Trao đổi với tôi

http://www.buidao.com

12/23/09

[Using Tools] Dùng System Explorer để Quan sát - Diệt Malware triệt để hơn


System Explorer (Download)
Quan Sát và Diệt Malware triệt để hơn.
--------

Các tính năng:

_ Quản lý Process tương tự Task Manager


_ “Hide All Microsoft Entries” (ẩn các process “an toàn” của Windows) giúp kiểm tra Process lạ dễ dàng hơn.


_ Autorun – StartUp : giúp kiểm tra các ứng dụng khởi động cùng Windows.


_ Monitoring - Modules : xem những file *.dll đã đang được Load. Từ đây mình có thể "nghi ngờ" những file dll lạ, hoặc đôi khi có thể dựa vào nội dung của 2 cột (Product Name & Company Name) (thường nên nghi ngờ những dll nào trống 2 cột này).


_ Monitoring - Connections : liệt kê các cổng kết nối internet.



*** Monitoring - SnapShot : Chức năng quan trọng nhất của System Explorer trong việc quan sát Malware.

--------------

Các bước quan sát Malware bằng SnapShot của System Explorer:

Bước chuẩn bị) Nên tắt hết các chương trình khác nhằm tăng tốc độ quan sát và giảm bớt kết quả, sẽ tiện hơn khi đọc Log file.
Tắt hết như thế này càng tốt.
Trong quá trình quan sát, nên hạn chế mở thêm bất kì chương trình ứng dụng nào, điều này cũng nhằm mục đích nêu trên.
Đương nhiên là phải tiến hành trên máy sạch rồi. (hãy cân nhắc trước khi cho dính Malware vào máy nhé)

Bước 1) Chụp tấm ảnh thứ 1 về thông tin File & Registry toàn máy tính:


Bước 2) Tiến hành cho dính Malware vào máy tính.
Malware khi được kích hoạt, sẽ tạo - xóa - sửa các Files - Folders - Registry.
Tùy vào mỗi loại Malware mà chúng sẽ tạo - xóa - sửa những gì trong những khoảng thời gian nào.

Bước 3) Tiếp tục chụp tấm ảnh thứ 2 về thông tin File & Registry toàn máy tính:

Lưu ý: Vì mỗi Malware có mỗi kiểu tạo - xóa - sửa các Files - Folders - Registry khác nhau trong những khoảng thời gian khác nhau, nên ta sẽ không rõ được Malware có làm liền hết công việc của nó ngay khi dính vào máy ta. Bởi thế cần có một khoảng thời gian chờ để Malware có thể làm hoàn tất các công việc tạo - xóa - sửa rồi mới tiến hành chụp tiếp tấm ảnh thứ 2 này.
Nếu thực sự muốn chắc chắn hơn về việc Malware có làm gì thêm sau đó hay không. Ta lại tiến hành chụp tấm ảnh thứ 3 ....



Bước 4) So sánh 2 tấm ảnh đã chụp với nhau: (dưới đây mình cho dính thử malware Phimnguoilon.exe)
This image has been resized. Click this bar to view the full image. The original image is sized 939x744.


Bước 5) Đã nắm thông tin Malware tạo - xóa - sửa các Files - Folders - Registry chỗ nào, ta bắt đầu:
_ Tiến hành tắt tiến trình (process) của Malware.
_ Xóa các File - Folder - Registry Key do Malware tạo.
_ Hồi phục lại các File - Folder - Registry Key bị Malware xóa (hoặc thay đổi).

*** Chú ý: Nếu gặp loại Malware nào khó có thể xóa trong Windows. Ta tiến hành Boot vào Dos hoặc NC để xóa (dựa trên các thông tin lấy được từ Snapshots).
Đây chỉ là công cụ hỗ trợ diệt Malware bằng tay. Và nên nhớ rằng, Malware nào lây file thì khó có thể giải quyết bằng tay được.

--------------
+ Định nghĩa thêm về 2 từ "Malware":
Đó là từ gọi chung, là "Phần mềm độc hại".
Nó bao gồm : Virus (PE lây file), Worm, Trojan, gộp luôn Spyware, Adware ...
__________________
Ref Link: http://forum.911.com.vn/showthread.php?t=9673