Mục đích bài :
Kỹ năng tự xử lý với những virus ghi thong tin tại những key chưa xác định trong registry.
Kỹ năng quan sát Process Explorer để nhận ra điều bất thường.
Công cụ :
Process Explorer
Autoruns
Registry
Bước 1 :
Khởi động Process Explorer lên và thấy như sau :
Một tiến trình thôi, chắc không đơn giản vậy. Nhưng cứ ngắt nó đi.
Bước 2 :
Khởi động Autoruns
Khá là đông vui lâu la.
Thử ngắt hết các key và lại bấm Refresh. Nhưng kết quả rõ rang không như ý muốn. 1 key lại trở lại trạng thái dấu chọn
Như vậy, còn virus đang chạy.
Chúng ta có 3 khả năng :
1.Rootkit
2.Ghi key khởi động mỗi khi khởi động file
3.Kill process còn sót (Hix, thôi, bỏ qua nhé)
Bước 3 :
3.1.
Scan Rootkit bằng Gmer, không có.
Ok. Loại bỏ khả năng 1.
3.2
Để thử nghiệm có đúng virus ghi key khởi động và khởi động theo file mỗi khi kích hoạt file, ta cần chú ý quan sát các thao tác tạo tiến trình mới (Trên Process Explorer).
Tốt nhất là tắt quách Autoruns rồi thử nghiệm bật chính nó lại cho lẹ.
Các bạn chú ý, nên thu gọn cửa sổ cho dễ nhìn. Chọn Process Explorer ở On the top cho tiện
Sau đây là điều bất ổn :
! Như vậy có thể nhận ra, mỗi khi chạy một file (Ở đây cụ thể là wrwe.exe) thì thật ra là gọi tập tin mswlvxf.exe trước rồi nó mới gọi chương trình thật ra, và kéo cả services.exe tỉnh dậy theo.
Khả năng này có 2 trường hợp mình DungCoi nghĩ đến :
a.Ghi key tại debugger : Sau đó loại bỏ vì đã thử nghiệm change tên các file khi chạy thì kết quả đều như nhau.
b.Ghi dữ liệu vào các key exefile hay .exe trong registry : Sau đó cũng bị loại bỏ vì thử xem mà cũng không có.
???
Vậy ở đâu ?
Theo DungCoi hiểu. Để làm được điều trên thường thì người ta vẫn phải ghi gì đó trong registry.
Thông tin về đường dẫn tới file mswlvxf.exe phải được lưu ở đâu đó trong registry.
Do tính đặc trưng của tên file không sợ trùng lặp, DungCoi.
Đây là lúc DungCoi đã có tên process, còn thực tế, trong quá trình làm việc thì quá trình load file này diễn ra rất nhanh.
Cách tốt nhất là dùng phím chụp màn hình, hoặc hài hài như cách DungCoi giỡn là mở cả mớ IE ra cho chậm máy cho việc load tiến trình chậm hơn để tiện Suspend process đó
Tất nhiên, khuyến cáo cách chụp lại màn hình thì hay hơn nhé
Bước 4 :
Khởi động registry
Suspend toàn bộ tiến trình virus đang chạy.
? Sở dĩ phải khởi động registry trước khi suspend virus vì chúng ta nên nhớ rằng, khi chúng ta khởi động registry (Hoặc bất kỳ chương trình khác) thì virus lại sẽ được gọi ra. Nếu suspend chúng trước khi làm thao tác này thì chẳng khác nào lại nộp mạng (Nếu chúng có khả năng tự kiểm tra và resume).
Giờ thao tác là tìm kiếm thông tin trong registry.
Các bạn hãy chú ý các việc sau :
1. Do C:\Windows\System32 trong hệ thống còn có thể viết tắt bằng nhiều cách khác nên chúng ta không dại gì tìm nguyên cụm theo path thực của virus là : C:\Windows\System32\mswlvxf.exe , do cái tên quá “cá biệt” chúng ta hãy tìm cụm từ mswlvxf.exe
2. Đánh dấu chọn cả ba ô khi tìm kiếm : Keys, Values, Data cho chắc ăn.
Tìm kiếm toàn bộ registry.
Kết quả như sau :
Các bạn nên chú ý, key này cần phục hồi giá trị kiểu mặc định cho chắc ăn : "%1" %*
Kiểu như ở đây thì nhớ xóa cẩn thận tý
Sau đó bạn tiếp tục làm các thao tác tìm kiếm khác trong registry.
! Ở những thao tác chỉnh sửa trong regitry, bạn nên nắm chắc thông tin chức năng key cần sửa để đảm bảo an toàn. Bạn nên google thông tin trước khi sửa.
Bước 5 :
Kill các tiến trình virus.
Khởi động Autoruns.
Rồi chú ý dung Process Explorer kiểm tra xem có cái gì khởi động ké không.
Xóa các key khởi động bằng Autoruns.
Bước 6 :
Khởi động lại máy cầu may
! Một vài lưu ý trong quá trình diệt :
1.Sau khi nhận ra mỗi khi chạy một ứng dụng bất kỳ, thì các bạn hãy suy nghĩ kỹ trước mỗi thao tác kích hoạt 1 chương trình nhất định xem nó có làm ảnh hưởng đến quá trình diệt không.
2.Không nên rập khuôn thuộc bài, bạn nên suy nghĩ trong từng thao tác diệt với các câu hỏi.
Virus làm thế nào để khởi động ?
Làm sao để dừng sự làm việc của nó ?
Nếu trả lời xong 2 câu ấy, bạn đã gần như giải quyết được chúng.
Nguồn: http://virusvn.com/forum/showthread.php?t=972&page=2
No comments:
Post a Comment