Professional Documents
Culture Documents
VRP 1
VRP 1
mặt cái ñó
Cám ơn người anh em vovi ñã giúp ñỡ hoàn thành việc chuyển thể ra file .chm
TaiLong 1 DFVr
Deface Virus
TaiLong 2 DFVr
Deface Virus
Và xu thế bây giờ thường là lai ghép vidu: rootkit+virus, rootkit+worm, rootkit+trojan,…
TaiLong 3 DFVr
Deface Virus
- Hình như có tiến trình nào ñó ñang chạy tốn nhiều tài nguyên hệ thống, tốn RAM CPU hay sao nhưng
chưa tìm ra…
- Ẩn file, thư mục làm người dùng hoang mang không thấy dữ liệu cần làm ñâu
- Thay ñổi ñịa chỉ IP làm cho không thể vào ñược mạng
- Lây nhiễm qua USB sử dụng file autorun.inf ñể kích hoạt khi người dùng kích ñúp/chuột phải vào USB,
lây qua mạng LAN, Internet tức lây qua các ñường link có chứa virus, các file ñính kèm gửi qua email…
TaiLong 4 DFVr
Deface Virus
có nhiều nơi mà virus thay thêm vào các ñoạn script và các shortcut khi khởi chạy tiến trình trong start up:
Lưu ý: Một số khoá sau trong registry, giá trị ñúng của nó là “%1%*”. Bất cứ chương trình nào mà
thêm giá trị này sẽ thực thi các file nhị phân như (.exe, .com) vidụ: “virus.exe %1%*”
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
Cũng kiểm tra tại các nơi sau
Startup folder: kích vào Start->Programs->Startup, and right click on Startup and select "Open" from
the menu. Check every file in this folder and make sure you know what they are. These files will startup
automatically every time you login to your systems.
Windows Scheduler - kiểm tra nếu bất kỳ chương trình xem nó ñược ñặt chạy vào những lúc nào. ðôi
khi các virus thường sử dụng scheduler như một cách ñể cho chương trình thực thi. nằm trong
c:\windows\task
Kiểm tra các file:
Win.ini (load=Trojan.exe or run=Trojan.exe) (cho win98)
System.ini (Shell=Explorer.exe trojan.exe) (cho win98)
Autoexec.bat – Tìm xem những file nào ñựơc thêm vào, có thể theo các ñuôi mở rộng : .exe, .scr, .pif,
.com, .bat
Config.sys – Tìm xem nhưng file nào ñược thêm vào
TaiLong 5 DFVr
Deface Virus
ñạt kết quả chính xác. Hơn nữa, rootkit có thể tránh bị phát hiện bằng cách che giấu tất cả các tiến trình
ngoại trừ chính tiến trình phát hiện rootkit.
- Một cách khác là sử dụng một hệ thống hoạt ñộng dựa trên các sự kiện liên tục theo dõi ñể có thể nắm
ñược rootkit vào thời ñiểm nó tiến hành tác vụ cài ñặt. Những chương trình như thế thường ñược gọi là
hệ thống chống xâm nhập (IPS). Việc theo dõi từ phía HðH là rất cần thiết. Các hệ thống IPS theo dõi ở
mức người dùng thực ra cũng vẫn có thể bị rootkit tấn công như chính những chương trình khác của
người dùng.
- Những hệ thống này có thể phát hiện và khóa những tác vụ nạp các module của HðH. Tuy nhiên việc
khóa hết các module lại là một ñiều phi thực tế - nhiều chương trình hợp lệ khác cũng sẽ tiến hành cài
ñặt các module lõi. Ví dụ, một số trình diệt virus sử dụng các module lõi ñể thực hiện tác vụ quét theo
yêu cầu.
- Vẫn có thể ñưa ra một giải pháp hay hơn là tính thêm khả năng cân nhắc liệu việc nạp một module có
phải là xấu hay không bằng cách xem xét các thuộc tính khác của bộ cài ñặt cùng những chương trình
liên quan. Trong khi một rootkit và một trình duyệt virus có thể có chung một số tác vụ (như cài ñặt một
module lõi) thì phần lớn những ñặc tính khác của chúng lại hoàn toàn không giống nhau.
- Ví dụ, một rootkit có thể cố gắng “lánh mặt” bằng cách không tạo ra cửa sổ trực quan, trong khi một
trình diệt virus lại muốn cho người dùng biết sự hiện diện của chương trình. Trình rootkit cũng có thể
cài một keylogger (bắt bàn phím và gửi thông tin tới một người dùng khác) còn một chương trình diệt
virus thì hoàn toàn không làm thế. Bằng cách tổng hợp các ñặc tính hành ñộng khác nhau (ñược lựa
chọn cẩn thận ñể có thể bắt ñược những thao tác chung liên quan tới phần mềm mục ñích xấu), việc phát
hiện những chương trình rootkit là hoàn toàn có thể thực hiện ñược với ñộ tin tưởng cao. Thực tế,
phương pháp này có tên “ñánh giá qua hành ñộng” và có thể ñược áp dụng rộng rãi ñể phát hiện những
lớp mã mục ñích xấu như Trojan hay phần mềm gián ñiệp.
- Vì dựa trên nguyên lý ñánh giá, tích lũy kinh nghiệm, hệ thống kiểu này có thể vẫn mắc lỗi (coi những
chương trình bình thường là phần mềm xấu). Cách giải quyết ñơn giản với vấn ñề này là cần phải có
danh sách cấm cho những lỗi chung thường gặp.
(phần này kAmIkAzE (http://www.hedspi.net/diendan/) viết)
- Tại thời ñiểm hiện nay bạn nên dùng một trình duyệt thứ 3 ngoài Internet Explorer như Firefox, Opera,
Google Chrome…Vì hiện tại IE bị tấn công nhiều nhất sau ñó ñến Firefox và các trình duyệt khác (mình
Dưới ñây là danh sách một số phần mềm hàng ñầu về diệt virus (nếu bạn trả tiền mua)
F-Secure (http://www.f-secure.com/en_EMEA/)
BitDefender (http://www.bitdefender.com/)
Kaspersky (http://www.kaspersky.com/)
McAfee (http://www.mcafee.com/)
Symantec (http://www.symantec.com/)
Panda (http://www.pandasecurity.com/)
Còn ñây là danh sách phần mềm diệt virus miễn phí
AVG Free Edition (http://free.avg.com/)
Avast Home Edition (http://www.avast.com/eng/download-avast-home.html)
Antivir Personal Edition (http://www.free-av.com/)
Rising Antivirus Free Edition (http://www.freerav.com/)
ClamWin Free Antivirus (http://www.clamwin.com/)
A-Squared Free (http://www.emsisoft.com/en/software/free/)
TaiLong 7 DFVr
Deface Virus
TaiLong 8 DFVr
Deface Virus
Như hình này ñã sử dụng câu lệnh “dir /ah”, “dir /ah /b”, “dir /ah /b /s *.exe, *.dll”
+ Hiển thị các tiến trình có PID lớn hơn 2000(tùy chọn PID) và in ra ñịnh dạng csv: hiển thị bao gồm
"Image Name","PID","Session Name","Session#","Mem Usage","Status","User Name","CPU
Time","Window Title"
Tasklist /v /fi "pid gt 2000" /fo csv
In ra một file cho dễ nhìn: Tasklist /v /fi "pid gt 2000" /fo csv >hell.txt
+ ðể hiển thị các tiến trình với trạng thái ñang chạy với các username mặc ñịnh với các username:
system, network service, local service, administrator. Còn nếu bạn ñang chạy trong user nào thì hiện thị với
tên user ñó
Tasklist /fi "USERNAME eq NT AUTHORITY\SYSTEM” /fi "STATUS eq running"
Lệnh rút gọn:
Tasklist /fi "USERNAME eq SYSTEM" /fi "STATUS eq running"
TaiLong 9 DFVr
Deface Virus
Tasklist /fi “username eq ten_user_dang_dung” /fi “status eq running”
Tasklist /fi “username ne system” /f “status eq running” lệnh này hiển thị trạng thái ñang chạy với
username ko phải là system
Tasklist /v /fi "STATUS eq running" xem chỉ những tiến trình ñang chạy
+ Hiển thị các file DLL chạy cùng tiến trình
Tasklist /m
Tasklist /m wbem* Lọc những tiến trình chạy có các file *.dll với ñầu ngữ wbem
Tasklist /fi “modules eq ntdll*” lệnh này chỉ lọc các file dll với ñầu ngữ ntdll
Tasklist /fi “modules eq dnsq.dll” chỉ hiện tiến trình chạy có dnsq.dll (con dashfer)
- WMIC
+ Hiển thị tiến trình
wmic process list
wmic process list brief
wmic process list full
wmic process list brief /every:10 cứ 10s lại cập nhật 1 lần (CTRL+C to end)
wmic process list brief | find "cmd.exe" chỉ tìm với cmd.exe
+ Hiển thị các tiến trình ko nằm trong thư mục %windows%
wmic PROCESS WHERE "NOT ExecutablePath LIKE '%Windows%'" GET ExecutablePath
- TASKKILL
+ Tắt tiến trình cùng lúc với nhiều PID, name
Taskkill /f /pid id1 /pid id2 /pid id3
Vidu với các id như 1234, 243, 879: taskkill /f /pid 1234 /pid 243 /pid 879
Taskkill /f /im explorer.exe /im system.exe /im userinit.exe
+ Bắt ép tắt tiến trình nào ñó ñang chạy với username system (vd như notepad.exe)
Taskkill /f /fi “username eq system” /im notepad.exe
+ Tắt tiến trình theo dạng cây với số ID là 1234 nhưng chỉ với username nào ñó (administrator chẳng
hạn)
Taskkill /pid 1234 /t fi “username eq administrator”
+ Tắt tiến trình với PID lớn hơn 2000 mà ko quan tâm ñến tên của nó
Taskkill /f /fi “pid ge 2000” /im * lưu ý dấu * chỉ áp dụng lọc cho tùy chọn /im
- WMIC
TaiLong 11 DFVr
Deface Virus
+ Tắt tiến trình với PID và name
Wmic process [pid] delete
Wmic process where name=’cmd.exe’ delete lưu ý: dấu ‘’ hay dấu “” ñều ñược cả
Wmic process where name=”cmd.exe” call terminate
- NTSD
Theo ñược biết thì lệnh này dùng ñể debug
Cũng ko biết nhiều về lệnh này có 2 lệnh sau dạng như tắt một tiến trình
NTSD –c q –p PID
NTSD –c q –pn name
Vd: ntsd –c q –pn explorer.exe
+ Muốn xóa một dịch vụ nào ñó(lưu ý chỉ dùng ñể xóa các dịch vụ ñược tạo bởi các chương trình ñộc hại
còn các dịch vụ mặc ñịnh của windows thì cứ ñể nguyên)
SC delete ten_dichvu
Vd:
Sc delete malicious ở ñây ta ñã del ñi dịch vụ malicious
Với tên các services ở khóa HKLM\SYSTEM\CurrentControlSet\Services
- NET STOP
Lệnh này chỉ stop một dịch vụ
Vd: Net stop srservice
Net stop schedule
- WMIC
TaiLong 12 DFVr
Deface Virus
+ Tắt(stop) một dịch vụ nào ñó ñang chạy
Wmic service where name=”ten_dichvu” call stopservice
Vd:
Wmic service where name=”srservice” call stopservice
+ Tắt nhiều dịch vụ 1 lúc ta sử dụng câu lệnh giống như tắt nhiều tiến trình
VD:
Wmic service where (name like “srservice” or name like “schedule”) call stopservice
Còn muốn bật một tiến trình lên chỉ việc thay stopservice = startservice
+ Disabled một dịch vụ nào ñó
Wmic service where name=”ten_dichvu” call changestartmode disabled
Vd:
Wmic service where name=”srservice” call changestartmode disabled
+ Disabled nhiều dịch vụ
Vd:
Wmic service where (name like “srservice” or name like “sharedaccess”) call changestartmode disabled
Riêng về lệnh wmic còn rất nhiều tiện ích rất hay. Các bạn cầy thêm
Wmic /? <--help
Hoặc vào gõ những cái bạn muốn hiển thị ra cho tiện
Vd:
C:\wmic
wmic:root\cli>/?
wmic:root\cli>startup
wmic:root\cli>process list
…..
TaiLong 13 DFVr
Deface Virus
f) Câu lệnh thực thi trong REGEDIT
- REG
Xem trợ giúp REG /?
Ở ñây Vidu thực tế luôn :>
+ REG ADD: Lệnh này sử dụng ñể thêm, thiết lập các thuộc tính cho regedit như
REG add
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWA
LL" /v "CheckedValue" /t reg_dword /d 1 /f
@echo: Thiết lập lại mặc ñịnh mấy file khởi ñộng
_________________________________
REG add "HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t reg_sz /d
"" /f
TaiLong 14 DFVr
Deface Virus
REG add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFind /t
REG_DWORD /d 0 /f
@echo: Dỡ bỏ một số thuộc tính cấm thực thi file, hoặc file ñó bị chạy bởi file khác
_________________________________
Reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\cmd.exe" /v Debugger /f
+ REG QUERY:
Hiển thị key ở mấy khóa virus hay chui vào ñể thực thi
TaiLong 15 DFVr
Deface Virus
Hiển thị xem khóa Run có khởi chạy gì khi khởi ñộng không
Vidu:
Reg query “HKLM\software\microsoft\windows\currentversion\run”
Reg query “HKLM\software\microsoft\windows\currentversion\runonce”
Reg query “HKCU\software\microsoft\windows\currentversion\run”
Reg query “HKCU\software\microsoft\windows\currentversion\runonce”
Reg query “HKLM\software\Microsoft\Windows NT\CurrentVersion\Winlogon”
Hiển thị xem khóa Image file execution options có khóa nào bị thay thế không
Reg query “HKLM\software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”
Như hình trên: sử dụng lệnh schtasks /query ñể xem thấy có 2 file hell, virus. Và sử dụng lệnh schtasks
/delete ñể xóa.
TaiLong 16 DFVr
Deface Virus
TaiLong 17 DFVr