Deface Virus

VẠCH MẶT VIRUS

Lời giới thiệu:

Virus là một vấn ñề muôn thủa, luôn luôn mới và người viết ra Virus luôn là người ñi trước. Mình viết
và tham khảo ñược một ít về cái gọi là virus ñể các bạn có một ít cách nhìn về Virus và ñể tìm và vạch

mặt cái ñó

Cám ơn người anh em vovi ñã giúp ñỡ hoàn thành việc chuyển thể ra file .chm

TaiLong 1 DFVr
 Deface Virus

1. Nói qua về Virus(VR), Rootkit

a. Virus
b. Rootkit
2. Máy tính của bạn bị nhiễm virus theo cách nào
3. Các triệu chứng biểu hiện của VR, Rootkit
a. Các triệu chứng biểu hiện của VR
b. Các triệu chứng biểu hiện của Rootkit
4. Tìm kiếm/nhận biết/phát hiện VR, Rootkit
a. Cách nhận biết và phát hiện VR
b. Cách nhận biết và phát hiện Rootkit
5. Làm thể nào ñể tự bảo vệ bản thân
6. Sử dụng câu lệnh CMD ñể phát hiện VR
a. Câu lệnh hiển thị file
b. Câu lệnh xem tiến trình ñang chạy
c. Câu lệnh tắt tiến trình ñang chạy
d. Câu lệnh tắt dịch vụ ñang chạy
e. Câu lệnh xóa
f. Câu lệnh thực thi trong REGEDIT
g. Một số lệnh hay dùng khác

TaiLong 2 DFVr
 Deface Virus

1. Nói qua về virus(VR), Rootkit

a. Virus
Virus hay nói chung hơn là malware (= MALicious + softWARE) là những phần mềm ñộc hại hay
những ñoạn mã ñộc có khả năng lây, nhiễm, tự sao chép chính nó, ăn cắp thông tin, giả danh các tiến trình
hệ thống, ẩn nấp, cố gắng phá hoại nhân hệ ñiều hành(OS kernel), làm thay ñổi cấu hình hệ thống hoặc các
ứng dụng khác chạy trên hệ thống của bạn…
Malware nói chung ñược gồm có các loại sau: Trojan horse, virus, worm, spyware(phần mềm gián
ñiệp), adware(phần mềm quảng cáo), backdoor, keylog, botnet, và hiện giờ còn có phần mềm giả danh các
chương trình antivirus (như antivirus2009,…), rootkit(chuyên ñể ẩn nấp)….
b. Rootkit
• “Một rootkit là một công cụ ñược thiết kế ñể tự ẩn chính nó và các tiến trình, dữ liệu khác và/hoặc hoạt
ñộng trên một hệ thống” - G. Hoglund (www.rootkit.com)
• Một công cụ ñược sử dụng ñể bảo vệ các backdoor và các công cụ khác dựa vào việc phát hiện ra bởi
các nhà quản trị
• Rootkit không phải là một virus, worm
• Nhiệm vụ mà người tạo rootkit muốn làm là
Ẩn các process
Ẩn các services
Ẩn các drivers
Ẩn các kernel modules
Ẩn các cổng TCP/UDP ñang ñược lắng nghe
Ẩn các files
Ẩn các khóa trong regedit

Và xu thế bây giờ thường là lai ghép vidu: rootkit+virus, rootkit+worm, rootkit+trojan,…

2. Máy tính của bạn bị nhiễm virus theo cách nào

- Lây nhiễm vào máy tính từ một ổ cứng bị virus, từ ổ CD hoặc ổ A. Hoặc lây nhiễm qua ổ USB (bằng
cách tự ñộng kích hoạt). Thường là khi ta kích ñúp vào USB, hoặc kích chuột phải chọn Open/Explorer.
- Lây nhiễm qua phần ñính kèm trong email. Các file lây nhiễm bị ñính kèm thường là các file thực thi
(như là .exe, .com, .vbs, .dll, .sh, .bat, .scr, .pif, …). Và các email gửi tới thường ñược gửi từ những
người không quen biết, và chúng có thể chứa các ñoạn mã phá hoại bên trong các form của .html, mà tự
ñộng ñược thực thi khi ta mở email
- Lây nhiễm khi download nhạc trên Bittorrent
- Lây nhiễm qua các trang web (sex, crack…) thường là khi download. Các trang web này thường ñược
ñẩy tới qua việc quảng cáo, hoặc ñính kèm vào các web khác và ñẩy tới người viếng thăm. Việc duyệt
web cũng bị lây nhiễm (thường là qua các ñịnh dạng .htm và .html)
- Virus khai thác qua các ñiểm yếu chưa ñược vá của Microsoft(IE, Office, Media,…)

3. Các triệu chứng biểu hiện của VR, Rootkit

a. Các triệu chứng biểu hiện của VR
- Máy tính chạy ñờ ñẫn
- Khóa, không cho chạy các chương trình hệ thống như (cmd, regedit, task manager, gpedit, run, control
panel, …) hoặc các chương trình diệt virus không thể thực thi ñược
- Hoặc khi chạy một chương trình gì thường thông báo lỗi, chạy các file *.exe, *.com, *.bat… ñều bị thay
thế bằng các chương trình khác(virus)

TaiLong 3 DFVr
 Deface Virus
- Hình như có tiến trình nào ñó ñang chạy tốn nhiều tài nguyên hệ thống, tốn RAM CPU hay sao nhưng
chưa tìm ra…
- Ẩn file, thư mục làm người dùng hoang mang không thấy dữ liệu cần làm ñâu
- Thay ñổi ñịa chỉ IP làm cho không thể vào ñược mạng
- Lây nhiễm qua USB sử dụng file autorun.inf ñể kích hoạt khi người dùng kích ñúp/chuột phải vào USB,
lây qua mạng LAN, Internet tức lây qua các ñường link có chứa virus, các file ñính kèm gửi qua email…

b. Các triệu chứng biểu hiện của Rootkit

- Xảy ra hiện tượng màn hình xanh(BSoD) trên các hệ thống ñang ổn ñịnh bình thường
- Xảy ra các lỗi khi bạn cố gắng shutdown hoặc reboot lại hệ thống
- Xảy ra lỗi khi kết nối mạng
- Các chương trình antivirus cảnh báo nhưng “móm”

4. Tìm kiếm/nhận biết/phát hiện VR, Rootkit

a. Cách nhận biết và phát hiện VR
- Process ñó chiếm khá nhiều tài nguyên hệ thống (CPU và Memory)
- Process có tên lạ, hoặc có tên gần giống với các process hệ thống. Một vài process hệ thống hay bị
“nhái” là explorer.exe, svchost.exe; lsass.exe, winlogon.exe,.... chúng thường có tên giả kiểu như
expl0rer.exe, schost.exe, 1sass.exe, WIN1OGON.exe chẳng hạn…
- Process bị tắt rồi tự ñộng ñược chạy lại (tức ko thể tắt ñược): Trường hợp này là do virus gọi 1 lúc nhiều
process, phải tìm ñược process gốc và những process liên quan ñể tắt hết chúng ñi. Có thể tắt 1 lúc nhiều
process, hoặc tắt “từ trên xuống dưới”, theo dạng cây hay dừng(suspend) process rồi mới del tiến trình
ñó.
- Dựa vào cách mô tả(description), xác minh chữ ký(verify signature), user name, ñường dẫn(image
name)… của tiến trình ñang chạy
- Tìm kiếm thu thập thông tin về tiến trình nào ñó không xác ñịnh trên google hoặc những trang cung cấp
thông tin về con virus ñó như threatexpert.com hay kiểm tra thông tin mô tả về VR ở GriSOFT's Virus
Encyclopedia, Eset's Virus Descriptions, McAffee's Virus Glossary, Symantec's Virus Encyclopedia, or
Trend Micro's Virus Encyclopedia.…
Dưới ñây là một số file mà virus thường hay giả danh
- explorer.exe là một chương trình hợp pháp nằm trong thư mục c:\windows chứ không nằm trong
c:\windows\system32 hoặc bất cứ nơi ñâu khác
- taskmgr.exe là một chương trình hợp lệ của windows ñựoc gọi là “taskmgr.exe” chứ không phải
“taskmngr.exe” lưu ý là virus rất hay giả danh, ñổi tên những file hệ thống
- rundll32.exe – là một chương trình hợp lệ của windows và nằm trong c:\windows\system32 chứ
không nằm trong bất cứ nơi nào khác
Một số khóa REGEDIT mà VR hay khởi chạy
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

TaiLong 4 DFVr
 Deface Virus
có nhiều nơi mà virus thay thêm vào các ñoạn script và các shortcut khi khởi chạy tiến trình trong start up:
Lưu ý: Một số khoá sau trong registry, giá trị ñúng của nó là “%1%*”. Bất cứ chương trình nào mà
thêm giá trị này sẽ thực thi các file nhị phân như (.exe, .com) vidụ: “virus.exe %1%*”
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
Cũng kiểm tra tại các nơi sau
Startup folder: kích vào Start->Programs->Startup, and right click on Startup and select "Open" from
the menu. Check every file in this folder and make sure you know what they are. These files will startup
automatically every time you login to your systems.
Windows Scheduler - kiểm tra nếu bất kỳ chương trình xem nó ñược ñặt chạy vào những lúc nào. ðôi
khi các virus thường sử dụng scheduler như một cách ñể cho chương trình thực thi. nằm trong
c:\windows\task
Kiểm tra các file:
Win.ini (load=Trojan.exe or run=Trojan.exe) (cho win98)
System.ini (Shell=Explorer.exe trojan.exe) (cho win98)
Autoexec.bat – Tìm xem những file nào ñựơc thêm vào, có thể theo các ñuôi mở rộng : .exe, .scr, .pif,
.com, .bat
Config.sys – Tìm xem nhưng file nào ñược thêm vào

b. Cách nhận biết và phát hiện Rootkit

- Tìm kiếm những tiến trình không xác ñịnh
- Kiểm tra các cổng mở(netstat, tcpview)
- Dựa trên chữ ký ñể tìm kiếm rootkits, virus, backdoors ñã biết, tìm kiếm các “phần ñộc hại, các từ như
kill, die…” sống trong bộ nhớ(memory)
- Có hai cách chính ñể phát hiện một rootkit trên máy bị nhiễm: quét và theo dõi các sự kiện. Kĩ thuật
quét sử dụng phương pháp so sánh cách nhìn của hệ thống sử dụng các công cụ mức người dùng với
cách nhìn từ bên trong lõi HðH. Nếu có dấu hiệu che giấu nào, thành phần ñó phải hiện lên bên trong lõi
chứ không phải ở màn hình người dùng. Gần ñây ñã có khá nhiều chương trình có thể ñảm nhiệm chức
năng quét này.
- Về mặt lý thuyết thì phương pháp này là rất tốt – rootkit giấu các tài nguyên hệ thống, vậy cách tốt nhất
ñể phát hiện rootkit là tìm kiếm những gì bị che giấu. Tuy nhiên vẫn có một vài nhược ñiểm. Nhược
ñiểm ñầu tiên là nếu bản thân HðH ñã có lỗi thì việc quét cũng có thể bị chính rootkit qua mặt. Khả
năng xảy ra nguy cơ này phụ thuộc vào cụ thể quá trình quét và bản thân rootkit ñược thực thi như thế
nào. Thường thì lõi HðH Windows không ñược mô tả công khai cho nên rất khó ñảm bảo tiến trình quét

TaiLong 5 DFVr
 Deface Virus
ñạt kết quả chính xác. Hơn nữa, rootkit có thể tránh bị phát hiện bằng cách che giấu tất cả các tiến trình
ngoại trừ chính tiến trình phát hiện rootkit.
- Một cách khác là sử dụng một hệ thống hoạt ñộng dựa trên các sự kiện liên tục theo dõi ñể có thể nắm
ñược rootkit vào thời ñiểm nó tiến hành tác vụ cài ñặt. Những chương trình như thế thường ñược gọi là
hệ thống chống xâm nhập (IPS). Việc theo dõi từ phía HðH là rất cần thiết. Các hệ thống IPS theo dõi ở
mức người dùng thực ra cũng vẫn có thể bị rootkit tấn công như chính những chương trình khác của
người dùng.
- Những hệ thống này có thể phát hiện và khóa những tác vụ nạp các module của HðH. Tuy nhiên việc
khóa hết các module lại là một ñiều phi thực tế - nhiều chương trình hợp lệ khác cũng sẽ tiến hành cài
ñặt các module lõi. Ví dụ, một số trình diệt virus sử dụng các module lõi ñể thực hiện tác vụ quét theo
yêu cầu.
- Vẫn có thể ñưa ra một giải pháp hay hơn là tính thêm khả năng cân nhắc liệu việc nạp một module có
phải là xấu hay không bằng cách xem xét các thuộc tính khác của bộ cài ñặt cùng những chương trình
liên quan. Trong khi một rootkit và một trình duyệt virus có thể có chung một số tác vụ (như cài ñặt một
module lõi) thì phần lớn những ñặc tính khác của chúng lại hoàn toàn không giống nhau.
- Ví dụ, một rootkit có thể cố gắng “lánh mặt” bằng cách không tạo ra cửa sổ trực quan, trong khi một
trình diệt virus lại muốn cho người dùng biết sự hiện diện của chương trình. Trình rootkit cũng có thể
cài một keylogger (bắt bàn phím và gửi thông tin tới một người dùng khác) còn một chương trình diệt
virus thì hoàn toàn không làm thế. Bằng cách tổng hợp các ñặc tính hành ñộng khác nhau (ñược lựa
chọn cẩn thận ñể có thể bắt ñược những thao tác chung liên quan tới phần mềm mục ñích xấu), việc phát
hiện những chương trình rootkit là hoàn toàn có thể thực hiện ñược với ñộ tin tưởng cao. Thực tế,
phương pháp này có tên “ñánh giá qua hành ñộng” và có thể ñược áp dụng rộng rãi ñể phát hiện những
lớp mã mục ñích xấu như Trojan hay phần mềm gián ñiệp.
- Vì dựa trên nguyên lý ñánh giá, tích lũy kinh nghiệm, hệ thống kiểu này có thể vẫn mắc lỗi (coi những
chương trình bình thường là phần mềm xấu). Cách giải quyết ñơn giản với vấn ñề này là cần phải có
danh sách cấm cho những lỗi chung thường gặp.
(phần này kAmIkAzE (http://www.hedspi.net/diendan/) viết)

5. Làm thể nào ñể tự bảo vệ bản thân

- Tạo một bản sao cho những file thường xuyên sử dụng của bạn, sau khi ñã ñược quét sạch với một
chương trình antivirus
- Cập nhật chương trình antivirus mới nhất ngay khi có thể
- Cập nhật các trình duyệt web mới nhấtt khi có thể
- Cập nhật các chương trình ñọc thư mới nhất phía máy trạm ngay khi có thể
- Cập nhật chương trình Acrobat Reader mới nhất (nếu bạn sử dụng nó)
- Cập nhật chương trình Office
- Quét mọi file khi bạn tải từ mạng về
- Nếu bạn sử dụng chát qua IRC bạn phải vô hiệu hóa tùy chọn tự ñộng truy nhập tới các file.
- Không cắm USB từ các nguồn không ñáng tin cậy. Hoặc khi cắm USB vào bạn phải disable chức năng
tự ñộng chạy trong từ USB ñi. Xem thêm ở mấy link sau
http://support.microsoft.com/kb/126025
http://antivirus.about.com/od/securitytips/ht/autorun.htm
http://nick.brown.free.fr/blog/2007/10/memory-stick-worms
http://blogs.computerworld.com/the_best_way_to_disable_autorun_to_be_protected_from_infected_usb
_flash_drives
- Khi máy tính bạn ñang hoạt ñộng hay ñể chương trình virus chạy ñể theo dõi các chương trình chạy, và
sự xâm nhập, thực thi của một chương trình nào ñó
- Không truy cập vào các trang web ñược gửi từ những người lạ. Nó có thể chứa một ñoạn mã thực thi
làm hỏng, lỗi hệ thống máy tính của bạn. Nếu bạn muốn xem trang web ñó bạn có thể copy ñường link
rồi vào trang này ñể kiểm tra link ñó
TaiLong 6 DFVr
 Deface Virus
http://linkscanner.explabs.com/linkscanner/default.aspx

- Tại thời ñiểm hiện nay bạn nên dùng một trình duyệt thứ 3 ngoài Internet Explorer như Firefox, Opera,
Google Chrome…Vì hiện tại IE bị tấn công nhiều nhất sau ñó ñến Firefox và các trình duyệt khác (mình

hay dùng Opera :D)

- Vô hiệu hóa chức năng thực thi của java hoặc các script active-x trong trình duyệt của bạn. Khi nào cần
thì cho phép lại
- Hiện ẩn các phần ñuôi mở rộng ñể biết ñược ñịnh dạng file ñó là gì(vào Folder Options
view
bỏ
tích Hide extensions for know files). Vì nếu ai ñó gửi cho bạn một file như là pic.jpg.vbs, bạn có thể
nghĩ rằng file ñó ñịnh dạng là .jpg và chạy nó…thế là….ăn “ñạn” ngay :D
- Luôn luôn có một ñĩa boot, ñĩa phục hồi ñể sửa chưa máy tính của bạn trong trường hợp ñã bị lây nhiễm.
Khi có ñĩa này bạn có thể copy dữ liệu của mình, kiểm tra virus từ ñĩa ñó. Bạn sử dụng ñĩa Windows
PE, Hiren’s Boot (từ bản 9.7 là có winxp mini chạy và có thể thực thi việc copy và diệt virus bằng tay).
Hoặc bạn sử dụng các ñĩa cứu hộ virus của các hãng bảo mật ñể cứu
http://www.raymond.cc/blog/archives/2008/12/11/13-antivirus-rescue-cds-software-compared-in-
search-for-the-best-rescue-disk/
- Bạn dùng chỉ một chương trình diệt virus và cập nhật nó thường xuyên, khi bạn sử dụng một phần mềm
diệt virus sẽ quen với cách dùng ñó và chức năng diệt virus của các phần mềm diệt cũng có một số yếu
tố chung nhất. Tự mình là một công cụ diệt hay hơn :>)

Dưới ñây là danh sách một số phần mềm hàng ñầu về diệt virus (nếu bạn trả tiền mua)
F-Secure (http://www.f-secure.com/en_EMEA/)
BitDefender (http://www.bitdefender.com/)
Kaspersky (http://www.kaspersky.com/)
McAfee (http://www.mcafee.com/)
Symantec (http://www.symantec.com/)
Panda (http://www.pandasecurity.com/)

Còn ñây là danh sách phần mềm diệt virus miễn phí
AVG Free Edition (http://free.avg.com/)
Avast Home Edition (http://www.avast.com/eng/download-avast-home.html)
Antivir Personal Edition (http://www.free-av.com/)
Rising Antivirus Free Edition (http://www.freerav.com/)
ClamWin Free Antivirus (http://www.clamwin.com/)
A-Squared Free (http://www.emsisoft.com/en/software/free/)

Phần mềm của Việt Nam có

BKAV - http://www.bkav.com.vn/
(có bản Home miễn phí cho người dùng ở nhà, và bản thương mại dùng cho doanh nghiệp)
CMC Antivirus - http://cmcinfosec.com/index.php
(cũng có bản free và bản thương mại)

- Cập nhật các bản vá lỗi cho windows

http://www.microsoft.com/technet/security/current.aspx
Hoặc bạn có thể dùng tool Rising PC doctor ñể vá phần nào ñó lỗi
http://www.rising-global.com/Download/Rising-Free-Utilities/Rising-PC-Doctor.html
Cài ñặt ra
chọn Leaks
Vulnerabilities found
Details
tích vào ô Select all
Chọn Fix
Vulnerabilities

TaiLong 7 DFVr
 Deface Virus

6. Sử dụng câu lệnh CMD ñể phát hiện VR

- Các file ẩn có ñuôi (*.exe, *.dll, *.bat, *.txt, *.vbs, *.js, *.reg, *.cmd, *.com, *.pif, *.lnk, *.wsh) nằm
trong ổ hệ thống (thường là ổ C) C:\windows, c:\windows\system32, c:\windows\system,
c:\windows\system\drivers…. (mặc ñịnh của windows thì không có những file ñó ẩn) mà ko phải do người
dùng ẩn ñi thì ñều là virus hoặc chương trình ñộc hại. Khi muốn kiểm tra các thuộc tính ẩn nên kiểm tra ở
các thư mục windows, system32, system, drivers, tasks trong ổ C:\
- VR xu hướng bây giờ thường chạy cùng một lúc nhiều tiến trình

a) Câu lệnh hiển thị file

- DIR
+ Lệnh Dir /ah ñể xem tất cả các file ẩn
+ Lệnh Dir /ah /s ñể xem tất cả các file ẩn ở thư mục ñấy và các thư mục con của nó
+ Lệnh Dir /ah /b xem các file ẩn sắp xếp theo hàng
+ Lệnh Dir /ah *.exe là chỉ xem những file ẩn có ñuôi *.exe.
Muốn xem nhiều ñịnh dạng file ta thêm dấu “,” vd: “DIR /ah *.exe, *.dll, *.bat”
+ Lệnh Dir /ah /s *.dll là xem tất cả các file ẩn có ñuôi *.dll ở thư mục ñó và thư mục con của nó
Vd ta ñang ở C:\windows\system32:
c:\windows\dir /ah /s *.dll  chỉ hiện thị những file ẩn dạng *.dll

TaiLong 8 DFVr
 Deface Virus

Như hình này ñã sử dụng câu lệnh “dir /ah”, “dir /ah /b”, “dir /ah /b /s *.exe, *.dll”

b) Câu lệnh xem tiến trình ñang chạy

- TASKLIST
+ Xem có dịch vụ nào ñang chạy cùng tiến trình ñó
Tasklist /svc
Lọc riêng một tiến trình xem có dịch vụ nào ñang chạy cùng nó
Tasklist /svc /fi “imagename eq explorer.exe”

+ Hiển thị các tiến trình có PID lớn hơn 2000(tùy chọn PID) và in ra ñịnh dạng csv: hiển thị bao gồm
"Image Name","PID","Session Name","Session#","Mem Usage","Status","User Name","CPU
Time","Window Title"
Tasklist /v /fi "pid gt 2000" /fo csv
In ra một file cho dễ nhìn: Tasklist /v /fi "pid gt 2000" /fo csv >hell.txt

+ ðể hiển thị các tiến trình với trạng thái ñang chạy với các username mặc ñịnh với các username:
system, network service, local service, administrator. Còn nếu bạn ñang chạy trong user nào thì hiện thị với
tên user ñó
Tasklist /fi "USERNAME eq NT AUTHORITY\SYSTEM” /fi "STATUS eq running"
Lệnh rút gọn:
Tasklist /fi "USERNAME eq SYSTEM" /fi "STATUS eq running"

TaiLong 9 DFVr
 Deface Virus
Tasklist /fi “username eq ten_user_dang_dung” /fi “status eq running”
Tasklist /fi “username ne system” /f “status eq running”  lệnh này hiển thị trạng thái ñang chạy với
username ko phải là system
Tasklist /v /fi "STATUS eq running"  xem chỉ những tiến trình ñang chạy
+ Hiển thị các file DLL chạy cùng tiến trình
Tasklist /m
Tasklist /m wbem* Lọc những tiến trình chạy có các file *.dll với ñầu ngữ wbem
Tasklist /fi “modules eq ntdll*”  lệnh này chỉ lọc các file dll với ñầu ngữ ntdll
Tasklist /fi “modules eq dnsq.dll”  chỉ hiện tiến trình chạy có dnsq.dll (con dashfer)

- WMIC
+ Hiển thị tiến trình
wmic process list
wmic process list brief
wmic process list full
wmic process list brief /every:10  cứ 10s lại cập nhật 1 lần (CTRL+C to end)
wmic process list brief | find "cmd.exe"  chỉ tìm với cmd.exe

+ Hiển thị các tiến trình ko nằm trong thư mục %windows%
wmic PROCESS WHERE "NOT ExecutablePath LIKE '%Windows%'" GET ExecutablePath

+ Hiển thị các chương trình khi khởi ñộng

Wmic startup list brief
TaiLong 10 DFVr
 Deface Virus
Wmic startup list full

+ Hiển thị tên, danh sách các user

Wmic USERACCOUNT
Wmic USERACCOUNT list brief
Wmic USERACCOUNT list full
Wmic USERACCOUNT WHERE "Disabled=0 AND LocalAccount=1" GET Name  (chỉ hiển thị tên)
Lệnh “Wmic USERACCOUNT” cũng giống lệnh “net user” nhưng xem chi tiết hơn

c) Câu lệnh tắt tiến trình ñang chạy

- TSKILL
Lệnh này cũng ñể tắt tiến trình nhưng với ít tính năng lọc hơn
Tskill pid
Tskill name (vi dụ: tskill explorer) lưu ý là ko có ñuôi .exe

- TASKKILL
+ Tắt tiến trình cùng lúc với nhiều PID, name
Taskkill /f /pid id1 /pid id2 /pid id3
Vidu với các id như 1234, 243, 879: taskkill /f /pid 1234 /pid 243 /pid 879
Taskkill /f /im explorer.exe /im system.exe /im userinit.exe

+ Bắt ép tắt tiến trình nào ñó ñang chạy với username system (vd như notepad.exe)
Taskkill /f /fi “username eq system” /im notepad.exe

+ Tắt tiến trình theo dạng cây với số ID là 1234 nhưng chỉ với username nào ñó (administrator chẳng
hạn)
Taskkill /pid 1234 /t fi “username eq administrator”

+ Tắt tiến trình với PID lớn hơn 2000 mà ko quan tâm ñến tên của nó
Taskkill /f /fi “pid ge 2000” /im * lưu ý dấu * chỉ áp dụng lọc cho tùy chọn /im

- WMIC
TaiLong 11 DFVr
 Deface Virus
+ Tắt tiến trình với PID và name
Wmic process [pid] delete
Wmic process where name=’cmd.exe’ delete  lưu ý: dấu ‘’ hay dấu “” ñều ñược cả
Wmic process where name=”cmd.exe” call terminate

+ Tắt một lúc nhiều tiến trình theo tên, pid

Wmic process where (name like OR name like “explorer.exe” OR name “iexplore.exe”) call terminate
Vd: Tắt 2 tiến trình có pid là 3288 và 4556
wmic process where (processid=3288 OR Processid=4556) call terminate

- NTSD
Theo ñược biết thì lệnh này dùng ñể debug
Cũng ko biết nhiều về lệnh này có 2 lệnh sau dạng như tắt một tiến trình
NTSD –c q –p PID
NTSD –c q –pn name
Vd: ntsd –c q –pn explorer.exe

d) Câu lệnh tắt dịch vụ ñang chạy

- SC
Lệnh này dùng cho các services
+ Truy vấn, xem các services, drivers
SC query type= services
SC query type= drivers
Hoặc xem tất cả: SC query type= all

+ Tắt các dịch vụ ñang chạy

SC stop ten_dichvu
VD:
SC stop schedule  tắt schedule
SC stop srservice  tắt system restore

+ Disabled một dịch vụ nào ñó

SC config ten_dichvu start=disabled
Vd:
SC config schedule start= disabled
SC config srservice start= disabled

+ Muốn xóa một dịch vụ nào ñó(lưu ý chỉ dùng ñể xóa các dịch vụ ñược tạo bởi các chương trình ñộc hại
còn các dịch vụ mặc ñịnh của windows thì cứ ñể nguyên)
SC delete ten_dichvu
Vd:
Sc delete malicious  ở ñây ta ñã del ñi dịch vụ malicious
Với tên các services ở khóa HKLM\SYSTEM\CurrentControlSet\Services

- NET STOP
Lệnh này chỉ stop một dịch vụ
Vd: Net stop srservice
Net stop schedule

- WMIC
TaiLong 12 DFVr
 Deface Virus
+ Tắt(stop) một dịch vụ nào ñó ñang chạy
Wmic service where name=”ten_dichvu” call stopservice
Vd:
Wmic service where name=”srservice” call stopservice
+ Tắt nhiều dịch vụ 1 lúc ta sử dụng câu lệnh giống như tắt nhiều tiến trình
VD:
Wmic service where (name like “srservice” or name like “schedule”) call stopservice
Còn muốn bật một tiến trình lên chỉ việc thay stopservice = startservice
+ Disabled một dịch vụ nào ñó
Wmic service where name=”ten_dichvu” call changestartmode disabled
Vd:
Wmic service where name=”srservice” call changestartmode disabled
+ Disabled nhiều dịch vụ
Vd:
Wmic service where (name like “srservice” or name like “sharedaccess”) call changestartmode disabled

Riêng về lệnh wmic còn rất nhiều tiện ích rất hay. Các bạn cầy thêm
Wmic /? <--help
Hoặc vào gõ những cái bạn muốn hiển thị ra cho tiện
Vd:
C:\wmic
wmic:root\cli>/?
wmic:root\cli>startup
wmic:root\cli>process list
…..

e) Câu lệnh xóa

- Del (hoặc erase) lưu ý lệnh này dùng cẩn thận vẫn hay hơn
Xóa các thuộc tính ẩn
DEL /a:h
Vidu: xóa tất cả các file ẩn
DEL /a:h *.*
Còn muốn chỉ xóa tất cả các file *.exe, *.dll ẩn
DEL /a:h *.exe *.dll
Còn nếu file ñó có thuộc tính red-only ta thêm tùy chọn /f
Vd:
Del /f /a:h *.exe *.dll
Nếu muốn del trong cả các thư mục con nữa ta thêm tùy chọn /s
Vd:
Del /f /s /a:h *.exe *.dll
Thêm tùy chọn /p nếu bạn muốn hỏi có xóa hay không trước khi thực thi
Thêm tùy chọn /q là cứ lặng lẽ “pem” trong im lặng
- RD (hoặc rmdir)
Lệnh này ñể xóa thư mục
Vidu: tạo ra một thư mục nodel.exe
RD nodel.exe
Thêm tùy chọn /s ñể xóa các file và thư mục con
Rd /s nodel.exe

TaiLong 13 DFVr
 Deface Virus
f) Câu lệnh thực thi trong REGEDIT
- REG
Xem trợ giúp REG /?
Ở ñây Vidu thực tế luôn :>

+ REG ADD: Lệnh này sử dụng ñể thêm, thiết lập các thuộc tính cho regedit như

@echo Gỡ bỏ thuộc tính ẩn

______________________________
REG add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v
"ShowSuperHidden" /t reg_dword /d 0 /f

REG add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v "Hidden" /t

reg_dword /d 2 /f

REG add HCKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v "HideFileExt" /t

reg_dword /d 1 /f

REG add
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWA
LL" /v "CheckedValue" /t reg_dword /d 1 /f

@echo: Thiết lập lại mặc ñịnh mấy file khởi ñộng
_________________________________
REG add "HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t reg_sz /d
"" /f

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell" /t reg_sz

/d "Explorer.exe" /f

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Userinit" /t

reg_sz /d "%SystemRoot%\system32\userinit.exe," /f

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v

"LegalNoticeCaption" /t reg_sz /f

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v

"LegalNoticeText" /t reg_sz /f

@Echo: Gỡ bỏ một số thuộc tính bị khóa

_______________________________
REG add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t
REG_DWORD /d 0 /f

REG add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v

DisableRegistryTools /t REG_DWORD /d 0 /f

REG add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v

NoDriveTypeAutoRun /t REG_DWORD /d 1 /f

TaiLong 14 DFVr
 Deface Virus
REG add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFind /t
REG_DWORD /d 0 /f

REG add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRun /t

REG_DWORD /d 0 /f

REG add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRun /t

REG_DWORD /d 0 /f

REG add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions

/t REG_DWORD /d 0 /f

REG add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions

/t REG_DWORD /d 0 /f

REG add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v HomePage /t

REG_DWORD /d 0 /f

REG add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d

"http://www.google.com.vn" /f

+ REG DELETE: Xóa các thiết lập trong regedit

@echo: Dỡ bỏ một số thuộc tính cấm thực thi file, hoặc file ñó bị chạy bởi file khác
_________________________________
Reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\cmd.exe" /v Debugger /f

Reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\regedit.exe" /v Debugger /f

Reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\msconfig.exe" /v Debugger /f

Reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\mmc.exe" /v Debugger /f

Reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\autoruns.exe" /v Debugger /f

Reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\hijackthis.exe" /v Debugger /f

Reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\procexp.exe" /v Debugger /f

Reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /f

+ REG QUERY:
Hiển thị key ở mấy khóa virus hay chui vào ñể thực thi
TaiLong 15 DFVr
 Deface Virus
Hiển thị xem khóa Run có khởi chạy gì khi khởi ñộng không

Vidu:
Reg query “HKLM\software\microsoft\windows\currentversion\run”
Reg query “HKLM\software\microsoft\windows\currentversion\runonce”
Reg query “HKCU\software\microsoft\windows\currentversion\run”
Reg query “HKCU\software\microsoft\windows\currentversion\runonce”
Reg query “HKLM\software\Microsoft\Windows NT\CurrentVersion\Winlogon”

Hiển thị xem khóa Image file execution options có khóa nào bị thay thế không
Reg query “HKLM\software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”

Truy vấn khóa polices xem có chương trình gì bị khóa không

Reg query “HKLM\Software\Microsoft\Windows\CurrentVersion\policies”
Reg query “HKCU\Software\Microsoft\Windows\CurrentVersion\policies”

g) Một số lệnh hay dùng khác

- Scheduled Tasks: (tạm dịch là việc lập lịch)
Khi hệ thống bạn bị nhiễm virus, khi ñó virus sẽ thực hiện tác vụ lập lịch tức ñặt thời gian khởi chạy một
file thực thi của virus. Như việc keylog theo dõi bàn phím và gửi các phím mà bạn ñã bấm ñến một server từ
xa nào ñó trên cơ sở ñã ñược lập lịch. Scheduled Tasks chỉ là một nơi khác mà virus ẩn náu. Chính là thư
mục c:\windows\tasks (thường C:\ là ổ chứa file hệ thống)
Lệnh schtasks:
Muốn truy vấn xem có thông tin gì không ta sử dụng lệnh
schtasks /query
xem chi tiết hơn ta sử dụng schtasks /query –v
hoặc theo dạng list schtasks /query /fo list

Muốn xóa một lịch ñã ñược ñặt ta dùng lệnh

schtasks /delete /tn ten_file /f
Muốn xóa tất cả các lịch ta sử dụng ký tự *
schtasks /delete /tn * /f

Như hình trên: sử dụng lệnh schtasks /query ñể xem thấy có 2 file hell, virus. Và sử dụng lệnh schtasks
/delete ñể xóa.
TaiLong 16 DFVr
 Deface Virus

Openfiles: Xem xét kỹ lưỡng các file chạy trong hệ thống

- Câu lệnh Openfiles xem sâu hơn các file ñang chạy xem có nhưng file nào chạy cùng
Nhiều nhà quản trị hệ thống không thân thiện với lệnh khá mạnh opefiles ñược xây dựng trong windows này
lắm. Như cái tên của nó, lệnh này cho phép hiện tất cả các file mà ñược mở, chỉ ra tên các tiến trình tác
ñộng với mỗi file. Nó ñược xây dựng trong các phiên bản từ windows xp trở lên. Lệnh này phổ biến như
lệnh lsof của Linux và Unix, nó sẽ hiện cho người quản trị tất cả các file mở trên máy tính của bạn, ñưa ra
tên tiến trình và ñầy ñủ ñường dẫn ở mỗi file. Không như lệnh lsof của Linux, tuy nhiên, nó không cung cấp
cho ta nhiều thông tin chi tiết hơn, như số Process ID, số người dùng và các thông tin liên quan khác.
Thực thi lệnh này:
Ban ñầu ta phải kích hoạt nó ñã
Openfiles /local on
Người dùng sẽ phải restart lại máy tính, và khi khởi ñộng lại xong thi ta có thể thực hiện các lệnh liên quan
ñến lệnh này như
Openfiles /quey /v
Lệnh này sẽ hiện cho ta nhà sản xuất, bao gồm thông tin tài khoản người dùng tại mỗi tiến trình với một file
ñang chạy bên dưới. ðể thu thập thông tin mà malware ñã cài ñặt, hoặc những gì mà một kẻ tấn công có thể
làm trên máy tính của bạn, người dùng nên tìm kiếm những thông tin bất thường hoặc những files lạ, ñặc
biệt là nó ñược tích hợp vào máy tính với quyền người ñang dùng(local)
ðể kết thúc lệnh này ta sử dụng lệnh
Openfiles /local off
Và ta phải khởi ñộng lại ñể việc thực thi hoàn tất :>)

TaiLong 17 DFVr