Trao đổi với tôi

http://www.buidao.com

12/23/09

[Using Tools] Sử dụng Hijackthis vào việc kiểm tra và phát hiện chương trình phá hoại !

Sử dụng Hijackthis vào việc kiểm tra và phát hiện chương trình phá hoại !




Hijackthis là cái gì?
Tác giả Merijn Bellekom đã phát triển một chương trình miễn phí với tên là Hijackthis để có thể xoá các browser hijacker (nói nôm na là những chương trình thay đổi những tinh chỉnh, tuỳ chọn trong browser của mọi người ví dụ như coolwebsearch). Tiện ích này còn có thể làm được nhiều hơn thế nữa đó là kiểm tra và phát hiện các trình phá hoại khác được cài vào hệ thống.
Với sự giúp ích của hijackthis thì công việc phân tích, tìm và đưa ra hướng giải quyết đối với malware sẽ dễ dàng hơn nhiều cho cả người bị nhiễm với người giúp.


Tải về và cài đặt :
Sau khi tải về hoặc tải về từ http://www.merijn.org/files/hijackthis.zip hoặc http://download.hijackthis.eu/hijackthis_199.zip, bạn cần sử dụng winzip để giải nén tệp tin đã được nén lại dưới dạng file.zip vào một thư mục được tạo sẵn [1] cho nó để cho hijackthis có thể tạo backup cho những thay đổi của bạn đối với hệ thống.
Hiện đã có bản 2.02 của trendsecure với một số cải tiến ở đây :
http://www.trendsecure.com/portal/en...kthis/download
đề nghị sử dụng bản này khi tạo log để có hỗ trợ tốt hơn.
Rất quan trọng: bạn nên tạo riêng một thư mục cho hijackthis để trong trường hợp cần thiết có thể chỉnh lại được những thay đổi của chương trình đối với hệ thống.
[1] có thể là c:\program files\hijackthis\

Lỗi có thể gặp phải khi cài hijackthis :
Thiếu MSVBVM60.DLL ---> cách giải quyết là vào http://support.microsoft.com/?scid=k......p;x=13&y=16 để tải VBRun60.exe về và cài vào máy.
Nếu không thể chạy được chương trình hijackthis và có nghi ngờ là chương trình phá hoại đã làm việc ngăn chặn máy bạn cho chạy tiến trình của hijackthis thì bạn có thể đổi tên của hijackthis thành một file .com chẳng hạn như kiemtra.com rồi cho chạy hijackthis.


Sử dụng hijathis- tạo log-file:
1.Sử dụng Windows Explorer để chuyển vào thư mục mà bạn đã cài đặt hijackthis (ví dụ như ở trong bài này là c:\program files\hijackthis\
2.Lần đầu tiên sử dụng hijackthis thì bạn sẽ nhận được một lời cảnh báo từ chương trình, bạn có thể bỏ qua việc đọc hướng dẫn khá dài này bằng việc nhấn ok (nhưng tôi vẫn khuyên bạn nên đọc để hiểu thêm một chút về chương trình bạn sử dụng).

3.Sau khi bạn ấn ok để xác nhận thì chương trình sẽ hiện lên cửa sổ “new user quickstart”, bạn nhấn vào nút được tô màu đỏ với tên “Do a system scan and save a log file”.


4.Sau khi thực hiện quét trong máy thì bạn sẽ thấy xuất hiện khung cửa sổ của notdpad mà trong đó là nội dung của log file được tạo bởi hijackthis, log file này bạn có thể lưu lại dưới đường dẫn c:\program files\hijackthis\
Ảnh dưới đây đã được chỉnh sửa kích cỡ. Hãy click vào đây để xem toàn bộ ảnh. Ảnh gốc có kích thước 766x530.

với file ---> save as ----> tên là hijathis1.log và ấn save wink.gif
Log file được tạo ra với 3 phần :
1.Phần đầu tiên là những thông tin về hệ thống (systeminformation), tình trạng vá lỗi của hệ thống.
2.Phần giữa là những chương trình đang được chạy trên hệ thống.
3.Phần cuối là những mục từ R0 đến R23 (sẽ được mô tả ở dưới).


Đánh giá về logfile :

a. Khả năng thứ nhất :
Bạn có thể tự đánh giá logfile do hijackthis tạo ra bằng cách kiểm tra những processes hoặc những mục của registry có khả năng là do malware tạo ra ở trong các trang sau đây :
http://www.sysinfo.org/startuplist.php (pacmans-startup list)
http://www.answersthatwork.com/ (answer that work)
http://computercops.biz/CLSID.html ( CLSID list)
www.google.com (:-))
http://www.viruslist.com/en/find?sea......p;x=21&y=11 (virus list)
https://www.virusbtn.com/login (Vgrep)
Tất nhiên, bạn phải biết được chính xác là bạn đang tìm kiếm về con virus, tiến trình hay chuỗi nào trong registry và không nên ghi đè hay xoá đi logfile đã thu được bằng hijackthis phòng cho trường hợp bạn gặp sai sót khi sử dụng sửa chữa của hijackthis (fix).

b.Trường hợp thứ 2 thì bạn có thể tạo log-file và sau đó vào trang sau:
Ảnh dưới đây đã được chỉnh sửa kích cỡ. Hãy click vào đây để xem toàn bộ ảnh. Ảnh gốc có kích thước 800x600.

Ảnh dưới đây đã được chỉnh sửa kích cỡ. Hãy click vào đây để xem toàn bộ ảnh. Ảnh gốc có kích thước 800x600.

Ảnh dưới đây đã được chỉnh sửa kích cỡ. Hãy click vào đây để xem toàn bộ ảnh. Ảnh gốc có kích thước 800x600.

và dán nội dung của log-file vào ô textbox rồi ấn vào Analyze ở dưới để cho trang web phân tích nội dung log-file của bạn. Trên trang này là một trang tập hợp được rất nhiều các ghi chú của các thành viên về các process, entries của registry nên qua đó bạn cũng có thể có cái nhìn tương đối về nội dung của log-file của máy mình, bạn sẽ nhận ra rất dễ dàng là có entries nào đó khả nghi và có thể tìm hiểu thêm về nó ở các trang web được liệt kê ở trên.

Tiến hành sửa chữa những entries không hợp lệ trong bảng log của hijackthis :
Sau khi đã kiểm tra và phát hiện ra những entries khả nghi trong log-file, bạn có thể tiến hành fix những entries đấy:
-Tiến hành tắt system restore và reboot máy vào chế độ safe mode.
-Cho chạy lại hijackthis và đánh dấu vào những entries được đánh giá là khả nghi và sau đó ấn vào “fix checked” để chương trình có thể tiến hành loại bỏ những entries khả nghi đó.
-Thí dụ: khi tớ phát hiện ra entry O4-.... igfxtray.exe của tớ có khả nghi (giả sử thôi nha), tớ vào safe mode, bật hijackthis lên, sau đó cho nó scan rồi đánh dấu chọn entry này như hình sau :

rồi ấn fixchecked. Như vậy là tớ đã loại bỏ cái entry cho khởi động igfxtray.exe ra khỏi registry ---> khởi động lại máy nó sẽ không thể chạy file này nữa.
Giả sử sau này tớ phát hiện ra nó là file hợp lệ ---> tớ phải restore cái entry này, rất may là hijackthis có khả năng restore những cái nó làm bằng cách tạo backup ---> tớ cho chạy lại hijackthis, chọn "none of the above, just start the program" ---> ấn vào config ---> chọn tab backup và nó sẽ hiện ra entry tớ đã xóa :

đánh dấu vào entry đó và chọn restore, nó sẽ trả lại về vị trí cũ của entry đó trong registry.

Lưu ý về những entries trong log-file:
R0, R1, R2, R3 – Những trang khởi động và tìm kiếm của Internet Explorer
F0, F1 – Những chương trình tự khởi động trong các tệp tin INI
N1, N2, N3, N4 – Những trang khởi động và tìm kiếm của Netscape/Mozilla
O1 – Những forwards trong tệp tin HOSTS
O2 – BHO-Phần mở rộng của IE (Browser Helper Objects)
O3 – Thanh dụng cụ của Internet Explorer (Toolbar)
O4 – Những chương trình được gọi khởi động từ Registry
O5 – Những phần lựa chọn cho IE không được thể hiện trong 'Extras'
O6 – Quyền truy cập vào lựa chọn của IE bị administrator loại bỏ
O7 – Quyền truy cập vào regedit bị administrator loại bỏ
O8 – Những entries thêm vào khi click chuột phải trong IE
O9 – Những nút được thêm vào trong IE-Toolbar hoặc những lựa chọn được thêm vào trong IE-Menu “Extras”
O10 – Thay đổi về Winsock
O11 – Nhóm được thêm vào trong cửa sổ IE Advanced Options
O12 - IE Plugins
O13 – Những thay đổi trong mặc định của IE
O14 – Những thay đổi trong web settings
O15 – Những trang bị chặn trong mục những restricted sites và trusted sites
O16 - ActiveX-Objects
O17 – Thay đổiLop.com-Domain
O18 – Những protocols phụ hoặc bị thay đổi
O19 – Thay đổi của 'User Style Sheet' (CSS)
Một số những entries mới từ sau bản 1.98:
O20 - AppInit_DLLs – Những autostart entries trong registry
O21 - ShellServiceObjectDelayLoad (SSODL) - Những autostart entries trong registry
O22 - SharedTaskScheduler -Những autostart entries trong registry
Một số những entries mới từ sau bản 1.99:
O23 - Windows NT Services – Những service của windows NT

(diendantinhoc.com)