bo_bo_xinh_xich
Joined : 28 Jun 2008
Posts : 49
 |  Subject: Kinh nghiem be xiu ve cach phat hien, xac dinh virus..!!!  28/6/2008, 15:18 | |
| Theo kinh nghiệm nhỏ của mình hiểu thì nói tới nói lui gì thì virus cũng là được hiểu là một đoạn mã, một chương trình....mục đích của đoạn mã này thì tùy từng loại virus.
Nhưng có điểm chung là tìm cách thực thi khi sau khi HDH khởi động hoặc chạy theo lịch định sẵn (dạng này rất khó chịu..) do vậy nó sẽ tìm cách nào đó (chỉnh sửa regedit, đính kèm vào một dịch vụ, ứng dụng nào đó của OS, hoặc một phần mềm thông dụng (Unikey, winrar...)...)...tức là tìm cách thực thi các đoạn mã đó "một cách hợp pháp"..!
Vậy Bạn nhiễm virus từ đâu : từ các đường link, từ những chương trình không được "sạch", từ USB...
Vì vậy khi bạn nghi ngờ một service lạ, một file được thực thi; Bạn nghi ngờ dịch vụ, tiến trình đó có phải của OS hay của một hãng thứ 3; Bạn có thể :
+ Sử dụng những lệnh dạng như : Netstat hoặc các lệnh khác mà HDH cung cấp để có thể xác định sơ bộ...!
+ Sử dụng hijack để xác định tiến trình đang chạy là tốt hay xấu
+ Sử dụng CODOMO Firewall để xác định chương trình đó cập nhật registry ở nhánh nào, ghi dữ liệu vào đâu.
+ Sử dụng Winpatrol để xem những gì máy tính đang thực thi : Scheduler, services, Active Tasks....hoặc xem tiến trình đó của hãng nào.
+ Sử dụng tools Process explorer (có thể download từ website của Microsoft) để xác định những gì HDH đang thực thi...cái này rất hay.
+ Một số chương trình cho phép chuyển mã của những chương trình virus thành mã Assembler, từ đó bạn có thể debug từng dòng lệnh của con virus này..nhưng cái này phải có kiến thức chuyên sâu về HDH (thanh ghi....) thì mới có thể phân tích nổi (ai có kinh nghiệm về vụ này thì chỉ mình với..).
+ Dùng google như là công cụ đắc lực....!
+ Cuối cùng bạn đã học môn HDH của Thầy Tô Tuấn rồi, vậy tại sao bạn không tự tạo cho mình một công cụ theo ý muốn..mình cũng đã thử làm một số chức năng như xác định số services đang chạy, sử dụng port nào, các IP đang kết nối....ví dụ : bạn có thể liệt kê những process mà bạn đang thực thi dưới quyền của bạn.
(copy rồi paste vào VB)
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colProcessList = objWMIService.ExecQuery("Select * from Win32_Process")
For Each objProcess in colProcessList
colProperties = objProcess.GetOwner(strNameOfUser,strUserDomain)
msgbox "Process " & objProcess.Name & " is owned by " _
& strUserDomain & "\" & strNameOfUser & "."
Next
Tóm lại bạn có thể dùng kiến thức của môn HDH để làm được nhiều thứ đấy, rất hay và rất bổ ích.
bo_bo_xinh_xich |
|
Home 
FAQ 
Search 
Register 
Log in 
