các tiến trình window
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (337.5 KB, 9 trang )
I - Quy trình thu thập mã độc
Lấy mẫu virus là một quá trình rất quan trọng. Thông qua quá trình lấy mẫu,
sẽ kịp thời cung cung cấp cho các đơn vị ứng cứu khẩn cấp, hang phần mềm anti-
virus, đơn vị phát triển công cụ bảo mật, đơn vị cung cấp dịch vụ bảo mật, cơ quan
nhà nước nghiên cứu và phân tích mã độc của mẫu virus đó để biết được hành vi
cũng như có những giải pháp tiêu diệt chúng. Công cụ cần có: Đĩa CD chứa các
công cụ cơ bản như sau:
- Process Explorer (Hiển thị thông tin về các tiến trình);
- Autoruns (Xác định những tiến trình tự chạy khi khởi động HĐH và
đường dẫn tới các chương trình thực thi);
- PowerTool (Xem toàn bộ thông tin về hệ thống, đánh giá sơ lược về
hệ thống, xem các tiến trình bao gồm cả tiến trình ẩn, xem các file bao gồm cả file
ẩn );
- WinRar (nén và thu thập mẫu).
Bước 1:
Từ Start Menu của Windows chạy Run và gõ msconfig -> Startup để bước
đầu xem các tiến trình được khởi tạo chạy cùng HĐH.
Ở đây ta thấy có 2 tiến trình lạ đang chạy và ở cột Command có thể thấy rõ
đường dẫn của những file thực thi.
Bước 2:
Trên thanh công cụ của HĐH nhấp chuột phải và chọn Task Manager để
xem các tiến trình đang chạy trên hệ thống:
Chúng ta chỉ xét các tiến trình chạy dưới user người dùng, ở đây là
Administrator. Bằng kinh nghiệm và hiểu biết cơ bản về các ứng dụng trên máy
tính mà chúng ta có thể phát hiện ra các tiến trình lạ. Hình dưới chúng ta có thể dễ
dàng phát hiện thấy có 2 tiến trình lạ đang chạy là fortinet.exe và spoolv.exe.
Trong nhiều trường hợp virus có thể ngăn chặn không cho người dùng sử
dụng chức năng msconfig và Task Manager thì chúng ta sẽ qua các bước tiếp theo
là sử dụng công cụ nêu ở trên để tiến hành xem các file và tiến trình của Windows.
Bước 3: Dùng Process Explorer để xem có tiến trình lạ nào chạy trên máy
hay không.
Dựa vào kinh nghiệm và các chương trình ta đang chạy có thể xác định được
có hay không virus đang chạy trong hệ thống. Cụ thể ở đây ta có thể dễ dàng thấy 2
tiến trình lạ (phần explorer.exe trở xuống) mà chúng ta nghi ngờ do virus sinh ra.
Chúng ta cũng lưu ý tại cột Description sẽ cho ta một số thông tin bổ sung về tiến
trình đó, cột Company Name cho ta biết tên của công ty xây dựng ứng dụng
(thường các phần mềm mã độc sẽ không có tên công ty như hình trên), cột Path sẽ
cho ta đường dẫn tới các file mã độc. Ngoài ra chúng ta có thể dùng phần mềm
Autoruns để xác định xem có chương trình nào được khởi chạy cùng Windows hay
không:
Sau khi xác định chính xác đường dẫn rồi chúng ta sử dụng PowerTool để
vào các thư mục chứa các phần mềm trên để xem ngoài virus đó ra còn có loại nào
khác không. Trong một số trường hợp virus sẽ tự sao chép ra và nằm trong cùng
một thư mục, nếu không để ý rất dễ bị bỏ sót.
Bước 4: Chúng ta sử dụng chức năng Explorer của Windows để vào các thư
mục chứa virus. Lưu ý tuyệt đối không kích đúp và từng thư mục vì nếu như thư
mục đó có chứa virus Autorun thì chúng sẽ không được kích hoạt.
Tiếp theo, chúng ta sẽ sử dụng phần mềm Winrar để nén file virus lại. Lưu ý
là khi nén file chúng ta phải đặt mật khẩu cho file đề phòng trường hợp phần mềm
diệt virus sẽ xóa file nếu không có mật khẩu:
II - MỘT SỐ TIẾN TRÌNH WINDOWS CƠ BẢN
1. Rundll32 (quan ly cac thu vien dong *.dll)
C:\Windows\SysWOW64\rundll32.exe
hoặc:
C:\Windows\System32\rundll32.exe
2. svchost.exe (cac tien trinh khac su dung)
C:\Windows\System32
3. explorer.exe
C:\Windows\
4. conhost (csrss.exe cmd)
C:\Windows\System32
5. ctfmon (quan ly tien ich MS Office)
C:\Windows\System32
6. jusched (Java update schedule)
C:\Program files\
7. wscntfy.exe (windows up notification)
C:\Windows\System32
8. userinit.exe (khoi tao cac dich vu cho he thong)
C:\Windows\System32
9. spoolsv.exe (printing service)
C:\Windows\System32
10. lsass (LSA shell chịu trách nhiệm thực thi các chính sách bảo mật trên hệ
thống)
C:\Windows\System32
11. smss (Windows NT session manager: This is the session manager subsystem,
which is responsible for starting the user session. This process is initiated by the
main system thread and is responsible for various activities, including launching
the Winlogon and Win32 (Csrss.exe) processes, and setting system variables. After
it has launched these processes, it waits for either Winlogon or Csrss to end. If this
happens normally, the system shuts down; if it happens unexpectedly, Smss.exe
causes the system to stop responding (hang).)
C:\Windows\System32
12. alg.exe (Application Layer Gateway service is a component of of Windows
OS. It is required if you use a third-party firewall or Internet Connection Sharing
(ICS) to connect to the internet. If you end this program using the Task Manager,
you will lose all Internet connectivity until your next system restart or login.)
C:\Windows\System32
13. services.exe (This is the Services Control Manager, which is responsible for
running, ending, and interacting with system services. Use this program to start
services, stop them, or change their default from automatic to manual startup.)
C:\Windows\System32
14. igfxsrvc.exe (services của intel graphic)
C:\Windows\System32
III - MỘT SỐ MÃ ĐỘC VÀ ĐƯỜNG DẪN
1. SVCH0ST.exe (số 0 "zero", không phải là chữ "o") nằm trong
C:\Window\system32
2. YahooMsg.exe nằm trong C:\Window\system32
3. msnms nằm trong C:\Program Files\MSN Gaming Zone\msnms.exe
4. inetinfo.exe hoặc wmimgmt.com nằm trong C:\Documents and Settings\All
Users\Application Data\
5. kis.exe nằm trong C:\Documents and Settings\Administrator\Local
Settings\Temp\ kis.exe
6. spoolv.exe nằm trong C:\Documents and Settings\Administrator\
7. iexplore.exe nằm trong C:\Documents and Settings\Administrator\Local
Settings\Temp\
8. fortinet.exe C:\Documents and Settings\Administrator\Local Settings\Temp\
hoặc taskman.exe trong C:\Windows\system32\
IV - CÁC THƯ MỤC MÃ ĐỘC HAY ẨN NẤP
1. C:\Documents and Settings\Administrator\Local Settings\Temp\
2. C:\Documents and Settings\Administrator\
3. C:\Documents and Settings\AllUser\
4. Các thư mục có tên và biểu tượng giống thùng rác như RECYCLER,
RECYCLE
5. C:\Windows\System32
6. C:\Documents and Settings\
