Mở
Nhiều virus cách diệt thật ra rất đơn giản, nhất là các bạn mới dùng máy tính không quen sử dụng một số tool để nhận dạng virus, việc sử dụng chúng cần có thời gian làm quen kha khá để có kinh nghiệm.
Chính vì lý do này mà dạo này mình không viết các bài viết hướng dẫn cụ thể diệt từng loại virus nữa, mình dự định viết các bài có tính tổng quát hơn, nhưng giờ mới có khá đủ điều kiện để viết (Máy riêng).
Mong muốn viết 1 tut đủ cơ bản để nhiều bạn chưa biết vẫn có thể tập sử dụng, đó là mục đích của tut này.
Tut có một số ví dụ về tiến trình mình xử lý, dò tìm cách diệt các virus theo kinh nghiệm cá nhân của mình, chắc chắn nó sẽ mang nhiều sai sót, nên có gì các bạn cứ rely lên forum nhé
Tut này DungCoi chỉ hướng dẫn cách nhận dạng một số dạng virus. Cách nhận dạng theo kinh nghiệm gà vịt của mình, nên có nhiều thiếu sót.
Đây là tut DungCoi đầu tiên trong 1 năm gần đây DungCoi viết trên cái máy tính mới sắm của mình
Okie, chúng ta bắt đầu.
Nhập
Cơ bản, mình sẽ hướng dẫn các cách dùng trong bộ công cụ của của Sysinternals cụ thể là : ProcessXP, Autoruns cao hơn một chút sẽ là RegMon, FileMon và tổng quát hơn sẽ là ProMon.
Ok.
Mọi chuyện hãy bắt đầu với ProcessXP
Câu hỏi 1 : Sao mà lắm màu thế ? Màu nào là virus nhỉ ?
1. Trong ProcessXP bạn vào : Options → Configure Highlighting...
Một cái bảng hiện ra.
Với từng màu tương ứng sẽ là một loại chương trình như :
New Objects : Process mới vừa được gọi
Deleted Objects : Process đã bị tắt
2 loại màu phía trên chỉ xuất hiện vài giây thôi, nếu không đáng nói.
Mấy màu phía dưới :
Own processes : Process chạy với user người dùng của bạn
Services : Process dịch vụ
Packed Images : Process bị pack (Để hiểu về pack, bạn có thể vào Box về resever, pack, unpack của VirusVN, REAOnline hoặc HVA)
.NET Processes : Ứng dụng chạy trên nền .NET
2.Không nhất thiết cứ phải là màu này màu nọ mới là virus. Nó không ảnh hưởng gì ở đây cả. Tùy kinh nghiệm và thao tác kiểm tra, nếu bạn có kinh nghiện có thể nhận dang chúng mà thôi.
Một số chức năng quan trọng của ProcessXP :
1.View DLLs :
Ở đây sẽ liệt kê các thư việc liên két động (Dll) đang hoạt động trong một tiến trình (process) nhất định, một số virus dùng phương thức này để sống “ké” trên chương trình khác.
Tiêu biểu là dòng virus kavo hay ckvo sẽ có các file kavo.dll hoặc ckvo.dll đang hoạt động trong explorer.exe.
Tuy nhiên ProcessXP không có chứa năng ngắt phiên làm việc các dll này (DungCoi sẽ nói tới nó ở phần sau khi dùng IceSword hoặc bộ AllInOne của FireLion))
2.String :
Như nhiều bài viết DungCoi từng nhắc đến việc để “lộ” các đoạn string trong các file đã thực thi sẽ giúp chúng ta rất lợi thế khi nhân dạng và diệt virus (Bạn có thể đọc bài viết Virus toàn tập hoặc Hướng dẫn diệt virus OSA.exe sẽ sử dụng và nói rõ hơn).
Chuộc phải vào tiến trình Properties → Thẻ Strings.
3.Hiển thị process theo tree :
Tính năng đơn giản nhưng hiệu quả để nhận dang vài dạng worm.
Một số worm tiêu biểu có thể dễ dàng nhận ra qua chức năng này + Quan sát Icon giả dạng thư mục là DakNong, CatchYM...
4.Xử lý process :
Kill process : Ngắt tiến trình
Suspend/Resume : Tạm ngừng/Trở về bình thường cho process.
Đây là các tính năng hết sức quan trọng. Các bạn tìm đọc các bài viết hướng dẫn diệt virus bằng tay của mình trên VirusVN.com để thấy các chức năng này được sử dụng để tiêu diệt virus như thế nào.
Tiếp theo chúng ta tìm hiểu về chương trình quản lý các chương trình khởi động trên hệ thống.
Autoruns
Đây là chương trình quản lý một số chương trình khởi động cùng hệ thống (Nói gần đúng thì là hầu hết).
Như các bạn có thể thấy, máy tính của DungCoi đang nhiễm virus nhỉ
Nếu các bạn chưa diệt virus lần nào sẽ tự hỏi “Làm sao mình biết ?”. Các bạn có kinh nghiệm hơn có thể dễ dàng nhận ra một cái biểu tượng thư mục giả dạng.
Nhưng chỉ có vậy ?
Mình sẽ hướng dẫn một số tính năng mình thường dùng của soft này.
1.Verify
Microsoft cung cấp một chữ ký điện tử ẩn trong mỗi chương trình của mình.
Chức năng này sẽ giúp chúng ta kiểm tra mỗi file có phải là chương trình “chính hãng” Microsoft hày không (Và một số nhỏ chương trình của các hãng khác).
Để dùng chức năng này, bạn ấn chọn chuột phải chọn Verify.
Nếu đúng là chương trình “chính hãng” (Tiêu biểu là của Mircosoft) thì sẽ hiện bên cạnh dòng chữ Verified , nếu không đúng sẽ hiện ra Not verified.
Nếu muốn nó tự kiểm kiểm tra hết thì bạn chọn : Options → Verify Code Signatures, rồi bấm F5 phát cho nó Refresh. Mọi thứ sẽ được ghi rõ.
Như các bạn thấy trong hình. Các hãng như Microsoft, VMWare, Yahoo, NVIDIA đều được cập nhật rồi nên bạn có thể kiểm tra tính chứng thực của nhiều phần mềm các hãng này, một số hãng khác thì lại chưa (Như Dell, Flashget … trong hình). Tuy nhiên, chức năng này vẫn là một trong những chức năng rất đáng giá của Autoruns để kiểm tra những thành phần file nghi ngờ nhất định.
Một ví dụ cho các bạn về sự hữu ích của chức năng này như sau.
Ex1 :
Trong lần đầu tiên DungCoi sài Vista, diệt virus trên nó. Cả tá process lạ mà lần đầu mình thấy. Tất nhiên không thể cho phép sự tùy tiện đoán mò đâu là virus. DungCoi dễ dàng lọc ra những ứng dụng chạy mà không thuộc quyền “tổng quản” từ Microsoft + Một số hãng cung cấp software khác để đưa ra một file nghi ngờ.
Khâu cuối là upload file đó lên mạng check, do sự sàn lọc bỏ qua các process nhất định.
Ex2 :
Không mấy ai không ngán thể loại virus file. Cái cay cú của vấn để là nếu nó nhiễm vào các file hệ thống như (Explorer.exe, userinit.exe) thì không dễ mà nhận ra (Có một cách khá “ngộ” là ráng mà học thuộc dung lượng tụi nó, nhưng xem ra hơi “bất khả thi nhỉ”
Với tính năng Verify trên, việc kiểm tra chúng thật ra quá dễ dàng chỉ với vài cú Click.
2.Compare log
Nếu máy bạn sợ virus thường lây nhiễm vào máy bạn và tin tưởng với tình hình hiện tại đã là khá ổn. Tính năng này cho phép bạn dễ dàng nhận ra một số thay đổi trong hệ thống nếu có sau khoảng thời gian.
Ok. Thử làm nhé.
Lưu lại : Trong Autoruns chọn File → Save . Rồi chọn tên lưu log các chương trình khởi động cùng windows hiện tại.
So sánh : Khi muốn so sánh những chương trình khởi động cùng windows hiện nay với lúc bạn save log ở phía trên. Bạn chọn File → Compare . Ấn chọn file mà bạn đã lưu lúc đó, chương trình sẽ hiện màu khác biệt cho bạn thấy chương trình sai khác (Nếu có).
Note : Thực tế, nếu bạn sử dụng thành thuật 2 phần mềm này đã có thể diệt khá nhiều virus thông thường.
Nguồn: http://virusvn.com/forum/showthread.php?t=972
No comments:
Post a Comment