Đăng Nhập

Vui lòng khai báo chính xác tên truy cập và mật khẩu!

Quên mật khẩu?

    [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.

      Có Nhiều Đóng góp Forum
      zjnzjn_ngok

      Giới tính : Nam

      Tuổi : 32

      Đến từ : TPHCM

      Ngày Tham gia : 13/06/2012

      Tổng số bài gửi : 161

      #1

       Tue Sep 18, 2012 11:18 pm

      I. Lời giới thiệu:
      - Trong thực tế có rất nhiều soft theo dõi sự thay đổi
      hệ thống, nhưng bằng kinh nghiệm của mình khi test virus, bản thân
      Q.Hà nhận thấy System Explorer là soft rất đáng để quan tâm vì: System
      Explorer chạy trực tiếp dạng portable, nhiều ứng dụng được đóng gói
      trong một, chạy nhẹ nhàng và nhanh, quan sát hệ thống tương đối đầy đủ,
      định kỳ nâng cấp và đặc biệt là free.
      II. Tổng quan về System Explorer


      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  Untitled



      Tác giả : Mister Group
      Phiên bản : 2.3.8.xxx. Giấy phép: Miễn phí
      HĐH : Windows 2000/XP/Vista/7
      Trang chủ : systemexplorer.mistergroup.org
      Link tải:



      Code:
      http://www.systemexplorer.net/downloadp.php
      - System Explorer là chương trình theo dõi hệ
      thống với nhiều tính năng và hoàn toàn miễn phí. System Explorer tương
      thích với Windows XP, Windows Vista và Windows 7. System Explorer miễn
      phí cho việc sử dụng cá nhân hoặc thương mại hóa. Chương trình có các
      tính năng sau:


      + Hiển thị thông tin chi tiết về các chương trình đang chạy bao gồm
      đường dẫn chính xác nơi chương trình chạy. Khác hẳn với Task Manager của
      Windows chỉ có thể hiển thị thông tin về tên chương trình.


      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  2copy

      - Hiển thị thông tin về một chương trình cho phép biết tất cả các
      tham số chạy chương trình điều này rất hữu ích cho những ai muốn chạy
      bằng chương trình cmd của Windows.
      + Khi bạn gặp rắc rối với việc xóa một tập tin mà không thể xóa được
      do có một chương trình đang chiếm giữ, nhưng lại không thể biết là
      chương trình nào, kết quả là không thể xóa được tập tin. Thành phần
      "Opened Files" cho phép xem tất cả các tâp tin đang được mở và từ đây
      có thể chọn "Close Handle" để đóng tập tin và bạn có thể xóa hoặc thao
      tác lại trên tập tin đó

      + Dễ dàng kiểm tra các file khả nghi thông qua VirusTotal hoặc Jotti.

      + Kiểm tra các Sevices của hệ thống:


      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  3copy

      + Đồ thị theo dõi việc sử dụng tài nguyên hệ thống theo thời gian.

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  10copy

      + Hệ thống Snapshots cho việc tìm kiếm cực dễ những thay đổi hệ thống.


      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  8copy



      + Hỗ trợ đa ngôn ngữ và Plugin.
      + Ngoài ra System Explorer còn quản lý các chương trình chạy lúc khởi
      động, các service của Windows, các driver, các connection đến hệ thống
      máy tính của bạn, các add-on của Internet Explorer, và chương trình
      Uninstall cho phép gỡ bỏ các chương trình đã cài đặt.


      III. Sử dụng System Explorer để theo dõi hành động của virus.

      1. Chuẩn bị:
      - Máy ảo (Q.Hà SD máy ảo VMware Workstation);
      - Tiến hành cài VMware Workstation, cài Win và các soft cần thiết.

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  121copy

      - Tạo Snapshots (để lấy môi trường sạch ban đầu)- Đã có hướng dẫn trên Bkav Forum.

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  11copy

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  11copy


      2. Dùng System Explorer để theo dõi những tác động của virus lên hệ điều hành.

      - Bước 1: Tiến hành "chụp ảnh hệ thống", các bạn chú ý hãy tắt
      toàn bộ các chương trình không cần thiết để KQ được chính xác hơn.
      (Trong các soft theo dõi sự thay đổi của hệ thống Q.Hà thấy
      SystemExplorer có thời gian quét nhanh nhất-> kết nhất, mặc dù nó đã
      qua khá nhiều thông tin về sự thay đổi của hệ thống).

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  14copy









      Trong quá trình quan sát, nên hạn chế mở thêm bất kì chương trình ứng dụng nào, điều này cũng nhằm mục đích nêu trên.
      Đương nhiên là phải tiến hành trên máy sạch rồi. (hãy cân nhắc trước khi cho dính Malware vào máy nhé)



      Bước 2: Kích hoạt virus (ở đây Q.Hà đã thả em Foto mới nhất ra máy ảo).

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  15copy

      - Bước 3: Chụp lại ảnh thông tin File & Registry toàn hệ thống máy tính, để so sánh những biến đổi của hệ thống do virus tác động.

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  16copy

      - Bước 4: Tiến hành so sánh (Compare Snapshost):

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  17copy









      Lưu ý: Vì mỗi Malware có mỗi kiểu tạo - xóa - sửa các Files -
      Folders - Registry khác nhau trong những khoảng thời gian khác nhau,
      nên ta sẽ không rõ được Malware có làm liền hết công việc của nó ngay
      khi dính vào máy ta. Bởi thế cần có một khoảng thời gian chờ để
      Malware có thể làm hoàn tất các công việc tạo - xóa - sửa rồi mới
      tiến hành chụp tiếp tấm ảnh thứ 2 này.
      Nếu thực sự muốn chắc chắn hơn về việc Malware có làm gì thêm sau đó hay không. Ta lại tiến hành chụp tấm ảnh thứ 3 ....



      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  18copy

      - Đọc log:

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  19copy

      - Bước 5: Tiến hành diệt virus (khi đã nắm được các thông tin về virus).

      - Tiến hành tắt tiến trình (process) của Malware: (Có thể kết hợp với XueTr, nhưng "em Foto này yếu quá Q.Hà dùng chính SystemExplorer để thực hiện mà không cần đến XueTr).

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  20copy

      - Xóa key khởi động và các file, folder do virus đã tạo ra. Hồi phục lại
      các File - Folder - Registry Key bị Malware xóa (hoặc thay đổi).

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  201copy










      Chú ý: Nếu gặp loại Virus nào khó có thể xóa trong Windows.
      Ta tiến hành Boot vào Dos hoặc NC để xóa (dựa trên các thông tin lấy
      được từ Snapshots), hoặc các bạn nhờ đến sức mạnh của XueTr)
      Đây chỉ là công cụ hỗ trợ diệt Virus_Malware bằng tay. Và nên nhớ rằng,
      Virus_Malware nào lây file thì khó có thể giải quyết bằng tay được, Do đó PC của bạn vẫn cần có một AV đủ mạnh để thường trực bảo vệ



      - Các bạn có thể tải trực tiếp SystemExplorerPortable_238 ở file đính kèm:
      SystemExplorerPortable_238.zip‎

      IV. Thực hành.
      - Qua phần I, II, III các bạn đã hiểu phần nào cách sử dụng System
      Explore. Q.Hà sẽ cùng các bạn thực hành test cách diệt virus Smart
      Security (một Fake AV nổi tiếng và khó chịu).

      - Sau khi dùng System Explore để theo dõi ta được log, đọc file log này
      ta thấy có một số thông tin quan trọng, Khi lây nhiễm vào máy Smart
      Security sẽ:

      + Thêm các file:




      Code:
      C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Smart Security.lnk
      C:\Documents and Settings\Administrator\Application Data\Smart Security
      C:\Documents and Settings\Administrator\Desktop\82.mof
      C:\Documents and Settings\Administrator\Desktop\Quarantine Items
      C:\Documents and Settings\Administrator\Desktop\SMSSys
      C:\Documents and Settings\Administrator\Desktop\Smart Security.lnk
      C:\Documents and Settings\Administrator\Desktop\f12fb602a09beb28be710fec0a04cc3f.ocx
      C:\Documents and Settings\Administrator\Desktop\xutexbexjlextue.ini
      C:\Documents and Settings\Administrator\Recent\ANTIGEN.dll
      C:\Documents and Settings\Administrator\Recent\FW.exe
      C:\Documents and Settings\Administrator\Recent\FW.sys
      C:\Documents and Settings\Administrator\Recent\ddv.drv
      C:\Documents and Settings\Administrator\Recent\eb.drv
      C:\Documents and Settings\Administrator\Recent\fan.tmp
      C:\Documents and Settings\Administrator\Recent\grid.sys
      C:\Documents and Settings\Administrator\Recent\hymt.sys
      C:\Documents and Settings\Administrator\Recent\kernel32.drv
      C:\Documents and Settings\Administrator\Recent\ppal.dll
      C:\Documents and Settings\Administrator\Recent\runddl.sys
      C:\Documents and Settings\Administrator\Recent\sld.dll
      C:\Documents and Settings\Administrator\Recent\sld.sys
      C:\Documents and Settings\Administrator\Recent\snl2w.dll
      C:\Documents and Settings\Administrator\Recent\snl2w.exe

      C:\Documents and Settings\Administrator\Start Menu\Programs\Smart Security.lnk
      C:\Documents and Settings\Administrator\Start Menu\Smart Security.lnk

      C:\Documents and Settings\All Users\Application Data\SMOCYYDWIS
      C:\Documents and Settings\All Users\Application Data\SMOCYYDWIS\SMWEUS.cfg
      C:\Documents and Settings\All Users\Application Data\f12fb
      C:\Documents and Settings\All Users\Application Data\f12fb\SM602.exe
      C:\Documents and Settings\All Users\Application Data\f12fb\SMS.ico
      C:\WINDOWS\Temp\Perflib_Perfdata_1e0.dat
      - Sửa trang chủ của IE:



      Code:
      http://findgala.com/?&uid=231&q={searchTerms}
      - Tạo key khởi động:



      Code:
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Smart Security "C:\Documents and Settings\All Users\Application Data\f12fb\SM602.exe" /s /d
      C:\Documents and Settings\Administrator\Start Menu\Programs\Smart Security.lnk
      C:\Documents and Settings\Administrator\Start Menu\Smart Security.lnk
      - Tạo một loạt key chống cài đặt AV dạng:



      Code:
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AAWTray.exe\Debugger svchost.exe
      - Đến đây coi như System Explore đã hoàn thành nhiệm vụ tiếp theo ta dùng XueTr để diệt Smart Security:

      + Bước 1: Kill các tiến trình đang chạy của "em" nó:

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  1-35

      + Xóa các key khởi động:

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  2-34

      + Xóa file:

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  3-28

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  4-24

      + Fix lại hệ thống bằng file LKfixsetup.exe (trong file đính kèm: LKfixsetup.exe.zip‎).
      + Khởi động lại PC và KT:

      [Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.  5-18

      + Không còn dấu hiệu của Smart Security.