dễ dàng thấy 2 tiến trình lạ (phần explorer.exe trở xuống) mà chúng ta nghi ngờ do virus sinh ra. Chúng ta cũng lưu ý tại cột Description sẽ cho ta một số thông tin bổ sung về tiến trình đó, cột Company Name cho ta biết tên của công ty xây dựng ứng dụng (thường các phần mềm mã độc sẽ không có tên công ty như hình trên), cột Path sẽ cho ta đường dẫn tới các file mã độc. Ngoài ra chúng ta có thể dùng phần mềm Autoruns để xác định xem có chương trình nào được khởi chạy cùng Windows hay không: Sau khi xác định chính xác đường dẫn rồi chúng ta sử dụng PowerTool để vào các thư mục chứa các phần mềm trên để xem ngoài virus đó ra còn có loại nào khác không. Trong một số trường hợp virus sẽ tự sao chép ra và nằm trong cùng một thư mục, nếu không để ý rất dễ bị bỏ sót. Bước 4: Chúng ta sử dụng chức năng Explorer của Windows để vào các thư mục chứa virus. Lưu ý tuyệt đối không kích đúp và từng thư mục vì nếu như thư mục đó có chứa virus Autorun thì chúng sẽ không được kích hoạt. Tiếp theo, chúng ta sẽ sử dụng phần mềm Winrar để nén file virus lại. Lưu ý là khi nén file chúng ta phải đặt mật khẩu cho file đề phòng trường hợp phần mềm diệt virus sẽ xóa file nếu không có mật khẩu: II - MỘT SỐ TIẾN TRÌNH WINDOWS CƠ BẢN 1. Rundll32 (quan ly cac thu vien dong *.dll) C:\Windows\SysWOW64\rundll32.exe hoặc: C:\Windows\System32\rundll32.exe 2. svchost.exe (cac tien trinh khac su dung) C:\Windows\System32 3. explorer.exe C:\Windows\ 4. conhost (csrss.exe cmd) C:\Windows\System32 5. ctfmon (quan ly tien ich MS Office) C:\Windows\System32 6. jusched (Java update schedule) C:\Program files\ 7. wscntfy.exe (windows up notification) C:\Windows\System32 8. userinit.exe (khoi tao cac dich vu cho he thong) C:\Windows\System32 9. spoolsv.exe (printing service) C:\Windows\System32 10. lsass (LSA shell chịu trách nhiệm thực thi các chính sách bảo mật trên hệ thống) C:\Windows\System32 11. smss (Windows NT session manager: This is the session manager subsystem, which is responsible for starting the user session. This process is initiated by the main system thread and is responsible for various activities, including launching the Winlogon and Win32 (Csrss.exe) processes, and setting system variables. After it has launched these processes, it waits for either Winlogon or Csrss to end. If this happens normally, the system shuts down; if it happens unexpectedly, Smss.exe causes the system to stop responding (hang).) C:\Windows\System32 12. alg.exe (Application Layer Gateway service is a component of of Windows OS. It is required if you use a third-party firewall or Internet Connection Sharing (ICS) to connect to the internet. If you end this program using the Task Manager, you will lose all Internet connectivity until your next system restart or login.) C:\Windows\System32 13. services.exe (This is the Services Control Manager, which is responsible for running, ending, and interacting with system services. Use this program to start services, stop them, or change their default from automatic to manual startup.) C:\Windows\System32 14. igfxsrvc.exe (services của intel graphic) C:\Windows\System32 III - MỘT SỐ MÃ ĐỘC VÀ ĐƯỜNG DẪN 1. SVCH0ST.exe (số 0 "zero", không phải là chữ "o") nằm trong C:\Window\system32 2. YahooMsg.exe nằm trong C:\Window\system32 3. msnms nằm trong C:\Program Files\MSN Gaming Zone\msnms.exe 4. inetinfo.exe hoặc wmimgmt.com nằm trong C:\Documents and Settings\All Users\Application Data\ 5. kis.exe nằm trong C:\Documents and Settings\Administrator\Local Settings\Temp\ kis.exe 6. spoolv.exe nằm trong C:\Documents and Settings\Administrator\ 7. iexplore.exe nằm trong C:\Documents and Settings\Administrator\Local Settings\Temp\ 8. fortinet.exe C:\Documents and Settings\Administrator\Local Settings\Temp\ hoặc taskman.exe trong C:\Windows\system32\ IV - CÁC THƯ MỤC MÃ ĐỘC HAY ẨN NẤP 1. C:\Documents and Settings\Administrator\Local Settings\Temp\ 2. C:\Documents and Settings\Administrator\ 3. C:\Documents and Settings\AllUser\ 4. Các thư mục có tên và biểu tượng giống thùng rác như RECYCLER, RECYCLE 5. C:\Windows\System32 6. C:\Documents and Settings\ . TRÌNH WINDOWS CƠ BẢN 1. Rundll32 (quan ly cac thu vien dong *.dll) C:WindowsSysWOW64
undll32.exe hoặc: C:WindowsSystem32
undll32.exe 2. svchost.exe (cac tien trinh khac su dung) C:WindowsSystem32 3 explorer.exe C:Windows 4. conhost (csrss.exe cmd) C:WindowsSystem32 5. ctfmon (quan ly tien ich MS Office) C:WindowsSystem32 6. jusched (Java update schedule) C:Program files 7. wscntfy.exe (windows. wscntfy.exe (windows up notification) C:WindowsSystem32 8. userinit.exe (khoi tao cac dich vu cho he thong) C:WindowsSystem32 9. spoolsv.exe (printing service) C:WindowsSystem32 10. lsass (LSA shell