I. Lời giới thiệu:
- Trong thực tế có rất nhiều soft theo dõi sự thay đổi
hệ thống, nhưng bằng kinh nghiệm của mình khi test virus, bản thân
Q.Hà nhận thấy System Explorer là soft rất đáng để quan tâm vì: System
Explorer chạy trực tiếp dạng portable, nhiều ứng dụng được đóng gói
trong một, chạy nhẹ nhàng và nhanh, quan sát hệ thống tương đối đầy đủ,
định kỳ nâng cấp và đặc biệt là free.
II. Tổng quan về System Explorer
Tác giả : Mister Group
Phiên bản : 2.3.8.xxx. Giấy phép: Miễn phí
HĐH : Windows 2000/XP/Vista/7
Trang chủ : systemexplorer.mistergroup.org
Link tải:
Code:
http://www.systemexplorer.net/downloadp.php
- System Explorer là chương trình theo dõi hệ
thống với nhiều tính năng và hoàn toàn miễn phí. System Explorer tương
thích với Windows XP, Windows Vista và Windows 7. System Explorer miễn
phí cho việc sử dụng cá nhân hoặc thương mại hóa. Chương trình có các
tính năng sau:
+ Hiển thị thông tin chi tiết về các chương trình đang chạy bao gồm
đường dẫn chính xác nơi chương trình chạy. Khác hẳn với Task Manager của
Windows chỉ có thể hiển thị thông tin về tên chương trình.
- Hiển thị thông tin về một chương trình cho phép biết tất cả các
tham số chạy chương trình điều này rất hữu ích cho những ai muốn chạy
bằng chương trình cmd của Windows.
+ Khi bạn gặp rắc rối với việc xóa một tập tin mà không thể xóa được
do có một chương trình đang chiếm giữ, nhưng lại không thể biết là
chương trình nào, kết quả là không thể xóa được tập tin. Thành phần
"Opened Files" cho phép xem tất cả các tâp tin đang được mở và từ đây
có thể chọn "Close Handle" để đóng tập tin và bạn có thể xóa hoặc thao
tác lại trên tập tin đó
+ Dễ dàng kiểm tra các file khả nghi thông qua VirusTotal hoặc Jotti.
+ Kiểm tra các Sevices của hệ thống:
+ Đồ thị theo dõi việc sử dụng tài nguyên hệ thống theo thời gian.
+ Hệ thống Snapshots cho việc tìm kiếm cực dễ những thay đổi hệ thống.
+ Hỗ trợ đa ngôn ngữ và Plugin.
+ Ngoài ra System Explorer còn quản lý các chương trình chạy lúc khởi
động, các service của Windows, các driver, các connection đến hệ thống
máy tính của bạn, các add-on của Internet Explorer, và chương trình
Uninstall cho phép gỡ bỏ các chương trình đã cài đặt.
III. Sử dụng System Explorer để theo dõi hành động của virus.
1. Chuẩn bị:
- Máy ảo (Q.Hà SD máy ảo VMware Workstation);
- Tiến hành cài VMware Workstation, cài Win và các soft cần thiết.
- Tạo Snapshots (để lấy môi trường sạch ban đầu)- Đã có hướng dẫn trên Bkav Forum.
2. Dùng System Explorer để theo dõi những tác động của virus lên hệ điều hành.
- Bước 1: Tiến hành "chụp ảnh hệ thống", các bạn chú ý hãy tắt
toàn bộ các chương trình không cần thiết để KQ được chính xác hơn.
(Trong các soft theo dõi sự thay đổi của hệ thống Q.Hà thấy
SystemExplorer có thời gian quét nhanh nhất-> kết nhất, mặc dù nó đã
qua khá nhiều thông tin về sự thay đổi của hệ thống).
Trong quá trình quan sát, nên hạn chế mở thêm bất kì chương trình ứng dụng nào, điều này cũng nhằm mục đích nêu trên.
Đương nhiên là phải tiến hành trên máy sạch rồi. (hãy cân nhắc trước khi cho dính Malware vào máy nhé)
Bước 2: Kích hoạt virus (ở đây Q.Hà đã thả em Foto mới nhất ra máy ảo).
- Bước 3: Chụp lại ảnh thông tin File & Registry toàn hệ thống máy tính, để so sánh những biến đổi của hệ thống do virus tác động.
- Bước 4: Tiến hành so sánh (Compare Snapshost):
Lưu ý: Vì mỗi Malware có mỗi kiểu tạo - xóa - sửa các Files -
Folders - Registry khác nhau trong những khoảng thời gian khác nhau,
nên ta sẽ không rõ được Malware có làm liền hết công việc của nó ngay
khi dính vào máy ta. Bởi thế cần có một khoảng thời gian chờ để
Malware có thể làm hoàn tất các công việc tạo - xóa - sửa rồi mới
tiến hành chụp tiếp tấm ảnh thứ 2 này.
Nếu thực sự muốn chắc chắn hơn về việc Malware có làm gì thêm sau đó hay không. Ta lại tiến hành chụp tấm ảnh thứ 3 ....
- Đọc log:
- Bước 5: Tiến hành diệt virus (khi đã nắm được các thông tin về virus).
- Tiến hành tắt tiến trình (process) của Malware: (Có thể kết hợp với XueTr, nhưng "em Foto này yếu quá Q.Hà dùng chính SystemExplorer để thực hiện mà không cần đến XueTr).
- Xóa key khởi động và các file, folder do virus đã tạo ra. Hồi phục lại
các File - Folder - Registry Key bị Malware xóa (hoặc thay đổi).
Chú ý: Nếu gặp loại Virus nào khó có thể xóa trong Windows.
Ta tiến hành Boot vào Dos hoặc NC để xóa (dựa trên các thông tin lấy
được từ Snapshots), hoặc các bạn nhờ đến sức mạnh của XueTr)
Đây chỉ là công cụ hỗ trợ diệt Virus_Malware bằng tay. Và nên nhớ rằng,
Virus_Malware nào lây file thì khó có thể giải quyết bằng tay được, Do đó PC của bạn vẫn cần có một AV đủ mạnh để thường trực bảo vệ
- Các bạn có thể tải trực tiếp SystemExplorerPortable_238 ở file đính kèm:
SystemExplorerPortable_238.zip
IV. Thực hành.
- Qua phần I, II, III các bạn đã hiểu phần nào cách sử dụng System
Explore. Q.Hà sẽ cùng các bạn thực hành test cách diệt virus Smart
Security (một Fake AV nổi tiếng và khó chịu).
- Sau khi dùng System Explore để theo dõi ta được log, đọc file log này
ta thấy có một số thông tin quan trọng, Khi lây nhiễm vào máy Smart
Security sẽ:
+ Thêm các file:
Code:
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Smart Security.lnk
C:\Documents and Settings\Administrator\Application Data\Smart Security
C:\Documents and Settings\Administrator\Desktop\82.mof
C:\Documents and Settings\Administrator\Desktop\Quarantine Items
C:\Documents and Settings\Administrator\Desktop\SMSSys
C:\Documents and Settings\Administrator\Desktop\Smart Security.lnk
C:\Documents and Settings\Administrator\Desktop\f12fb602a09beb28be710fec0a04cc3f.ocx
C:\Documents and Settings\Administrator\Desktop\xutexbexjlextue.ini
C:\Documents and Settings\Administrator\Recent\ANTIGEN.dll
C:\Documents and Settings\Administrator\Recent\FW.exe
C:\Documents and Settings\Administrator\Recent\FW.sys
C:\Documents and Settings\Administrator\Recent\ddv.drv
C:\Documents and Settings\Administrator\Recent\eb.drv
C:\Documents and Settings\Administrator\Recent\fan.tmp
C:\Documents and Settings\Administrator\Recent\grid.sys
C:\Documents and Settings\Administrator\Recent\hymt.sys
C:\Documents and Settings\Administrator\Recent\kernel32.drv
C:\Documents and Settings\Administrator\Recent\ppal.dll
C:\Documents and Settings\Administrator\Recent\runddl.sys
C:\Documents and Settings\Administrator\Recent\sld.dll
C:\Documents and Settings\Administrator\Recent\sld.sys
C:\Documents and Settings\Administrator\Recent\snl2w.dll
C:\Documents and Settings\Administrator\Recent\snl2w.exe
C:\Documents and Settings\Administrator\Start Menu\Programs\Smart Security.lnk
C:\Documents and Settings\Administrator\Start Menu\Smart Security.lnk
C:\Documents and Settings\All Users\Application Data\SMOCYYDWIS
C:\Documents and Settings\All Users\Application Data\SMOCYYDWIS\SMWEUS.cfg
C:\Documents and Settings\All Users\Application Data\f12fb
C:\Documents and Settings\All Users\Application Data\f12fb\SM602.exe
C:\Documents and Settings\All Users\Application Data\f12fb\SMS.ico
C:\WINDOWS\Temp\Perflib_Perfdata_1e0.dat
- Sửa trang chủ của IE:
Code:
http://findgala.com/?&uid=231&q={searchTerms}
- Tạo key khởi động:
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Smart Security "C:\Documents and Settings\All Users\Application Data\f12fb\SM602.exe" /s /d
C:\Documents and Settings\Administrator\Start Menu\Programs\Smart Security.lnk
C:\Documents and Settings\Administrator\Start Menu\Smart Security.lnk
- Tạo một loạt key chống cài đặt AV dạng:
Code:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AAWTray.exe\Debugger svchost.exe
- Đến đây coi như System Explore đã hoàn thành nhiệm vụ tiếp theo ta dùng XueTr để diệt Smart Security:
+ Bước 1: Kill các tiến trình đang chạy của "em" nó:
+ Xóa các key khởi động:
+ Xóa file:
+ Fix lại hệ thống bằng file LKfixsetup.exe (trong file đính kèm: LKfixsetup.exe.zip).
+ Khởi động lại PC và KT:
+ Không còn dấu hiệu của Smart Security.
- Trong thực tế có rất nhiều soft theo dõi sự thay đổi
hệ thống, nhưng bằng kinh nghiệm của mình khi test virus, bản thân
Q.Hà nhận thấy System Explorer là soft rất đáng để quan tâm vì: System
Explorer chạy trực tiếp dạng portable, nhiều ứng dụng được đóng gói
trong một, chạy nhẹ nhàng và nhanh, quan sát hệ thống tương đối đầy đủ,
định kỳ nâng cấp và đặc biệt là free.
II. Tổng quan về System Explorer
Tác giả : Mister Group
Phiên bản : 2.3.8.xxx. Giấy phép: Miễn phí
HĐH : Windows 2000/XP/Vista/7
Trang chủ : systemexplorer.mistergroup.org
Link tải:
Code:
http://www.systemexplorer.net/downloadp.php
- System Explorer là chương trình theo dõi hệ
thống với nhiều tính năng và hoàn toàn miễn phí. System Explorer tương
thích với Windows XP, Windows Vista và Windows 7. System Explorer miễn
phí cho việc sử dụng cá nhân hoặc thương mại hóa. Chương trình có các
tính năng sau:
+ Hiển thị thông tin chi tiết về các chương trình đang chạy bao gồm
đường dẫn chính xác nơi chương trình chạy. Khác hẳn với Task Manager của
Windows chỉ có thể hiển thị thông tin về tên chương trình.
- Hiển thị thông tin về một chương trình cho phép biết tất cả các
tham số chạy chương trình điều này rất hữu ích cho những ai muốn chạy
bằng chương trình cmd của Windows.
+ Khi bạn gặp rắc rối với việc xóa một tập tin mà không thể xóa được
do có một chương trình đang chiếm giữ, nhưng lại không thể biết là
chương trình nào, kết quả là không thể xóa được tập tin. Thành phần
"Opened Files" cho phép xem tất cả các tâp tin đang được mở và từ đây
có thể chọn "Close Handle" để đóng tập tin và bạn có thể xóa hoặc thao
tác lại trên tập tin đó
+ Dễ dàng kiểm tra các file khả nghi thông qua VirusTotal hoặc Jotti.
+ Kiểm tra các Sevices của hệ thống:
+ Đồ thị theo dõi việc sử dụng tài nguyên hệ thống theo thời gian.
+ Hệ thống Snapshots cho việc tìm kiếm cực dễ những thay đổi hệ thống.
+ Hỗ trợ đa ngôn ngữ và Plugin.
+ Ngoài ra System Explorer còn quản lý các chương trình chạy lúc khởi
động, các service của Windows, các driver, các connection đến hệ thống
máy tính của bạn, các add-on của Internet Explorer, và chương trình
Uninstall cho phép gỡ bỏ các chương trình đã cài đặt.
III. Sử dụng System Explorer để theo dõi hành động của virus.
1. Chuẩn bị:
- Máy ảo (Q.Hà SD máy ảo VMware Workstation);
- Tiến hành cài VMware Workstation, cài Win và các soft cần thiết.
- Tạo Snapshots (để lấy môi trường sạch ban đầu)- Đã có hướng dẫn trên Bkav Forum.
2. Dùng System Explorer để theo dõi những tác động của virus lên hệ điều hành.
- Bước 1: Tiến hành "chụp ảnh hệ thống", các bạn chú ý hãy tắt
toàn bộ các chương trình không cần thiết để KQ được chính xác hơn.
(Trong các soft theo dõi sự thay đổi của hệ thống Q.Hà thấy
SystemExplorer có thời gian quét nhanh nhất-> kết nhất, mặc dù nó đã
qua khá nhiều thông tin về sự thay đổi của hệ thống).
Trong quá trình quan sát, nên hạn chế mở thêm bất kì chương trình ứng dụng nào, điều này cũng nhằm mục đích nêu trên.
Đương nhiên là phải tiến hành trên máy sạch rồi. (hãy cân nhắc trước khi cho dính Malware vào máy nhé)
Bước 2: Kích hoạt virus (ở đây Q.Hà đã thả em Foto mới nhất ra máy ảo).
- Bước 3: Chụp lại ảnh thông tin File & Registry toàn hệ thống máy tính, để so sánh những biến đổi của hệ thống do virus tác động.
- Bước 4: Tiến hành so sánh (Compare Snapshost):
Lưu ý: Vì mỗi Malware có mỗi kiểu tạo - xóa - sửa các Files -
Folders - Registry khác nhau trong những khoảng thời gian khác nhau,
nên ta sẽ không rõ được Malware có làm liền hết công việc của nó ngay
khi dính vào máy ta. Bởi thế cần có một khoảng thời gian chờ để
Malware có thể làm hoàn tất các công việc tạo - xóa - sửa rồi mới
tiến hành chụp tiếp tấm ảnh thứ 2 này.
Nếu thực sự muốn chắc chắn hơn về việc Malware có làm gì thêm sau đó hay không. Ta lại tiến hành chụp tấm ảnh thứ 3 ....
- Đọc log:
- Bước 5: Tiến hành diệt virus (khi đã nắm được các thông tin về virus).
- Tiến hành tắt tiến trình (process) của Malware: (Có thể kết hợp với XueTr, nhưng "em Foto này yếu quá Q.Hà dùng chính SystemExplorer để thực hiện mà không cần đến XueTr).
- Xóa key khởi động và các file, folder do virus đã tạo ra. Hồi phục lại
các File - Folder - Registry Key bị Malware xóa (hoặc thay đổi).
Chú ý: Nếu gặp loại Virus nào khó có thể xóa trong Windows.
Ta tiến hành Boot vào Dos hoặc NC để xóa (dựa trên các thông tin lấy
được từ Snapshots), hoặc các bạn nhờ đến sức mạnh của XueTr)
Đây chỉ là công cụ hỗ trợ diệt Virus_Malware bằng tay. Và nên nhớ rằng,
Virus_Malware nào lây file thì khó có thể giải quyết bằng tay được, Do đó PC của bạn vẫn cần có một AV đủ mạnh để thường trực bảo vệ
- Các bạn có thể tải trực tiếp SystemExplorerPortable_238 ở file đính kèm:
SystemExplorerPortable_238.zip
- Qua phần I, II, III các bạn đã hiểu phần nào cách sử dụng System
Explore. Q.Hà sẽ cùng các bạn thực hành test cách diệt virus Smart
Security (một Fake AV nổi tiếng và khó chịu).
- Sau khi dùng System Explore để theo dõi ta được log, đọc file log này
ta thấy có một số thông tin quan trọng, Khi lây nhiễm vào máy Smart
Security sẽ:
+ Thêm các file:
Code:
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Smart Security.lnk
C:\Documents and Settings\Administrator\Application Data\Smart Security
C:\Documents and Settings\Administrator\Desktop\82.mof
C:\Documents and Settings\Administrator\Desktop\Quarantine Items
C:\Documents and Settings\Administrator\Desktop\SMSSys
C:\Documents and Settings\Administrator\Desktop\Smart Security.lnk
C:\Documents and Settings\Administrator\Desktop\f12fb602a09beb28be710fec0a04cc3f.ocx
C:\Documents and Settings\Administrator\Desktop\xutexbexjlextue.ini
C:\Documents and Settings\Administrator\Recent\ANTIGEN.dll
C:\Documents and Settings\Administrator\Recent\FW.exe
C:\Documents and Settings\Administrator\Recent\FW.sys
C:\Documents and Settings\Administrator\Recent\ddv.drv
C:\Documents and Settings\Administrator\Recent\eb.drv
C:\Documents and Settings\Administrator\Recent\fan.tmp
C:\Documents and Settings\Administrator\Recent\grid.sys
C:\Documents and Settings\Administrator\Recent\hymt.sys
C:\Documents and Settings\Administrator\Recent\kernel32.drv
C:\Documents and Settings\Administrator\Recent\ppal.dll
C:\Documents and Settings\Administrator\Recent\runddl.sys
C:\Documents and Settings\Administrator\Recent\sld.dll
C:\Documents and Settings\Administrator\Recent\sld.sys
C:\Documents and Settings\Administrator\Recent\snl2w.dll
C:\Documents and Settings\Administrator\Recent\snl2w.exe
C:\Documents and Settings\Administrator\Start Menu\Programs\Smart Security.lnk
C:\Documents and Settings\Administrator\Start Menu\Smart Security.lnk
C:\Documents and Settings\All Users\Application Data\SMOCYYDWIS
C:\Documents and Settings\All Users\Application Data\SMOCYYDWIS\SMWEUS.cfg
C:\Documents and Settings\All Users\Application Data\f12fb
C:\Documents and Settings\All Users\Application Data\f12fb\SM602.exe
C:\Documents and Settings\All Users\Application Data\f12fb\SMS.ico
C:\WINDOWS\Temp\Perflib_Perfdata_1e0.dat
- Sửa trang chủ của IE:
Code:
http://findgala.com/?&uid=231&q={searchTerms}
- Tạo key khởi động:
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Smart Security "C:\Documents and Settings\All Users\Application Data\f12fb\SM602.exe" /s /d
C:\Documents and Settings\Administrator\Start Menu\Programs\Smart Security.lnk
C:\Documents and Settings\Administrator\Start Menu\Smart Security.lnk
- Tạo một loạt key chống cài đặt AV dạng:
Code:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AAWTray.exe\Debugger svchost.exe
- Đến đây coi như System Explore đã hoàn thành nhiệm vụ tiếp theo ta dùng XueTr để diệt Smart Security:
+ Bước 1: Kill các tiến trình đang chạy của "em" nó:
+ Xóa các key khởi động:
+ Xóa file:
+ Fix lại hệ thống bằng file LKfixsetup.exe (trong file đính kèm: LKfixsetup.exe.zip).
+ Khởi động lại PC và KT:
+ Không còn dấu hiệu của Smart Security.