Deface VR 1. Sử dụng công cụ ñể phát hiện VR 1.1. Process Explorer 1.2. Autoruns 1.3. Hijackfree 1.4. Grouped Access Tools 1.5. APT(Advanced Process Termination) 2. Sử dụng công cụ ñể phát hiện ROOTKIT *** Một số khái niệm tìm hiểu về Rootkit **** 2.1.The Avenger 2.2. Gmer 2.3. ICESword 2.4. Rootkit Unhooker 2.5. RootkitDetector 2.6. PANDA ARK 2.7. WSYSCHECK (tool hay) 2.8. AVZ 2.9. RADIX 2.10. SEEM (System Eyes & Ears Monitor) 2.11. RootkitRevealer 2.12. HELIOS
TaiLong
1
DFVr
Deface VR
1. Sử dụng công cụ ñể phát hiện VR 1.1. Process Explorer Download: http://download.sysinternals.com/Files/ProcessExplorer.zip Giới thiệu: Process Explorer(PX) là công cụ theo dõi các tiến trình trong máy tính của bạn, hiển thị thông tin về các tiến trình các handle và các thư viện dll trong các tiến trình ñược mở hoặc ñược nạp vào. PX có thể chạy với tài khoản người dùng thông thường nhưng nó sẽ không thể hiển thị hết ñược tất cả, chi tiết các tiến trình trên windows. Theo khuyến cáo thì nên chạy PX với tài khoản Administrator ñể nhìn một cách chi tiết hơn về các tiến trình hệ thống Process Explorer hiển thị 2 cửa sổ con. Cửa sổ trên hiện danh sách các tiến trình ñang chạy hiện tại, bao gồm tên các tài khoản riêng của từng tiến trình, trong ñó phần thông tin ñuợc hiển thị ở phần dưới phụ thuộc vào cách chọn trong Process Explorer: Nếu chọn hiển thị chế ñộ handle bạn sẽ nhìn thấy các handle ñược hiển thị khi chọn tiến trình nào ñó ở cửa sổ bên trên; còn nếu chọn chế ñộ hiển thị theo các file DLL bạn sẽ thấy các file DLL và các file ñược gán vào bộ nhớ khi tiến trình khởi chạy. Process Explorer cũng có chức năng tìm kiếm rất mạnh mà nhanh hơn khi các handle ñang ñược mở hoặc tìm các file DLL ñược nạp vào Khả năng ñộc ñáo của Process Explorer là tạo cho nó có thể ñược dùng cho việc kiểm tra các vấn ñề về phiên bản các file DLL hoặc các lỗi handle, và cung cấp một cách khá toàn diện theo hướng các ứng dụng của Windows hay các ứng dụng trong công việc. - Thông tin về các loại màu sắc trong cửa sổ chính Trong PX ta chọn Options Configure Highlighting
Với từng màu tương ứng sẽ là một loại chương trình như : New Objects : Tiến trình mới vừa ñược gọi Deleted Objects : Tiến trình ñã bị tắt Own processes : Tiến trình chạy với người dùng của bạn ñang sử dụng Services : Tiến trình dịch vụ Packed Images : Process bị pack (virus thường có màu này) .NET Processes : Ứng dụng chạy trên nền .NET Jobs: Tiến trình này ít xảy ra Relocated DLLs: Những DLLs ñược tạo lại. cái này cũng ít xảy ra hoặc chỉ xảy ra Hướng dẫn sử dụng: TaiLong
2
DFVr
Deface VR Cấu hình ProcessXp ñể hiện các cột về nội dung thông tin các tiến trình ñược hiển thị - Click vào View->Lower Pane View->Handles(Ctrl + H) ñể hiển thị các handle - Click vào View->Lower Pane View->DLLs(Crtl + D) ñể hiển thị các DLLs Một cửa sổ sẽ hiển thị bên dưới. Nội dung của sổ ñó sẽ cho phép ta thấy ñược các handle và các DLLs ñược ñi kèm cùng tiến trình khi ta chọn
Muốn nhìn rõ các thông tin về các tiến trình chọn View Select columns. Tích vào nội dung thông tin muốn hiển thị bao gồm các tab (Process Image, Handle, DLL, Process Performance, Process Memory, .NET, Status Bar) • -
Tab Process Image có các thông tin sau “User Name” (tên người dùng) “Description” (mô tả) “Company Name” (Tên công ty) “Version” (Phiên bản) “Image Path” (ðường dẫn) “PID (Process Identifier)” “Verified Signer(Xác minh chữ ký)” cái này hay dùng “Windows Title” (Phần tiêu ñề ) “Windows Status”(Phần trạng thái) “Session” (Phiên kết nối) “Command Line” (Dòng lệnh thực thi) “Comment” (Lời nhận xét) “DEP(Data Execution Prevention) Status” (Trạng thái của một ñặc tính bảo mật ñược sử dụng trong windows)
• • • •
Tab DLL (Hiện thị chi tiết thông tin về các file thư viện DLL) Tab Handle (Hiện thị chi tiết thông tin về Handle nào ñó) Tab Process Performance (hiển thị thông tin về tính thực thi của tiến trình) Tab Process Memory (Hiển thị thông tin về bộ nhớ)
TaiLong
3
DFVr
• •
Deface VR Tab .NET (khi nào cài chương trình có sử dụng ñến thư viện Net Framework mới hiển thị ñược thông tin trong tab ) Tab Status Bar (hiện thông tin thanh trạng thái ở dưới cùng)
Muốn tìm kiếm các handle hay các DLL thì ta chọn Find Find Handle or DLL…(Crtl+F) ñánh tên handle hay DLL muốn tìm
- Xử lý các tiến trình + Tắt tiến trình Muốn tắt(kill) một tiến trình nào ñó ta chuột phải vào tiến trình ñó chọn Kill Process(hay ấn phím Del).
TaiLong
4
DFVr
Deface VR
Còn nếu muốn tắt các tiến trình con của nó ta chọn Kill Process Tree(Shift + Del) hay còn gọi là tắt theo dạng cây + Tạm dừng tiến trình(Suspend) Nếu muốn tắt nhiều tiến trình ta có thể chọn cách dừng(suspend) không cho chạy tiến trình ñó rồi thực hiện tùy chọn tắt từng tiến trình một
1.2. Autoruns Download: http://download.sysinternals.com/Files/Autoruns.zip Giới thiệu: Tiện ích này bao hàm toàn diện những nhận biết về cách xác ñịnh các tiến trình khởi chạy ña phần trong regedit, hiện những chương trình khởi chạy trong quá trình ñăng nhập vào hệ thống và hiện cho bạn những ñường dẫn theo thứ tự các tiến trình của chúng Các chương trình tự khởi chạy bao gồm folder startup, các khóa Run, Runonce và các khóa trong Registry. Bạn có thể cấu hình autoruns ñể hiện các vùng khác bao gồm các DLL khác như ở toolbars là TaiLong 5 DFVr
Deface VR các BHO(Browser Helper Objects), các thông báo winlogon, các dịch vụ tự ñộng chạy, và nhiều cái nữa… Autoruns cũng bao gồm một phần hiển thị như tiện ích MSConfig trong windows XP/Server 2003. Vào menu Options chọn “Hide Microsoft and Windows entries” sẽ ẩn toàn bộ những ứng dụng tự chạy của windows và của microsoft, lúc ñó chỉ hiển thị những phần ứng dụng của một hãng thứ 3 ñược chạy khi khởi ñộng vào hệ thống. lúc này ta có thể lọc ñược những ứng dụng nào là không ñáng tin cậy(thường không có chữ ký và phần mô tả, và nhà cung cấp) Tất nhiên bạn có thể sẽ ngạc nhiên làm thế nào ñể biết ñược có bao nhiêu ứng dụng tự khởi chạy và phát hiện nó ra sao! Khi tiếp xúc nhiều bạn sẽ thấy quen mắt và bạn sẽ lọc ñược cái nào là không ñáng tin cậy Autoruns làm việc trên tất cả các phiên bản của vWindows bao gồm cả Windows XP 64-bit Edition (x64) và Windows Server 2003 64-bit Edition (x64).
Sử dụng: Thường thì chạy Autoruns và nó hiện cho bạn hiện tại các cấu hình những ứng dụng tự ñộng chạy cũng như toàn bộ danh sách các vùng trong registry và trong file hệ thống mà sẵn ñược cấu hình tự ñộng chạy. Các vùng ứng dụng tự ñộng chạy ñược hiển thị bởi Autoruns bao gồm các entry logon, phần addons Explorer, add-ons Internet Explorer bao gồm phần BHO(Browser Helper Objects), các Appinit DLLs, image hijacks, các ảnh thực thi khi khởi ñộng(boot execute images), các DLLs thông báo ở winlogon, Windows Services và Winsock Layered Service Providers. Chuyển qua tab khác ñể hiển thị các phần khác như về printer… ðể disable một entry ta bỏ check vào hộp check ñó. ðể delete một entry cấu hình tự chạy ta chọn menu entry chọn Delete(Ctrl + D) hoặc chuột phải vào entry ñó chọn Delete
TaiLong
6
DFVr
Deface VR
-
Disable và xóa các Entry (ñầu vào)
Nếu bạn muốn một entry kích hoạt vào thời ñiểm tiếp theo khi bạn ñăng nhập vào hệ thống bạn có thể chọn một trong 2 tùy chọn là disble hoặc delete nó. ðể disable một entry bạn chỉ cần bỏ check(uncheck) nó. Autoruns sẽ lưu lại thông tin startup vào trong một vùng backup vì thế ta có thể ñược kích hoạt lại nếu cần thiết. Một số mục chọn ñược lưu trữ trong thư mục startup autorus tạo ra một thư mục ñược gọi là autoruns ñã bị disable. Nếu có các mục chọn bị disable trong các thư mục khác khi bạn chạy Explorer sẽ tạo một cửa sổ ñể thư mục trên desktop (nhưng không thực thi các hình ảnh bên trong ñó). Check một mục bị disable sẽ enable lại mục chọn ñó. Bạn nên xóa các mục chọn mà bạn không muốn nó thực thi bao giờ. Vì thế bằng cách chọn Delete trong menu Entry. Chỉ lựa chọn mục chọn hiện tại ñể delete Nếu bạn ñang chạy autoruns không với quyền quản trị trên windows Vista và cố gắng thay ñổi trạng thái của một entry toàn cục, bạn sẽ bị từ chối truy cập (deny access). Autorus sẽ hiển thị một hộp thoại với một nút mà cho phép bạn chạy lại Autoruns với ñúng quyền quản trị. Bạn cũng có thể sử dụng lựa chọn –e ở tùy chọn command-line ñể khởi chạy autoruns với ñúng quyền quản trị - Nội dung các vùng và các entry ñược hiển thị Thường khi chạy Autoruns và nó hiện cho bạn cấu hình hiện tại các ứng dụng tự ñộng chạy trong vùng mà các ứng dụng chạy trực tiếp. Thực hiện một scan mới sẽ lại các hiển thị • Logon: Khi scan vùng này thì những kết quả hiện thị các entry ñuợc scan là thư mục startup cho người dùng hiện tại và tất cả các người dùng, các khóa Run trong regedit, và các vùng khởi chạy ứng dụng chuẩn • Explorer: Entry trong tùy chọn này ñể xem các shell mở rộng, BHO(Browser Helper Objects), phần hiện thị ở thanh toolbar của explorer, và các shell thực thi các hook. • Internet Explorer(IE): Entry này hiện các ñối tượng ñính thêm BHO, các phần mở rộng ở thanh toolbar của IE • Service: Hiển thị tất cả các dịch vụ ñược cấu hình tự ñộng chạy khi hệ thống bắt ñầu khởi chạy TaiLong 7 DFVr
Deface VR • Drivers: Entry này sẽ hiển thị tất cả các driver ở chế ñộ kernel ñược ñăng ký vào hệ thống loại trừ các drivers ñã bị disable • Scheduled Tasks: Các entry ở task schedule ñược cấu hình ñể ñặt lịch khi khởi ñộng vào hệ thống • AppInit DLLS: Entry hiện thị ở task này hiện các DLL ñược ñăng ký như một ứng dụng ñể khởi chạy các file DLL • Boot Execute: Các hình ảnh ban ñầu (khác với các ứng windows) mà chạy sớm hơn lúc các tiến trình khởi ñộng vào hệ thống • Image Hijacks: Entry này ở khóa “image file execution options” của regedit và ứng dụng tự chạy ở cửa sổ dòng lệnh và khóa này ñược sử dụng ñể thay thế một file khởi chạy bằng một file khác (thường là virus sẽ thay ñổi) • Known DLLs: Những báo cáo này là vị trí của các DLLs mà Windows load và trong các ứng dụng mà tham chiếu của chúng • Winlogon Notifications: Hiện các DLLs mà ñăng ký cho thông báo Winlogon của các sự kiện khi khởi chạy • Winsock Providers: Hiện những giao thức winsock ñã ñược ñăng ký, bao gồm nhà cung cấp dịch vụ winsock. Malware thường cài ñặt chính nó như một nhà cung cấp dịch vụ winsock bởi vì có một vài công cụ mà có thể remove chúng. Autoruns có thể gỡ bỏ chúng nhưng không thể disable chúng • LSA Providers: Hiện những ñăng ký ủy quyền LSA(Local Security Authority), thông báo và bảo mật các gói tin • Printer Monitor Drivers: Hiển thị các file DLLs mà load vào trong các dịch vụ in ấn. Malware thường sử dụng hỗ trợ này ñể tự khởi chạy chính nó • Sidebar: Hiển thị Phần ñược cải tiến thêm ở sidebar trong Windows Vista Trừ khi ta check vào lựa chọn “Include Empty Locations” trong menu Options. Autoruns không hiện các vùng không với entry nào cả(làm mờ các entry) Tùy chọn Verify Signatures xuất hiện trong menu Options trên hệ thống mà hỗ trợ việc xác minh hình ảnh các chữ ký và có thể ñưa ra kết quả trong autoruns truy vấn ñể ñược chứng nhận thu hồi danh sách(CRL-Certificate Revocation List) các web site ñể xác ñịnh xem chữ ký nào là hợp lệ. Autoruns hiện thị ra ñoạn thông báo “Not verified ” rồi ñến tên công ty của file mà không có chữ ký hoặc chữ ký ñó không ñược ký bằng các quyền chứng thực gốc trên danh sách của sự ủy quyền gốc ñáng tin cậy bởi hệ thống Sử dụng “Hide Microsoft Entries” hoặc “Hide Windows Entries” trong menu Options giúp bạn nhận dạng phần mềm mà ñã ñược thêm vào hệ thống từ lúc cài ñặt. Autoruns sẽ chỉ hiện những file nào mà không phải của hãng microsoft và của hệ thống windows. Và nếu ta tích chọn cả phần “Verified Code Signatures” autoruns sẽ xác minh cho ta chữ ký số của file ñó xem có ñáng tin cậy không.nếu không ở phần nhà sản xuất (Publisher) sẽ có tiền tố “(Not verified)” • Phiên bản mới 9.50 có tùy chọn “Hide Microsoft and Windows entries” phần “Hide Microsoft” sẽ bỏ qua những file ñã ñược ký bởi Microsoft nếu ta lựa chọn cả phần “Verify Signatures” và bỏ qua cả những file nào mà có tài nguyên của Microsoft trong trường tên công ty nếu ta không lựa chọn “Verify Signatures”. Còn về phần “Hide Windows” sẽ bỏ qua các file ñược ký bởi Windows nếu ta ñã lựa chọn “Verify Signatures”, Hide Windows bỏ qua những hình ảnh mà có trong tài nguyên của Microsoft trong trường tên công ty và hình ảnh ñó ñược lưu trữ dưới thư mục %SystemRoot%
Trên các hệ ñiều hành Windows NT/XP/2000/2003 có nhiều tài khoản người dùng thì ở menu Users ta có thể tùy chọn với những tên người dùng ñó. Chọn một tài khoản ñể xem các file tự ñộng chạy ở tài khoản ñó TaiLong
8
DFVr
Deface VR Quan sát biểu hiện virus: Khi sử dụng chương trình này bạn ñể ý thông tin phần mô tả(Description), xuất sứ(Publisher). Virus có thể giả danh các file hệ thống của windows các bạn ñể ý phần ñường dẫn(Image Path) Thường không có 2 phần mô tả(Description) và nhà cung cấp(Publisher) Nếu virus giả danh hệ thống thì ñể ý phần ñường dẫn(Image Path) Các cột lưu ý virus hay nằm ở ñó: Logon, services, Drivers, Image Hijacks, Appinit, winlogon. Tất nhiên ta kiểm tra cả cột explorer và Internet explorer ñể xem có file dll nào inject vào không
1.3. Hijackfree Download: http://download3.emsisoft.com/a2HiJackFree.exe Giới thiệu: Quản lý các file tự ñộng chạy trên hệ thống của bạn Kiểm soát các phần như Explorer và các phần ñính kèm vào Trình duyệt IE(BHOs, Toolbars,…) Quản lý các tiến trình ñang chạy và các module ñược tích hợp vào Kiểm soát các dịch vụ thậm chí cả những cửa sổ không ñược hiện thị Xem các cổng mở và những tiến trình nào ñang lắng nghe Xem tất cả các tên miền ñược gán vào file hosts Quản lý các LSP(Layered Service Providers) ñược cài ñặt ra Phân tích cấu hình hệ thống với chức năng phân tích online Sử dụng: Xem những tiến trình ñang chạy: Như chức năng Task Manager của window, HiJackFree sẽ hiện tất cả theo danh sách các tiến trình ñang chạy. Nhưng thêm vào ñó nó sẽ hiện thêm cho ta nhiều thông tin chi tiết hơn. Như ñặc tính, những modules ñược khởi chạy, thông tin online và chi tiết tiến trình ñược chỉ ra thêm cả các chương trình chạy như một dịch vụ, ñược bắt ñầu bởi một ñầu vào tự ñộng hoặc các cổng TCP, UDP mở
Xem các cổng mở: TaiLong
9
DFVr
Deface VR HiJackFree sẽ hiện tất cả các cổng mở bên trong. Một cổng mở nghĩa là có một tiến trình ñang chạy và ñược lắng nghe với số cổng ñược nhập vào từ bên ngoài Việc quản lý các cổng cũng ñược hiện trong các tiến trình bạn cũng có thể xem luôn. Bạn có thể kill một tiến trình và ñặt nó vào vùng cách lý(quarantine) dùng ñể phục hồi sau nếu cần thiết
Xem các phần tự khởi chạy(autoruns) Hiển thị và chỉnh sửa tất cả các ñầu vào tự khởi chạy. Chỉ ra hơn 30 phần tự chạy khác nhau ñược hiển thị và có thể ñược chỉnh sửa theo cách tốt nhất. Bên cạnh ñó còn có các phần tự khởi chạy ở trong Registry của người dùng hiện thời(ở khóa HKCU) và của tất cả người dùng(ở khóa HKLM), HiJackFree cũng hiện phần tự khởi chạy trong các file như win.ini, system.ini, autoexec.bat và config.sys. Thêm vào ñó nó hiện tất cả các chương trình tự chạy trong thư mục start menu
TaiLong
10
DFVr
Deface VR Xem các dịch vụ Với việc quản lý dịch vụ này bạn có thể dễ dàng xem các dịch vụ nào ñược cài ra và ñang khởi chạy. Thêm vào ñó nó cũng ñược hiện ñầy ñủ ñường dẫn và những file thực thi dịch vụ ñó trong danh sách ñể giúp cho việc nhận thấy nhanh các dịch vụ nào có hại. Nó cũng hiện lên danh sách các dịch vụ mà ñược hiện lên trong Windows Service Manager
Các phần khác Phần ñính thêm (addons) của a-squared HiJackFree cho phép bạn xem và thay ñổi các phần mở rộng của windows Explorer và IE. Hay các addons chính là Browser Helper Objects mở rộng các chức năng của trình duyệt hay thêm vào các thanh công cụ
TaiLong
11
DFVr
Deface VR LSP Protocols LSP sẽ hiện tất cả những lớp dịch vụ ñược cài ñặt liên quan tới các drivers của mạng. Một số spyware sử dụng phương thức này trên các website ñược hiện trên trình duyệt của bạn Hosts File Hosts file ñược sử dụng lưu trữ thông tin nhằm tìm một nốt(node) trên mạng máy tính. Thông tin ñược chứa ñựng trong file này nhằm phân tích và chuyển từ hostnames sang (tới) ñịa chỉ IP. File hosts dùng có phần giống như DNS (Domain Name System), nhưng khác DNS ở chỗ có khả năng chỉnh sửa cục bộ. Malware (sẽ) thường ñược viết lên file hosts ñể ngăn cản chúng ta xử lý một vài ñịa chỉ hoặc hướng ñia chỉ tới các site ñộc hại. Có thể người viết malware có thể muốn các phần mềm diệt virus dừng việc cập nhật, họ sẽ tạo 1 entry trong file hosts nhằm ngăn chặn phần mềm diệt virus chỉ tới vị trí ñúng ñắn ñể cập nhật. Trường hợp khác, tác giả malware có thể dùng file hosts nhằm thêm entry ñể chiếm ñịa chỉ ngân hàng với các mục ñích lừa ñảo. Hiểu biết về file hosts là quan trọng nhằm sử dụng máy tính ñược tốt hơn, tuy nhiên, kẻ xấu lại lợi dụng việc hiểu biết này vào mục ñích nguy hiểm
Active-X The Active-X section shows all installed Active-X modules (DLLs) on the system. The list shows invalid references which can be removed. Active-X hiện tất các modules(DLLs) Active-X hiện trên hệ thống. Danh sách các các phần liên quan không hợp lệ có thể bị remove Quarantine (Vùng cách ly) Khi remove malware, có thể xảy ra tình huống bạn remove nhầm một file nào ñó không phải là ñộc hại thì khi ñó bạn có thể check vào tùy chọn “Save Backup” ñể phục hồi
TaiLong
12
DFVr
Deface VR
Phân tích online: A-squared HiJackFree hỗ trợ phân tích online là ñặc tính trợ giúp cho người dùng khá mạnh ñể xem toàn diện các tiến trình khởi chạy, các khóa autorun, các phần ñính vào(addons) hay các cổng ñang mở(cổng nào là nguy hại). Bạn có thể click vào nút "Refresh Online Data" ñể phân tích online trực tiếp.
1.4. Grouped Access Tools Download: http://zone-dev.com/downloads/GATsetup.exe Giới thiệu: ðây là tiện ích cho phép bạn hiển thị và quản lý các tiến trình ñang chạy ñể tối ưu cho máy tính của mình Grouped Access Tools (GAT) là một công cụ khá mạnh ñược thiết kế ñể tìm phần mềm ñộc hại, debug các ứng dụng, phần mềm và các trò game, bằng cách truy cập, biên tập, phân tích, và thao tác trên phần mềm ñó Grouped Access Tools có thể xem các tiến trình ñang chạy hoặc những chương trình mới chạy. Người dùng có thể thực thi nhiều task vụ trong tiến trình như: tạm dừng tiến trình, làm sạch trong bộ nhớ của nó, tắt tiến trình, phá vỡ tiến trình, ép buộc tắt tiến trình, biên tập bộ nhớ của tiến trình ñó, tìm kiếm giá trị và làm dump GAT có những ứng dụng khác như ñang chạy ở chế ñộ system, chạy explorer ở chế ñộ system, các tiến trình ñang ñược ghi log, và chuyển ñổi ñịnh dạng Grouped Access Tools có thể sẽ dễ quản lý các tiến trình ñang chạy trên máy tính của bạn và tối ưu cho bộ nhớ trong hệ thống của bạn Các cửa sổ chính:
TaiLong
13
DFVr
Deface VR
H1. “ðây là cửa sổ chính của GAT cho phép bạn hiện thị và quản lý các tiến trình ñang chạy”
H2. Từ thanh menu Process của GAT bạn có thể dễ dàng dừng, tắt hoặc ép buộc close hoặc dừng một tiến trình ñược lựa chọn
TaiLong
14
DFVr
Deface VR
H3. Ở thanh menu Tools sẽ hiện thị cho ta thấy một bộ các tiện ích
H4. “Trong tab tùy chọn của menu tools của GAT bạn có thể chọn kích hoạt hay disable Load up Tokens của XP view ”
1.5. APT (Advanced Process Termination) Download: http://diamondcs.com.au/downloads/freeutilities/apt.zip Giới thiệu: APT là một tiện ích nhỏ nhưng rất mạnh nó cung cấp ñến 18 chức năng ñể “ñập chết” một tiến trình :D - 2 chế ñộ tắt sâu vào hệ thống ở dạng nhân (kernel-mode) TaiLong
15
DFVr
Deface VR -
12 chế ñộ tắt ở dạng người dùng(user-mode) 2 tùy chọn dừng tiến trình 2 tùy chọn phá hủy tiến trình
Khi muốn tắt, dừng tiến trình nào bạn chỉ cần chọn tiến trình ñó rồi tha hồ mà (kill, Crash, suspend)
2. Sử dụng công cụ ñể phát hiện Rootkit(mấy tool thông dụng) Trong trang này có các công cụ về diệt Rootkit http://antirootkit.com/software/index.htm *** Một số khái niệm tìm hiểu về Rootkit *** Và mình xin copy một phần về rootkit của bạn kAmIkAzE và bạn ichinisan ở diễn ñàn http://www.hedspi.net/diendan/ ñể người dùng có cái nhìn cơ bản về rootkit # kAmIkAzE Tìm hiểu về ROOTKIT Gần ñây Rootkit ñã ñược xếp vào top 10 nguy cơ về bảo mật nguy hiểm nhất. Thế nhưng còn rất nhiều người không biết Rootkit là gì nên rất dễ trở thành nạn nhân của Rootkit. Bài viết này chúng ta sẽ cùng tìm hiểu những khái niệm cơ bản về Rootkit và cách phòng tránh. ðịnh nghĩa: Rootkit /ru:tkit/ là bộ công cụ phần mềm che giấu sự tồn tại file nhưng thực ra nó vẫn hoạt ñộng. Rootkit thường ñược bên thứ ba (thường là kẻ xâm nhập) dùng sau khi chiếm ñược quyền truy cập vào hệ thống máy tính. Các công cụ này thường nhằm ñể che dấu dữ liệu hệ thống, tập tin hoặc tiến trình TaiLong 16 DFVr
Deface VR ñang chạy, từ ñó giúp cho kẻ xâm nhập duy trì quyền truy cập vào hệ thống mà người dùng không biết. Rootkit có ở nhiều loại hệ ñiều hành như Linux, Solaris và các phiên bản Microsoft Windows. Một máy tính bị cài rootkit ñược gọi là bị "chiếm quyền root" ("rooted" trong tiếng Anh). Thuật ngữ "rootkit" (còn ñược viết là "root kit") lúc ñầu ñược dùng ñể chỉ một bộ công cụ Unix ñược biên dịch lại như "ps", "netstat", "w" and "passwd" có thể che dấu kĩ lưỡng vết tích của kẻ xâm nhập mà bình thường sẽ bị hiển thị bởi các lệnh trên, vì vậy nó cho phép kẻ xâm nhập duy trì quyền "root" ("siêu người dùng") trên hệ thống mà ngay cả người quản trị hệ thống cũng không thể thấy họ. Ngày nay thuật ngữ này không chỉ giới hạn ở các hệ ñiều hành dựa trên Unix mà còn ñược dùng ñể chỉ các công cụ thực hiện tác vụ tương tự trên hệ ñiều hành không Unix như Microsoft Windows (ngay cả khi hệ ñiều hành ñó không có tài khoản "root"). Từ "rootkit" trở nên phổ biến khi có cuộc tranh luận về chống sao chép CD Sony 2005, trong ñó các ñĩa CD nhạc của Sony BMG cài một toolkit vào các PC chạy Microsoft Windows. -
Sự nguy hiểm của Rootkit
ðặc ñiểm của rootkit là có khả năng ẩn các tiến trình, file và cả dữ liệu trong registry (với Windows), nếu dùng những công cụ của hệ ñiều hành như: "Registry Editor", "Task Manager", "Find Files" thì không thể phát hiện, có khả năng ghi lại các thông số về kết nối mạng và các kết nối mạng ñược tạo ra bởi các chương trình sử dụng Rootkit sẽ hoàn toàn vô hình trước câu lệnh Netstat. Thực sự bản thân Rootkit không có gì nguy hại tuy nhiên, khi Rootkit ñược sử dụng ñể giấu các ñoạn mã hiểm ñộc thì rất nguy hiểm. Một số các worm, virus, trojan và spyware có khả năng duy trì hoạt ñộng và không bị phát hiện khi sử dụng Rootkit. Các malware sẽ không bị phát hiện thậm chí khi hệ thống ñược bảo vệ bởi các chương trình chống virus tốt nhất. Do ñó, Rootkit thực sự là mối ñe dọa rất nghiêm trọng. Khi hay tin CD nhạc của Sony cài ñặt rookit ñể giấu file chống sao chép xuất hiện, giới tin tặc nhanh chóng khai thác ứng dụng của Sony. Phần mềm của Sony giấu bất kỳ file hay tiến trình bắt ñầu với "$sys$", những kẻ viết phần mềm ñộc hại ñã ñổi tên file ñể lợi dụng ñặc ñiểm này . Nhà sản xuất phần mềm chống virus ở Tây Ban Nha là Panda Software cho biết họ ñang tìm biến thể của sâu Bagle cực kỳ ñộc hại có trang bị khả năng của rootkit. Trầm trọng hơn, những kẻ tạo phần mềm rootkit còn bán hoặc phát tán miễn phí các công cụ, giúp những kẻ viết phần mềm ñộc hại dễ dàng bổ sung chức năng rootkit cho các virus cũ như Bagle hay tạo loại mới. Thậm chí khi sử dụng những rootkit có sẵn, tin tặc cũng có thể tạo những biến thể mới. Ví dụ, công ty phần mềm bảo mật eEye phát hiện rootkit cho phép ẩn các file trong boot sector của ñĩa cứng. Rootkit có thể giấu mã chương trình phá hoại trong BIOS của PC bằng cách dùng các chức năng cấu hình trong Advanced Configuration và tính năng Power Interface. Một dự án do Microsoft và các nhà nghiên cứu của ñại học Michigan thực hiện thật sự mở ñường cho nghiên cứu rootkit, tạo ra một phương thức mới gần như "ñặt" HðH chạy trên phần mềm có tên SubVirt (tên của dự án nghiên cứu). HðH vẫn làm việc bình thường, nhưng "máy ảo" ñiều khiển mọi thứ HðH nhìn thấy và có thể dễ dàng giấu chính nó. Kỹ thuật này không dễ thực hiện và người dùng dễ nhận ra vì làm chậm hệ thống và làm thay ñổi những file nhất ñịnh. Joanna Rutkowska - một chuyên gia nghiên cứu công nghệ "ẩn mình" phần mềm ñộc hại tại hãng bảo mật COSEINC có trụ sở tại Singapore tiếp tục phát triển thêm kĩ thuật này. Công nghệ mới Blue Pill sử dụng công nghệ ảo hoá SVM/Pacifica của AMD có thể giúp tạo ra một phần mềm cực nhỏ nhưng có khả năng kiểm soát toàn bộ hệ ñiều hành và không thể bị phát hiện. "Ý tưởng của Blue Pill là rất ñơn giản: Hệ ñiều hành của bạn nuốt một Blue Pill TaiLong 17 DFVr
Deface VR và nó sẽ hoạt ñộng trong một Matrix (ma trận) ñược ñiều khiển bằng một Blue Pill Hypervisor cực nhỏ. ðiều này xảy ra trực tiếp khi hệ ñiều hành ñang vận hành, không gây ảnh hưởng ñến các thiết bị khác." . Blue Pill không hề dựa trên bất kỳ lỗi nào tồn tại trong hệ ñiều hành mà nó dựa vào một giải pháp ñộng "generic method" ñể chèn một số mã nhị phân vào trong nhân Vista Beta 2 (x64 edition) mà không sinh ra bất kỳ một lỗi nào. Tuy nhiên, chuyên gia này cũng khẳng ñịnh Blue Pill có thể bị phát hiện nếu công nghệ Pacifica của AMD mắc lỗi. Một ñiều chắc chắn là rootkit vẫn là kĩ thuật còn ñang phát triển. Bản báo cáo mới nhất của McAfee cho biết tính phức tạp của các rootkit ñang phát triển ở một tốc ñộ dị thường. Chỉ trong 5 năm số lượng bộ phận cấu thành rootkit ñã tăng từ 27 lên tới 2.400. Và trong thời gian sắp tới sẽ còn tăng lên ñáng kể. Khó ai có thể dự ñoán ñược sự nguy hiểm tiềm tàng của rootkit trong tương lai. -
Phân loại và phương thức hoạt ñộng của Rootkit
Có nhiều tiêu chí phân loại Rootkit. Trong bài này chúng ta sẽ phân loại Rootkit theo 2 tiêu chí + Phân loại theo thời gian tồn tại: chia làm hai loại Rootkit bám dai (Persistent Rootkits) Persistent root kit là một loại rootkit kết hợp với các malware khác hoạt ñộng mỗi khi hệ thống khởi ñộng. Bởi vì các malware chứa mã phá hoại sẽ ñược thực thi tự ñộng mỗi khi hệ thống khởi ñộng hoặc khi người sử dụng ñăng nhập vào hệ thống. Chúng cần phải lưu trữ các ñoạn mã thực thi chương trình trong Registry, các tập tin hệ thống và các phương pháp cho phép âm thầm chạy các ñoạn mã mà người sử dụng không hay biết Rootkit trên bộ nhớ (Memory-Based Rootkits) Loại rootkit này chính là các malware không có những ñoạn mã "dai dẳng" - chỉ lưu trong bộ nhớ, chính vì thế loại rootkit này không tồn tại sau khi khởi ñộng lại máy. + Phân loại dựa trên mức ñộ xâm nhập hệ thống: chia làm hai loại Rootkit chế ñộ người dùng (User-mode Rootkits) Những rootkit này sẽ sửa (chỉnh) những process ñang chạy trong bộ nhớ và qua ñó nhận ñược những thông tin cần thiết. Rootkit ở chế ñộ người dùng sử dụng nhiều phương pháp khác nhau ñể lẩn trốn không bị phát hiện. Ví dụ: rootkit ở chế ñộ người dùng sẽ chặn tất cả các hàm gọi hệ thống API (Application Programming Interface - Giao tiếp lập trình ứng dụng - cung cấp giao tiếp (interface) giữa chế ñộ người dùng và dịch vụ hệ thống) như: FindFirstFile/FindNextFile hay như ñể Task Manager của Windows có thể hiện ra danh sách các tiến trình ñang chạy, nó sẽ gọi một hàm Windows API (EnumProcesses) và nhận về danh sách các ID tiến trình ñược lấy từ một cấu trúc dữ liệu của kernel. Những hàm này còn ñược gọi bởi các chương trình quản lý tập tin của Windows như Explorer ñể liệt kê toàn bộ các thư mục tập tin hệ thống. Khi một ứng dụng thực thi liệt kê danh sách thư mục và các tập tin có thể chứa rootkit, các rootkit này sẽ chặn các hàm này và thay ñổi các kết quả dữ liệu ñầu ra nhằm loại bỏ các tập tin chứa rootkit khỏi danh sách liệt kê. Những rootkit ở chế ñộ người dùng phức tạp hơn sẽ chặn các tập tin hệ thống, Registry, và các hàm liệt kê các tiến trình (process) từ các hàm API hệ thống. Các kết nối mạng có thể ñược giấu bằng những phương pháp tương tự nhau bằng cách thay ñổi kết quả của những lời gọi hàm tương ứng. Vì hầu hết các trình diệt virus và chống phần mềm gián ñiệp ñều dựa vào những lời gọi hàm này (như lời gọi hàm tìm TaiLong 18 DFVr
Deface VR kiếm file ñể quét), khi ñó những file ñược các rootkit che giấu sẽ trở nên vô hình với những trình diệt virus này. Máy tính có thể bị vẫn lây nhiễm nhưng trình diệt virus lại không thể phát hiện ra. Rootkit chế ñộ nhân (Kernel-mode Rootkits) Rootkit chế ñộ nhân nguy hiểm hơn các loại trên, chúng không chỉ chặn các hàm API hệ thống mà còn có thể thao tác trực tiếp các cấu trúc dữ liệu trong chế ñộ nhân. Các rootkit chế ñộ kernel thì cần phải có thêm một số ñoạn mã ñể có thể ñược nạp vào kernel (thường là một trình ñiều khiển thiết bị hoặc một file .sys). ðể ñạt ñược mục ñích này, chúng có thể theo trình tự hợp lệ mà các trình ñiều khiển thiết bị mức thấp vẫn dùng (thông qua trình quản lý ñiều khiển dịch vụ services.exe). Ngoài ra cũng còn một số phương pháp bất thành văn khác ñể chèn mã vào kernel. Một khi ñã vào ñược trong HðH, ñoạn mã có thể chỉnh sửa các kết quả trả về từ lời gọi hàm bên trong lõi hoặc chỉnh sửa chính các cấu trúc lõi HðH. Một kĩ thuật chung cho việc ẩn nấp các tiến trình malware là loại bỏ các tiến trình này ra khỏi danh sách các tiến trình ở chế ñộ nhân. Bởi vì các hàm API quản lý các tiến trình ñều phải phụ thuộc vào nội dung trong các cấu trúc dữ liệu này, nên khi rootkit thay ñổi nội dung cấu trúc dữ liệu hệ thống thì các công cụ như Task Manager hoặc Process Explorer cũng không thể phát hiện ñược. Một ví dụ: Rootkits copy một bản sao của chúng với tên malware.exe và spy.dll cũng như một phần của chúng vào một thư mục. Sau ñó chúng sẽ sửa (chỉnh) lại kernel ñể những thành phần chúng vừa copy không bị phát hiện nữa (cả với windows-explorer lẫn một chương trình filemanager bất kỳ. Chúng hoàn toàn “tàng hình” và dưới cái lốt ñó chúng có thể làm bất cứ một ñiều gì ñó có hại ñến hệ thống của bạn. - Làm thế nào ñể Rootkit ñột nhập vào hệ thống? Như ñã nói là Rookits có nhiệm vụ chính là che dấu những chương trình phá hoại. Chúng không có những ñoạn code ñặc biệt ñể có thể tự nhân bản và phát tán. Thực sự thì Rootkit phát tán cùng với những chương trình phá hoại có kèm theo nó (thông qua những lỗ hổng hệ thống của windows và những chương trình sử dụng). Kỹ thuật ñược sử dụng nhiều nhất trước kia là qua ñường thư ñiện tử. Tuy nhiên hiện nay thì rất nhiều kĩ thuật tinh vi ñược hacker sử dụng ñể phán tán. Một phần lớn những rootkits ñược bán trên mạng dưới dạng mã nguồn. Phần lớn những chương trình spyware ñều sử dụng phương thức hoạt ñộng của Rootkit. Qua ñó, những spyware này sẽ hoạt ñộng trên máy của người sử dụng mà không bị phát hiện và cuối cùng là chúng có thể kiếm ñược tiền nhờ những thông tin thu thập ñược trên máy người sử dụng. Bằng kỹ thuật của Rootkit, có rất nhiều trojan ñã ñược phát tán. Những trojan này biến máy bạn thành một bộ máy có thể ñiều khiển từ xa và người ñiều khiển chúng có thể dùng máy bạn ñể phát tán Spam hoặc lạm dụng máy bạn ñể làm những chuyện khác. # ichinisan: Tớ trình bày một phần kĩ thuật nhỏ của rootkit nhé, ở ñây là DLL injection - DLL còn gọi là object module, có thể sử dụng cho từng ứng dụng riêng biệt hoặc cho cả hệ ñiều hành. Trong file DLL sẽ chứa các hàm API mà ứng dụng sẽ gọi tới. File DLL không phải là một phần của chương trình mà nó chỉ ñược link lại vào thời ñiểm runtime và load vào RAM lúc nào cần thiết thôi. - IAT (Import Address Table): ñây là một bảng chứa ñịa chỉ các hàm API mà chương trình sẽ gọi tới. Ban ñầu thì trong bảng này các hàm API chưa có ñịa chỉ cụ thể. Chỉ khi chạy chương trình thì hệ ñiều hành mới load các hàm API vào bộ nhớ rồi ñiền các ñịa chỉ bộ nhớ của các hàm API vào bảng này - EAT (Export Address Table): ñây là một bảng ñịa chỉ bộ nhớ do file DLL xuất ra. Bảng này chứa ñịa chỉ thực của các hàm API nó cung cấp ñã ñược load vào bộ nhớ. Windows sẽ sử dụng file này ñể ñiền dữ liệu vào IAT - 5 bước ñể thực hiện một chương trình: TaiLong
19
DFVr
Deface VR + Windows load chương trình vào trong bộ nhớ + Windows check xem IAT của chương trình có gọi hàm API nào không + Nếu có, Windows sẽ load những DLL ñã khai báo trong chương trình ñó vào bộ nhớ + Windows tính toán ñịa chỉ thực của các hàm API trong bộ nhớ nhờ EAT của từng DLL ñã ñược load + Windows sẽ ghi ñè lên IAT của chương trình với ñịa chỉ API thực - Kịch bản ví dụ cho rootkit (ở ñây rootkit muốn trốn tránh khỏi API FindNextFIle chẳng hạn): + rootkit scan bộ nhớ ñể tìm DLL nào có export ra một API FindNextFile + Nó sẽ scan ra tất cả các Kernel32.dll + rootkit sẽ ghi ñè ñịa chỉ trong bộ nhớ của hàm API trên trong bảng EAT của Kernel32.dll ñể trỏ ñến hàm API mạo danh ñặt trong injected DLL của rootkit (hiển nhiên là hàm API này ñã ñược load vào bộ nhớ rồi) -
Như thế thì cứ khi nào chương trình chạy API FindNextFile là sẽ chạy phải API mạo danh của rootkit
Dưới ñây mình xin giới thiệu các chương trình phát hiện rootkit sử dụng các kĩ thuật ñặc biệt ñể tóm những kẻ xâm nhập nguy hiểm này. Hầu hết các chương trình dùng phát hiện rootkit ñòi hỏi người dùng có biết chút ít về kĩ thuật. Tuy nhiên, cũng có chương trình dễ sử dụng và dùng rất hiệu quả
2.1. The Avenger Download: http://swandog46.geekstogo.com/avenger2/download.php Giới thiệu: The Avenger là một bộ script ñầy ñủ, ñược thiết kế ở chế ñộ driver ở mức kernel dùng ñể xóa sổ các file cứng ñầu, các khóa/giá trị ở registry, và các driver khác ñược bảo vệ bởi các malware ñi cùng Phần mềm ñộc hại (malware) thường hook sâu vào hệ ñiều hành Windows ñể ẩn chính nó khỏi các chương trình cố gắng hiển thị và remove nó. Gần ñây cùng với việc tăng nhanh của rootkit và các dạng malware khác ñược bảo vệ chặt chẽ, ñiều này ngày càng trở nên phổ biến The Avenger có ảnh hưởng tới việc remove các file và các drivers khác mà khó remove vì ñược bảo vệ hoặc ñang ñược sử dụng bởi các chương trình ñộc hại ñã ñược hook sâu vào hệ thống The Avenger sẽ thực thi các ñoạn script trước khi khởi ñộng vào hệ thống Sử dụng chương trình: Bạn có thể nghĩ rằng The Avenger như một công cụ thực thi các ñoạn script - The Avenger cho bạn các lệnh ñể thực thi các script bao gồm các file ñể xóa, các khóa regedit ñể xóa, các drivers ñể disble và hơn thế nữa - The Avenger khởi ñộng lại máy tính của bạn(nó phổ biến cho việc khởi ñộng lại lần thứ 2, nếu như cần thiết) và thực thi các lệnh trong quá trình khởi ñộng lại - Sau ñó, windows sẽ restart lại, và mở một bản log ñược tạo ra bởi The Avenger vì thế bạn có thể xem ñược kết quả
TaiLong
20
DFVr
Deface VR
Một ví dụ sử dụng chương trình với một script mẫu Nhập vào một script Cửa sổ chính của The Avenger cho phép bạn nhập vào một script của các dòng lệnh ñể thực thi Bạn có thể làm ñiều này bằng cách: - ðánh trực tiếp vào text box trong màn hình chính - Load một ñoạn script từ một file (một file text hay một file ñịnh dạng ANSI ñã ñược encode) sử dụng nút - Load một script từ một ñịa chỉ mạng Internet sử dụng nút - Hoặc paste một script trực tiếp từ clipboard sử dụng nút 3 tùy chọn cuối cũng có thể ñược chọn từ menu “Load Script” Các câu lệnh sử dụng: + Comment: Hiện thị thông báo Vd ñoạn script như sau Comment: Script này sẽ remove tất cả các biến thể lây nhiễm + Files to delete: Lệnh này sử dụng khi ta liệt kê các file muốn xóa ra Vd: Files to delete: C:\WINDOWS\System32\kavo.dll %windir%\bad.exe c:\documents and settings\file.exe khi khởi ñộng lại các file kavo.dll, bad.exe, file.exe sẽ bị xóa + Files to replace with dummy: Lệnh này sử dụng ñể thay thế file virus bằng các file giả(những file giả sẽ không thể thực thi ñược) Vidu: TaiLong
21
DFVr
Deface VR Files to replace with dummy: C:\WINDOWS\System32\kavo.dll %windir%\bad.exe c:\documents and settings\file.exe vidu trên sẽ thay thế các file kavo.dll, bad.exe, file.exe + Files to move: Lệnh này sử dụng ñể di chuyển một file từ nơi này ñến nơi khác Vidu: Files to move: C:\WINDOWS\System32\kavo.dll | C:\renamed.dll %windir%\bad.exe | %systemdrive%\bad.exe.bak c:\documents and settings\file.exe | c:\backup\bad.extension vidu trên sẽ thực thi việc di dời file kavo.dll tới ổ C:\ ñược thay với tên renamed.dll và file bad.exe ñược di dời và ñổi tên thành bad.exe.bak, còn file.exe thì ñược mang tới thư mục c:\backup với tên là bad.extension + Folders to delete: Lệnh này dùng ñể xóa một thư mục Vidu: Folders to delete: C:\WINDOWS\System32\virus c:\documents and settings\evil user\evil folder vidu trên sẽ thực thi việc xóa thư mục virus và thư mục evil folder + Registry keys to delete: Câu lệnh này dùng ñể xóa một khóa ở regedit Vidu: Registry keys to delete: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\kavo HKLM\Software\badfile HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\confliker Vidu trên sẽ thực thi việc xóa các key ñã nêu ra + Registry keys to replace with dummy: Lệnh này ñể thay thế các key regedit bằng các key giả Vidu: Registry keys to replace with dummy: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\kavo HKLM\Software\badfile HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\confliker Tương tự như thay thế file nó cũng thay vào regedit bằng các khóa giả + Registry values to delete: Lệnh ñể xóa các giá trị và thay vào ñó bằng các giá trị khác Vidu: Registry values to delete: HKEY_LOCAL_MACHINE\Software\SomeKey | BadValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run | BadRunValue HKLM\System\CurrentControlSet\Control\Session Manager | BadValue + Registry values to replace with dummy: Lệnh này dùng ñể thay thế các giá trị của regedit và thay vào ñó bằng các giá trị giả Vidu: Registry values to replace with dummy: TaiLong 22 DFVr
Deface VR HKEY_LOCAL_MACHINE\Software\SomeKey | BadValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon | System HKLM\System\CurrentControlSet\Control\Session Manager | BadValue + Programs to launch on reboot: Lệnh này dùng ñể thực thi các chương trình khi khởi ñộng lại máy tính Vidu: Programs to launch on reboot: C:\Documents and Settings\My User\Desktop\HijackThis.exe %systemdrive%\my_fix.bat c:\MyRegFile.reg regedit.exe /s c:\MyRegFile.reg vidu trên sẽ thực thi chương trình hijackthis.exe, my_fix.bat, myregfile.reg và lệnh regedit.exe /s c:\myregfile.reg khi bắt ñầu ñăng nhập vào máy tính + Drivers to delete: Lệnh này ñể xóa các drivers ñộc hại Vidu: Drivers to delete: BadDriver Ntdlll Vidu trên dùng ñể xóa các driver baddriver, ntdlll + Drivers to disable: Lệnh này ñể vô hiệu hóa các drivers Vidu: Drivers to disable: BadDriver Ntdlll Quét Rootkit Bạn cũng có thể ủy nhiệm cho Avenger ñể có thể disable bất kỳ rootkit nào ñược tự ñộng tìm thấy. ðược khuyến nghị rõ ràng rằng ñể xem xét kết quả của một rootkit scan trước khi bạn ủy nhiệm Avenger ñể disable bất cứ thứ gì Thực thi tiến trình Click vào nút “Execute” ñể bắt ñầu thực thi các script hiện tại. The Avnger sẽ nhắc bạn khởi ñộng lại The Avenger tạo các bản backup của tất cả các hoạt ñộng nó tạo ra, và lưu lại trong phần backup trong ổ C:\Avenger (nếu ổ C là ổ hệ thống) Các phần backup ñược gói lại dưới file zip và có password bảo bệ với password là “infected”, ñể ngăn cản việc lây nhiễm lại xảy ra khi xem backups của malware vẫn sống Gần ñây hầu hết việc backup ñược gọi là “backup.zip”, và ñược ñặt tên theo ngày và thời ñiểm tạo ra Registry backups are contained within the zip archives and named "backup.reg". They are in standard .REG file format, and can be restored simply by double-clicking on them. Việc backup registry ñược chứa, lưu trữ trong file zip và ñược ñặt tên là “avenger.txt”. Bạn có thể xem log từ các file thực thi gần ñây của The Avenger bởi tùy chọn Open Log File từ menu File. Gần ñây hầu hết các file log ñược lưu lại tại C:\avenger.txt(Nếu ổ C là ổ hệ thống), và không ñược xóa cho ñến khi The Avenger thực thi các câu lệnh Vidu: TaiLong 23 DFVr
Deface VR Công cụ này khá mạnh khi muốn xóa một file khi khởi ñộng vào hệ thống
2.2. GMER Download: http://gmer.net/gmer.zip GMER là một ứng dụng dùng ñể phát hiện và remove rookits Chức năng Scan Rootkit/malware: Xem những tiến trình ẩn Những threads(luồng) ẩn Những module ẩn Những dịch vụ ẩn Những file ẩn Những Alternate Data Streams(luồng dữ liệu ñan xen) Những khóa registry ẩn Những file bị hook bên trong Xem việc hook các driver trên bảng SSDT Xem hook các driver trên bảng IDT Xem hook các driver dựa vào việc gọi IRP
Ngoài ra còn có các chức năng khác như + Xem thông tin, tắt các tiến trình ñang chạy (Tab Process)
TaiLong
24
DFVr
Deface VR
Cũng trong cửa sổ này nếu ta muốn xóa/copy một file nào ñó ta có thể chọn Files rồi tìm ñường dẫn ñến file muốn xóa/copy
+ Xem thông tin các services ñang chạy (Tab Services) Ta có thể thiết lập lại các chức năng như (Boot/system/auto/Disabled) hoặc có thể Delete..
TaiLong
25
DFVr
Deface VR
+ Xem thông tin các Modules (Tab Modules)
+ Xem thông tin/thực thi trong Registry (Tab Registry)
TaiLong
26
DFVr
Deface VR
+ Scan xem có những thông tin gì tự ñộng chạy khi ñăng nhập vào máy( tab Autostart)
+ Và chức năng dòng lệnh CMD(Tab CMD): Sử dụng như CMD ở windows
TaiLong
27
DFVr
Deface VR
2.3. ICESword Download: http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip Các chức năng chính của IS - Funtions: Bao gồm việc theo dõi và hiển thị Process, Port, Kernel Module, Startup, Win32 Services, SPI, BHO, SSDT, Message Hooks, Log Process/Thread Creation, Log Process Termination, Advanced Scan. + Process: Hiển thị các tiến trình ñang chạy. Ta có thể thực thi việc xem thread/module của một tiến trình nào ñó, ñọc/ghi bộ nhớ của tiến trình, tắt tiến trình, tìm kiếm module của tiến trình.
Và ta có thể tắt cùng một lúc nhiều tiến trình bằng cách giữ phím CTRL rồi chọn tiến trình cần tắt TaiLong
28
DFVr
Deface VR
+ Port: Hiển thị thông tin các cổng ñang ñược kết nối và ñược chạy bởi tiến trình nào
+ Kernel Module: Hiện thị thông tin về các driver, các module ở các file nhân của hệ ñiều hành
TaiLong
29
DFVr
Deface VR
+ Startup: Hiển thị các file chạy cùng khi khởi ñộng ở khóa Run trong regedit và ở thư mục Startup
+ Win32 Services: Hiển thị các dịch vụ ở windows. Ta có thể thực thi dịch vụ ñó như cửa sổ services(services.msc) trong windows
TaiLong
30
DFVr
Deface VR
+ SPI(Service Provider Interface): Hiển thị các thư viện dll trong winsock v.2 hay là trong khóa ”HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9” của registry
+ BHO(Browser Help Objects): Hiện các ñối tượng ñính thêm vào explorer, IE. Ta có thể chọn một ñối tượng và xóa nó
TaiLong
31
DFVr
Deface VR
+ SSDT: Hiện thông tin bảng SSDT (System Service Descriptor Table)
+ Message hooks: Hiển thị thông báo các hook
TaiLong
32
DFVr
Deface VR
+ Log Process/Thread Creation: Xem bản ghi log các tiến trình ñã chạy, các thread ñược tạo thành
+ Log Process Termination: Xem các tiến trình ñã bị tắt
TaiLong
33
DFVr
Deface VR
+ Advanced Scan: Scan ở mức ñộ cao hơn, kiểm tra xem có file nào bị hook. Có các tùy chọn (general scan, mudule scan, restore) cho ta.
-
Registry: Hiển thị các khóa ở registry, kể cả những khóa mà trình regedit ở windows không hiển thị ñược và ta có thể thực thi việc thay ñổi, xóa ngay tại ñây.
TaiLong
34
DFVr
Deface VR
-
File: Hiển thị các ñịnh dạng file ở trong các ổ ñĩa. Ta có thể thực thi việc copy và xóa/bắt xóa file ñược chọn
ðây là bản dịch của kienmanowar về bài “How To Remove Rootkits with IceSword” Sử dụng IceSword ñể Remove Rootkits (tác giả Mahesh Satyanarayana (swatkat) ) Giới thiệu: Trong bài viết này tác giả sử dụng một công cụ rất nổi tiếng ñó là HxDef (hay còn gọi là Hacker Defender) ñể che dấu tất cả các files, folders, các registries entry và thậm chí cả các processes có liên quan tới chương trình Sandboxie. Sau khi thực hiện công việc này, tác giả ñã sử dụng công cụ IceSword ñể phân tích. Phần tiếp theo của bài viết này sẽ là các bước hướng dẫn cụ thể quá trình loại bỏ rootkits ra khỏi hệ thống. TaiLong
35
DFVr
Deface VR Chú ý : Ở ñây chương trình SandBoxie không phải là Malware. Thực chất, nó là một công cụ khá hữu ích ñể kiểm tra, chạy thử malware trong ñó có cả rootkits xem malware ñó tạo ra những gì Các bước thực hiện : Bước 1 : Chạy IceSword. Bên tab Functions chọn “Processes” ñể kiểm tra các processes ñang chạy trên máy, tìm kiếm xem có những processes nào bị nghi ngờ , ñánh dấu màu ñỏ bởi IceSword. Những processes bị ñánh dấu màu ñỏ ñược liệt kê ra này là những hidden processes . Hình minh họa dưới ñây cho ta thấy có 2 processes ẩn ñó là hxdef100.exe và control.exe :
Bước 2 : Tại tab Functions chọn tiếp “Win32 Services” và tìm kiếm danh sách những mục bị ñánh dấu màu ñỏ trong danh sách các services trên máy. Xem hình minh họa bên dưới ta thấy có một Hidden Serivce là HxDef
TaiLong
36
DFVr
Deface VR Bước 3 : Tiếp theo, chọn “SSDT” và kiểm tra các entry bị ñánh dấu màu ñỏ. Nếu thấy có bất kì dấu hiệu nào, chú ý ñến tên file và tên các folder. Các rootkits hoạt ñộng ở Kernel level chỉnh sửa các SDT entries ñể hook các hàm APIs natively Hình minh họa dưới ñây chỉ cho ta thấy kernel level API hooking bới SandBoxie driver:
Bước 4 : Bây giờ chúng ta sẽ tiến hành loại bỏ rootkit ra khỏi hệ thống. Chọn “Processes” , sau ñó chuột phải lên các processes bị ñánh dấu màu ñỏ và chọn “Terminate Process”. Khi bạn thực hiện công việc này IceSword sẽ tiêu diệt các rooted processes. Xem hình minh họa dưới ñây :
TaiLong
37
DFVr
Deface VR Bước 5 : Nhấn chọn “Win32 Services”. Do các rooted processes ñã hoàn toàn bị terminated, các rootkit service cũng sẽ hoàn toàn tự ñộng bị stop. Do ñó tại thời ñiểm này service sẽ không còn hidden nữa cho nên nó cũng không còn bị ñánh dấu màu ñỏ như hình bên trên. Do ta ñã lưu lại tên của service tại bước 2, do ñó việc tìm kiếm lại nó hoàn toàn dễ dàng. Bây giờ chọn nó , chuột phải và chọn “Disabled” ñể hoàn toàn disable service này .Xem hình minh họa dưới ñây :
Xem hình minh họa : Bước 6 : Tiếp theo chúng ta phải xóa các root files. Nhấn chọn “File”, nó sẽ hiển thị giao diện giống như khi ta làm việc với Windows Explorer. Tìm ñến folder nơi có chứa rootkit và xóa chúng
TaiLong
38
DFVr
Deface VR
Bước 7 : *Not recommended for novice users* Các file mà ñược che dấu bởi rootkit thông thường sẽ tạo và lưu vết trong Registry ñể tự nó ñược load lên mỗi khi Windows loads. ðể kiểm tra có những startup entries cho bất kì các rooted files nào (thậm chí ñã ñược deleted trong các bước trước), nhấn chọn “Startup”. Nếu như tìm thấy có các startup entries liên quan thì sử dụng công cụ có sẵn của IceSword ñể remove nó. Chọn “Registry” ñể vào registry editor tương tự như chúng ta gõ Regedit.exe. Tiếp theo tìm ñến các key/value , chọn và xóa chúng. Hình minh họa dưới ñây sẽ cho ta thấy các bước thực hiện :
TaiLong
39
DFVr
Deface VR
Bước 8 : Khởi ñộng lại máy, vào File > Reboot and Monitor
TaiLong
40
DFVr
Deface VR Khởi ñộng lại hệ thống sử dụng IceSword :
Bước 9 : Sau khi khởi ñộng lại, chạy lại IceSword một lần nữa và kiếm tra lại như các bước ñã thực hiện ở trên. Xem hình minh họa dưới ñây :
TaiLong
41
DFVr
Deface VR
2.4. Rootkit unhooker Download: http://www.rootkit.com/vault/DiabloNova/RkU3.8.342.554.rar Rootkit Unhooker – Một tiện ích phát hiện/gỡ bỏ rootkit nâng cao Các ñặc tính chính Bảng mô tả các dịch vụ phát hiện các file bị hook Bảng mô tả dịch vụ ta có thể thực thi việc remove các hook (unhooking) Phát hiện hook dựa trên bảng Shadow Service Descriptor TaiLong
42
DFVr
Deface VR Là duy nhất. Bao gồm việc remove bảng Shadow Service Descriptor (unkoooking) Phát hiện hook dựa trên SYSENTER/Int 2e Phát hiện hook bằng handler và hook ngắt hệ thống (IDT) Remove các hook ở SYSENTER/Int 2e (unhooking) Phục hồi các ngắt ban ñầu Phát hiện các tiến trình ẩn Phát hiện các tiến trình ẩn từ các hàm API của Windows Mạnh nhất tại thời ñiểm hiện tại Phát hiện các tiến trình với ñầy ñủ ñường dẫn và tên(duy nhất) Tắt các tiến trình ẩn Bao gồm việc ép buộc tắt một tiến trình ñược cung cấp bởi PVASE (Process Virtual Address Space Erasing) Dump các tiến trình ẩn Với khả năng dựng lại file sử dụng cho việc phân tích Phát hiện các driver ẩn Phát hiện các driver ẩn bởi các hàm API kết hợp với 4 cách khác nhau ñể phát hiện và bao gồm 5 công nghệ Stealth Walker và 6 KMSE - Kernel Memory Scanning Engine Dump các driver ẩn ðặc tính duy nhất này ñưa ra cho bạn khả năng tạo ra một file dump với driver ñược lựa chọn Phân tích việc thực thi các luồng hệ thống ðặc tính duy nhất này ñưa ra cho bạn thông tin về các luồng thực thi của chế ñộ kernel ñáng nghi ngờ Phát hiện các hook IRP Tìm kiếm cột “Reference” trong trang Hidden Drivers Detector Phát hiện các hook dựa trên các hàm API (phát hiện các mã hook) ðây là tính năng rất mạnh của tool này, cùng lúc, phát hiện các hook bên trong(ghép nối) trong các driver và các thư viện. Các hook bị phát hiện gồm: các hàm dựa trên hook, DKOH phổ biến, IRP dựa trên các hook (chỉ cho drivers), các hook IDT. Cũng bao gồm các cơ chế phát hiện hook IAT/EAT phổ biến ở chế ñộ kernel Phát hiện các thư viện ẩn Như một phần của trang Code Hooks Detector. Hiển thị các ñịa chỉ(nếu nó có thể ñược xác ñịnh) của thư viện ẩn Phát hiện các file ẩn Bao gồm việc phát hiện các file ẩn từ hàm API của Windows trên ñĩa cứng. Có hỗ trợ các hệ thống file bao gồm: ñịnh dạng FAT32 và NTFS (hỗ trợ ñầy ñủ - bao gồm ADS(Alternate Data Streams)) Thao tác các file ở mức thấp Các chức năng Xóa/Copy dùng cho các file ẩn và các file không nhìn thấy ñược (bao gồm ADS(Alternate Data Streams)) Hệ thống cập nhật Có thể liên hệ tới server của chúng tôi cho việc cập nhật chương trình Tổng hợp báo cáo: Tự ñộng tổng hợp một báo cáo với tất cả những thông tin cần thiết (dung lượng file không lớn) Tự ñộng bảo vệ các chương trình Chứa một vài phương pháp mà có thể ngăn cản một vài malware từ việc thực thi ngắt của một chương trình. Bao gồm việc kiểm tra tính toàn vẹn bên trong ðể sử dụng RkU trong chế ñộ Safe Mode của Windows ta check vào Setup ”Extended Mode”. RkU yêu cầu quyền Administrator ñể chạy và làm việc TaiLong 43 DFVr
Deface VR Sử dụng: Dưới ñây là mô tả mỗi ñặc tính của phần mềm này Bảng dịch vụ hệ thống chính – SSDT (Main System Service Table – SSDT) Trong ñiều kiện người dùng thân thiện – Bảng mô tả dịch vụ hệ thống là nơi mà lưu giữ các hàm chính của hệ thống. Một vài chế ñộ kernel ñược các rootkit thường dùng – thay thế các ñịa chỉ thực sự của một hàm trong bảng, và một ñịa chỉ riêng của chúng thay thế vào. Một vài phần mềm thương mại cũng sử dụng công nghệ này, vidu Panda Antivirus sử dụng hàm hook là NtTerminateProcess ñể ngăn cản việc tạm dừng thực thi chương trình antivirus. Agnitum Outpost cũng tương tự, và thêm vào ñó các hàm như NtWriteVirtualMemory sử dụng ñể bảo vệ người dùng từ các công nghệ của malware ñược biết như là việc tiêm mã ñộc. Alcohol\Deamon Tools CD là các phần mềm có các hàm hook liên quan ñến registry ñể vượt qua DRM RkU có thể hiện cho bạn trạng thái ban ñầu của SSDT, hiện các hàm(chúng cũng có thể gọi ñược các dịch vụ trong công nghệ của MS) ñã bị hook và gỡ (unhook) chúng. Khi RkU unhook, nó thay thế các ñịa chỉ ñã bị hook với các ñịa chỉ ban ñầu
Shadow System Service Table(Hiện bảng Shadow SSDT) Bảng Shadow SSDT là nơi mà các hệ thống lưu trữ các con trỏ ñồ họa/thông ñiệp các hàm hệ thống. RkU có thể hiện cho bạn trạng thái ban ñầu của Shadow SSDT, hiện các hàm ñã bị hook và unhook các hàm ñó. Khi RkU unhook, nó thay thế các ñịa chỉ ñã bị hook bởi các ñịa chỉ ban ñầu
TaiLong
44
DFVr
Deface VR
Phát hiện các tiến trình ẩn Mục ñích chính của một rootkit là ẩn chính nó thoát khỏi người dùng. Một vài rootkit ẩn chính nó bằng các hàm API, vì thế các tool theo dõi các tiến trình chuẩn như Task Manager, Process Explorer không thể phát hiện ra chúng. RkU sử dụng một công nghệ phát hiện tiến trình nền tảng ñể phát hiện những cái mà bạn cần
Phát hiện các drivers bị ẩn(Hidden Drivers Detector) Các rootkit cũng ẩn các drivers riêng của nó ñể ngăn cản người dùng cố gắng remove chúng. RkU ñược thiết kế bởi một nhân ñặc biệt có thể phát hiện các driver ẩn TaiLong
45
DFVr
Deface VR
Phát hiện các ñoạn mã ẩn nấp(Stealth Code Detector) Các rootkit mới ñây có hầu hết ñầy ñủ các tính năng ẩn chính nó trước sự phát hiện của bất cứ phần mềm bảo mật nào. Các rootkit có thể hoàn toàn ẩn chính mình như một driver, mà làm việc trong chế ñộ kernel với tất cả các quyền có thể. Chức năng này của RkU có thể phát hiện các chức năng của rootkit, ñược dựa trên ẩn nấp như của rkdemo, phide_ex, các công nghệ ẩn nấp không thực Phát hiện các file bị ẩn Các rootkit có thể ẩn các file nhị phân, các ñoạn ghi log của riêng nó từ các hàm chuẩn API của Windows. RkU ñược thiết kế bằng một ñoạn mã khá ñặc biệt có thể phát hiện các file ẩn và có thể copy/xóa chúng
TaiLong
46
DFVr
Deface VR
Phát hiện các mã hooks(Code Hooks Detector) Một thủ ñoạn khác của rootkit là chúng ẩn hình thái hiện tại của chúng bằng việc sử dụng hook là các hàm API trong windows. RkU có thể phát hiện hình thức ẩn bằng việc so sánh hình ảnh thực và tính toàn vẹn của ñoạn mã với hình ảnh ban ñầu của hệ ñiều hành. Thêm vào ñó RkU cũng kiểm tra các thành phần chính của hệ ñiều hành(như là các driver ở ổ ñĩa/mạng). RkU cũng có thể phục hồi ñoạn mã ban ñầu bằng cách ghi ñè lên một file ñang tồn tại Cảnh báo: Trong một vài trường hợp khi sử dụng chức năng ‘Code Hooks’ có thể dẫn ñến màn hình xanh(BSoD) và khởi ñộng lại máy tính
TaiLong
47
DFVr
Deface VR
2.5. RookitDetector Download: http://www.rkdetector.com/RKDetector2.zip Rkdetector thực thi việc duyệt file và phát hiện Rootkit Phân tích driver ở cấp thấp hỗ trợ ñịnh dạng FAT32 và NTFS
Rkdetector hỗ trợ việc phục hồi dữ liệu Scan hệ thống những file ñã xóa và cho phép phục hồi hoặc xóa các file
Rkdectector hỗ trợ việc ép chặt dữ liệu(rootkits) và xóa MFT((Master File Table) A list of files in an NTFS volume. It contains the name, size, time and date, etc. for each file.) Các file driver của hệ thống ở mức thấp hơn ñược phép xóa một cách an toàn theo các cấu trúc dữ liệu bên trong của file
TaiLong
48
DFVr
Deface VR
Rkdetector hỗ trợ việc scan ADS(Alternate Data Streams)
Rkdetector bộ phân tích các thuộc tính của NTFS Hiện các thông tin mở rộng về các file và thư mục
TaiLong
49
DFVr
Deface VR
Phân tích Registry/SAM (kiểm tra các khóa registry, người sử dụng, các dịch ẩn) Phân tích registry. Kiểm tra các khóa, phân tích các file registry mở rộng. xuất dữ liễu thành file xml/reg
Mở rộng thông tin về các tiến trình
TaiLong
50
DFVr
Deface VR
Bảng IAT của Rkdetector Scan hệ thống xem việc hook vào các file dll và sửa lại
Rkdetector hiện cửa sổ dòng lệnh ñể biên tập file hệ thống Tự ñộng phân tích các hệ thống bảo mật của máy bạn với cửa sổ dòng lệnh
TaiLong
51
DFVr
Deface VR
Rkdetector xem các kết nối Giao diện thân thiện với người dụng ñể theo dõi các kết nối của giao thức TCP
2.6. PANDA ARK Download: http://research.pandasoftware.com/blogs/images/AntiRootkit.zip Scan rootkit cho máy tính của bạn Panda AntiRootkit(nhân có tên là Tucan) hiện các tài nguyên ẩn trong hệ thống, nhận dạng các rootkit ñã biết hoặc chưa biết. Tucan phân tích các thành phần sau: - Các driver ẩn - Các tiến trình ẩn - Các module ẩn - Các file ẩn - Các khóa registry ẩn TaiLong
52
DFVr
Deface VR - Sự thay ñổi của bảng SDT - Các hook EAT - Sự thay ñổi ở IDT - Các INT2E không ñúng chuẩn - SYSENTER không chuẩn - Các hooks IRK - …. Thực thi việc scan các file, các mục ẩn của máy tính của bạn một cách ñơn giản. Tất cả bạn phải làm là kích vào nút ‘Start scan’ Nếu bạn thích chạy scan ở chế ñộ sâu hơn ‘in-depth’, có tùy chọn scan In-depth trước khi kích vào nút ‘Start Scan’. Tuy nhiên, chế ñộ ‘in-depth’ chỉ thực thi khi bạn khởi ñộng lại hệ thống
Bạn có thể khởi ñộng lại máy tính luôn hoặc khởi ñộng lại sau. Trong chế ñộ scan ‘in-depth’ sẽ bắt ñầu ngay khi máy tính ñược khởi ñộng vào
Nếu bạn quyết ñịnh khởi ñộng lại máy tính sau, việc scan sẽ không bắt ñầu cho ñến khi máy bạn ñã khởi ñộng lại. Sau khi khởi ñộng, nếu bạn muốn thực thi việc scan lần nữa trong cùng một phiên, việc scan sẽ thực thi ở chế ñộ ‘in-depth’ và sẽ bắt ñầu không cần phải khởi ñộng lại nữa Xóa bỏ rootkit từ máy tính
TaiLong
53
DFVr
Deface VR
Trong suốt quá trình scan, một cửa sổ xuất hiện trong lúc ñó bạn có thể theo dõi toàn bộ trạng thái khi scan và các mục ñã ñược scan. Quan trọng là không ấn nút Cancel ñiều này sẽ dẫn ñến việc rootkit sẽ tích hoạt lại trong hệ thống của bạn
2.7. Wsyscheck (Tool này made in China :D) Download: http://tailong.webng.com/Wsyscheck.rar Giới thiệu: Wsyscheck là một công cụ xử lý virus, trojan bằng tay, nó ñược dùng nhằm mục ñích ñơn giản hóa việc xác minh virus, trojan và dọn dẹp chúng Nói chung, việc xác minh virus thường dựa trên việc xác ñịnh ñường dẫn chính, kiểm tra tên, kiểm tra ngày chúng ñược tạo ra, kiểm tra nhà sản xuất, xác minh chữ ký, kiểm tra kỹ các file chạy cùng. Wsyscheck cung cấp cho bạn các thông tin liên quan về tiến trình, drivers, regedit, kiểm tra file…. Việc kiểm tra, xác minh dọn dẹp phụ thuộc vào người phân tích, wsyscheck hiện thị với giao diện khá thân thiện với những chức năng cơ bản cho người dùng Những chức năng cơ bản của wsyscheck: - Tab Process(Xem các tiến trình ñang chạy) Wsyscheck sẽ hiển thị các tiến trình ñang chạy và xem các tiến trình ñó có bị tiêm nhiễm các file dll nào khác ngoài những file DLL của microsoft hay không. Ta cũng có thể xác minh những tiến trình nào của microsoft bằng cách chọn (SoftSet --> chọn Verify Microsoft File).
TaiLong
54
DFVr
Deface VR
Khi ñã xác minh những file nào của microsoft thì wsycheck sẽ thông báo cho ta thông tin là ‘pass’
Và wsyscheck hỗ trợ cho ta các cách tắt/dừng/ hay chạy lại một tiến trình tùy chọn nào ñó. Khi muốn tắt một hay nhiều tiến trình ñang chạy ta chỉ việc tích vào tiến trình ñó và chọn “Kill selected process”
TaiLong
55
DFVr
Deface VR
Ngoài ra khi chuột phải vào một tiến trình nào ñó có nhiều tùy chọn cho ta như: Properties(xem ñặc tính của tiến trình ñó), Goto File (nhẩy tới ñường dẫn nơi mà tiến trình ñó ñang nằm ñấy), Copy File Path(Copy ñường dẫn của tiến trình ñó) Disble Run Program(vô hiệu hóa chương trình chạy), Delete Select Process File(xóa tiến trình), Send Dos Del (Thực thi việc xóa tiến trình ñó từ Dos), Send to Rboot Del (Thực thi việc xóa từ Rboot tức xóa khi khởi ñộng lại) Thread Info (xem thêm thông tin về các luồng(gọi là thread cho dễ)) Khi chọn hiển thị ‘thread info’ của một tiến trình nào ñó ta có thể tắt/dừng/thực thi lại thread ñó
- Tab Kernel check (Xem, kiểm tra phần kernel ) Ở trong phần này có 4 tab là: ssdt check, fsd check, kernel scan, module scan ở phần này ta chỉ kiểm tra xem có bị hook không tab ssdt check (kiểm tra bảng ssdt) TaiLong
56
DFVr
Deface VR
- Tab fsd check (kiểm tra fsd)
- Tab Scan kernel (xem có ñoạn code hook nào không)
TaiLong
57
DFVr
Deface VR
- Tab Scan module(xem có những driver nào ñược ñăng ký vào hệ thống)
- Tab Services(Xem các dịch vụ(services) khác ngoài của microsoft) Ta có thể xem các dịch vụ nào ñang chạy, những dịch vụ nào dừng chạy. wsyscheck chỉ hiện cho ta thấy các dịch vụ không phải ñược ñăng ký bởi microsoft cho nên ta không sợ bị xóa nhầm dịch vụ của microsoft. khi kiểm tra phần này bạn nên ñể ý các drivers(thường có tên tuổi, tên công ty…) Ta còn có khá nhiều tùy chọn cho một dịch vụ, khi ta chuột phải vào service ñó Refresh Services (làm mới lại các service) File Properties (xem ñặc tính của service ñó) Goto File (Nhẩy tới ñường dẫn của file ñó) Copy Path (copy ñường dẫn) Goto RegEdit (nhẩy tới ñường dẫn thực thi trong regedit) Check Service Protect(kiểm tra tính an toàn của service) Save All Service RegFile(lưu tất cả các dịch vụ dưới file .reg ñặt ở màn hình desktop) Delete this service key (xóa key service này, tức là xóa trong regedit) Delete service and file (xóa service này và cả file của nó) TaiLong
58
DFVr
Deface VR Send to Dos Del (gửi ñến xóa từ Dos) Send to Rboot Del (gửi ñến xóa từ Rboot tức là xóa lúc khởi ñộng lại) Start Service (bật service) Stop Service(tắt service) Set Service Disable (thiết lập thuộc tính disble cho service) Set Service Auto (thiết lập thuộc tính tự ñộng Auto) Set Service Demand (thiết lập thuộc tính theo Demand) Set Service system (Thiết lập thuộc tính system) Set Service Boot (thiết lập thuộc tính Boot)
- Tab Safe Check(Kiểm tra tính an toàn của hệ thống) Ở phần này có các tab: General Check, Active File, IE setting, Port Status, FileSearch, ReBoot delFile Tab General Check (kiểm tra thông tin chung) về file host, về winsock, về khóa ‘HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options’ trong regedit.
- Tab Active File (những file kích hoạt khi khởi ñộng vào windows ) Về tab này có một số ñặc tính khi ta chuột phải chọn File Properties (xem Properties của file ñó) Goto File (nhẩy ñến nơi ñể file ñó) TaiLong 59
DFVr
Deface VR Goto RegEdit (Nhẩy ñến khóa regedit của nó) Backup Reg (sao lưu khóa regedit) Copy File Path (Copy ñường dẫn của file ñó) Fix
- Tab IE Setting (các thiết lập ở IE) Bao gồm các phần ñính vào toolbar của IE, các file DLL bị tiêm nhiễm vào IE, BHO… Tab này cũng có các tùy chọn gần như tab Active File
- Tab Port Status (xem trạng thái các cổng) Tab này ñể hiển thị cho ta thấy cổng nào ñược mở và file nào ñang chạy ñể thực thi việc mở cổng ñó
TaiLong
60
DFVr
Deface VR
- Tab FileSearch (Tìm kiếm, lọc các file)
- Tab Reboot delFile (delete file khi khởi ñộng lại) Ta có thể add thêm file muốn xóa vào ñể xóa
TaiLong
61
DFVr
Deface VR
- Tab Explorer (quản lý, kiểm tra xem các file) ở tab Explorer này ta có thể thực thi như khi ta sử dụng explorer bình thường, có thêm chức năng force delete(ép xóa) à nhầm flush delete và ‘sent to reboot delete file’
- Tab RegEdit (kiểm tra như regedit bình thường)
TaiLong
62
DFVr
Deface VR
- Tab DosDelFile (thực hiện việc xóa file từ Dos) Ta có thể add thêm file vào và xóa
- Ngoài ta phần menu còn có 2 tùy chọn SoftSet và Tools Menu SoftSet: Có các tùy chọn Easy show (hiện thị theo cách ñơn giản nhất) Verify Microsoft File (xác minh những file của microsoft) No Process And File Create (không xem những tiến trình, những file mới ñược tạo ra) Backup File before Delete (Sao lưu trước khi xóa) Lock File After Delete (khóa file trước khi xóa)
TaiLong
63
DFVr
Deface VR
Menu Tools : Ở menu này có các tùy chọn Fix Hide File Show (Hiện các file ẩn) nếu bạn bị virus làm ẩn Disable Disk Autorun (vô hiệu hóa chế ñộ autorun ở các ổ ñĩa) Fix Boot Safe Mode (sửa lại chế ñộ safe mode) khi bị virus xóa không cho vào safe mode Clear Temp File (Xóa các file ở thư mục Temp) Safe Envirenment (Chạy trong môi trường an toàn) Reset Computer (khởi ñộng lại máy)
2.8. AVZ Download: http://z-oleg.com/avz4.zip http://devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip Tiện ích AVZ là một tiện ích sử dụng ñể tìm kiếm và xóa các chương trình ñộc hại · Các chương trình gián ñiệp (Spyware), chương trình quảng cáo(Adware) và các modules của nó (ñây là mục ñích chính của tiện ích AVZ này) · Các loài sâu (worm) mạng và email · Các loại Trojan (cụ thể là bao gồm tất cả các biến thể, các loại như Trojan-PSW, Trojan_Downloader, và Trojan ) và các chương trình cửa hậu(backdoor) (ñó là các chương trình dùng ñể phục vụ cho việc kết nối từ xa qua các máy tính bị lây nhiễm ) · Các loại Trojan ñược dùng cho mục ñích nghe lén việc quay số (Dialer, Trojan.Dialer, Porn-Dialer) · Các chương trình theo dõi bàn phím và các chương trình khác mà có thể sử dụng ñể giám sát các hoạt ñộng của người dùng Tiện ích này là một tiện ích cũng tương tự như phần mềm Trojan Hunter và LavaSoft Ad-ware 6. Mục ñích chính là tìm thấy và gỡ bỏ các modules của adware và spyware, cũng như các loại trojan ðiều này thật sự cần thiết khi ñề cập tới những chương trình mà thuộc loại adware hay spyware thường không ñược xác ñịnh là virus hay trojan. Chúng theo dõi các hoạt ñộng của người dùng và tải các ñoạn mã thông tin và chương trình tới máy tính bị lây nhiễm chính nhằm mục ñích quảng cáo, marketing. Theo một nghĩa nào ñó các thông tin ñó chứa ñựng các thông tin mật như mật khẩu, số thẻ tín dụng, tài khoản ngân hàng, tài chính…. ðặc tính chính của AVZ là có khả năng ñược cấu hình ñể chống lại các kiểu chương trình ñộc hại hiện tại. Như là , nó có thể chọn chế ñộ mà chương trình có ñể phá hủy những virus, trojan ñược phát hiện, nhưng các phát hiện về các chương trình adware sẽ bị khóa lại TaiLong
64
DFVr
Deface VR Các ñặc tính ñặc biệt khác của AVZ bao gồm nhiều cách kiểm tra hệ thống thông minh, mà không dựa trên cơ chế tìm kiếm theo chữ ký. Như là việc tìm kiếm rootkit, keylogger(phần mềm theo dõi bàn phím), và nhiều backdoor dựa trên các cổng TCP/UDP ñiển hình. Nó có những công nghệ tìm kiếm khá mạnh cho phép tìm thấy những biến thể mới của các chương trình ñộc hại Thêm vào ñó việc tìm kiếm các file dựa vào chữ ký, AVZ cung cấp cơ sở dữ liệu ñính kèm có chứa chữ ký của hàng nghìn file hệ thống. Sử dụng cơ sở dữ liệu này cho phép giảm thiểu số lỗi phát sinh một cách an toàn và cho phép giải quyết các vấn ñề khác. Cụ thể là, việc tìm kiếm các file hệ thống cũng tức là ñã sử dụng việc lọc ra các file ñã biết từ kết quả tìm kiếm, việc quản lý các tiến trình ñang chạy và thiết lập SPI về các tiến trình ñược biết với màu sắc tiêu biểu Sử dụng: - AVZ ñược chia ra làm 3 tab (Search Range, File Types, Search Parameters) + Tab Search Range (Chọn nơi tìm kiếm): Tab này ñược chia làm 3 vùng là: Vùng 1: Chọn ổ ñĩa tức chọn nơi bạn muốn kiểm tra. Và có các tùy chọn Check running process (kiểm tra trên các tiến trình ñang chạy) Heuristic system check (kiểm tra xem hệ thống có thay ñổi gì) Search for vulnerabilities (tìm kiếm ñiểm yếu) Vùng 2: Actions là thực thi việc báo cáo/hỏi người dùng/xóa virus,adware, spyware, riskware...hay không (Vùng này giữ nguyên) Có các tùy chọn: Heuristic file deletion(xóa những file có thay ñổi) Copy deleted files to ‘infected’ folder (copy tới thư mục infected) Copy suspicious files to Quarantine (copy các file nghi ngờ tới vùng cách ly) Vùng 3: Ghi ra file log (vùng này cũng giữ nguyên) Ngoài ra ta có các tùy chọn
+ Tab File Types: Ở tab này ta có thể tùy chọn các kiểu file muốn kiểm tra gồm các ñịnh dạng file và các ñoạn mã chương trình. Và có các tùy chọn Check NTFS Streams, Check Achivers
TaiLong
65
DFVr
Deface VR
+ Tab Search Parameters: Tab này ta có các tùy chọn Heuristic analysis(phân tích sự thay ñổi) ta có thể chọn mặc ñịnh là Medium Heuristics level(kiểm tra mức trung bình) hoặc có thể chọn phân tích ở mức extended analysis(mức mở rộng). Anti-rootkit: Kiểm tra, phát hiện rootkit và các hàm hooks API. Ta có 2 chế ñộ sử dụng block usermode rootkits (ngăn các rootkit chạy ở chế ñộ user) và block kernel-mode rootkits(ngăn các rootkit chạy ở chế ñộ kernel) Winsock Service Provider: Kiểm tra dịch vụ winsock, có việc kiểm tra các thiết lập SPI/LSP ta có thể tích chọn tự ñộng sửa những lỗi SPI/LSP. Và có thêm tùy chọn Search for keyloggers(tìm kiếm keylog), Search for TCP/UDP ports used by Trojan horses (Tìm kiếm các cổng ñược sử dụng bởi Trojan), Resolve system errors automatically (tự ñộng giải quyết những lỗi hệ thống)
TaiLong
66
DFVr
Deface VR
-
Các menu chính có (File, service, AVZGuard, AVZPM)
+ Menu File: Gồm có nhiều ứng dụng, ở ñây chỉ nói về chức năng hay dùng ñể phát hiện virus
System Analysis: Kiểm tra toàn diện hệ thống. Ở cửa sổ này ta có 2 ô tùy chọn ta ở ô trên có 2 tùy chọn list of processes + DLLs without repeating(hiện danh sách các tiến trình + các DLLs mà không lặp lại) hoặc ta có thể chọn list of DLLs for each process(hiện danh sách các DLLs cho mỗi tiến trình). Còn ở ô dưới có 2 tùy chọn là Only active services and drivers(Chỉ hiển thị các serive và driver ñược kích hoạt) hoặc chọn All services and drivers(hiển thị tất cả các service và driver). Và ta chỉ việc Start là chạy… mặc ñịnh sẽ lưu lại với file .htm.
TaiLong
67
DFVr
Deface VR System Restore: ở cửa sổ này cho phép ta thực thi việc khôi phục các ứng dụng bị khóa/xóa như regedit, task manager…, hoặc các phục hồi lại các thay ñổi ở IE, desktop… Restore launch parameters of .exe, .com, .pif files (phục hồi các file khởi chạy như .exe, .com, .pif) Reset Internet Explorer settings of protocol prefixes to default (phục hồi lại các thiết lập mặc ñịnh ở IE) Restore Internet Explorer start page(phục hồi lại trang chủ ở IE) Reset Internet Explorer search settings to default (khôi phục lại thiết lập tìm kiếm mặc ñịnh ở IE) Restore Desktop settings(phục hồi lại các thiết lập ở desktop) Delete all curent user Policies(xóa tất cả các khóa ñược tạo ra ở khóa HKCU \Software\Microsoft\Windows\CurrentVersion\Policies) Delete Winlogon message (xóa những thông ñiệp ở Winlogon) Restore Windows Explorer settings (phục hồi lại windows explorer) Delete all system process debuggers (xóa tất cả việc gỡ lỗi ở các tiến trình hệ thống) Restore SafeBoot registry keys (phục hồi các khóa ở regedit ñể có thể khởi ñộng vào chế ñộ Safe mode) Unlock task manager (gỡ bỏ thiết lập task manager bị khóa) Clear HijackThis ignore settings(làm sạch các thiết lập mà hijackthis lờ ñi) Clear Hosts file (xóa các thông tin thêm vào ở file Hosts) Automatically correct SPI/LSP settings (tự ñộng thiết lập lại các SPI/LSP cho ñúng) Reset SPI/LSP & TCP/IP settings(XP+) (thiết lập lại SPI/LSP và TCP/IP – chỉ win XP trở lên) Restore Explorer startup registry key (phục hồi các khóa khởi chạy ở regedit và thư mục startup) Unlock Registry Editor (gỡ bỏ thiết lập khi regedit bị khóa) Reset SPI settings (not always safe!). thiết lập lại SPI (thường không an toàn)
Backup: Cho phép ta sao lưu lại một số thiết lập trong windows
TaiLong
68
DFVr
Deface VR
Disk Inspector: Thực thi việc tạo một cơ sở dữ liệu ở ổ ñĩa ñang dùng và so sánh với cơ sở dữ liệu trên ổ ñĩa cứng khác
Troubleshooting wizard: Sử dụng ñể tìm kiếm và sửa chữa những lỗi thường gặp về vấn ñề hệ thống, các thiết lập trình duyệt, vấn ñề riêng tư theo mức nguy hiểm của vấn ñề Có 2 mục tùy chọn: Mục issue type: System issues(vấn ñề hệ thống), browser tweaks and settings(các thiết lập về trình duyệt), Privacy(phần riêng) Mục dangerousness level is: chia theo cấp ñộ nguy hiểm most dangerous issues(mức nguy hiểm cao nhất), medium severity issues(mức ñộ trung bình), all issues(tất cả các cấp ñộ)
TaiLong
69
DFVr
Deface VR
Standard scripts: Các scripts chuẩn sử dụng ñể phát hiện, khóa virus, phân tích nâng cao Có các tùy chọn sau: Detect and block UserMode and KernelMode hooks(phát hiện và khóa các hook ở chế ñộ UserMode và KernelMode) Advanced System Analysis (phân tích hệ thống nâng cao) Healing/Quarantine and Advanced System Analysis(sửa chữa/cách ly và phân tích hệ thống) Collecting not recognized and suspicious files(gom các file không ñược nhận ra và các file nghi ngờ lại) Update signature database with automatic settings(cập nhật cơ sở dữ liệu ñược ký với thiết lập tự ñộng) Delete all AVZ drivers and registry keys(Xóa tất cả các khóa regedit và các drivers ở AVZ)
Database update: Cập nhật cơ sở dữ liệu cho AVZ
TaiLong
70
DFVr
Deface VR
Và ở menu File còn có một số chức năng khác + Menu Service: Xem,quản lý, theo dõi các tiến trình, các dịch vụ, drivers, các cổng ñược mở…Ở ñây chỉ nói mấy cái chính hay sử dụng ñể kiểm tra virus
Process Manager: Quản lý, theo dõi các tiến trình ñang chạy. Ta có thể thực thi việc tắt tiến trình, copy tới vùng cách ly, tìm kiếm trên google, tìm kiếm trên Yandex, tìm kiếm trên Rambler, tìm kiếm tên file trong registry, tìm kiếm ñầy ñủ ñường dẫn trong registry. Và ta có thể có các tùy chọn ở cột Parameters là tính MD5 cho file, kiểm tra các file trong cơ sở dữ liệu ñáng tin cậy, kiểm tra so sánh với các danh mục bảo mật của microsoft
TaiLong
71
DFVr
Deface VR
Services and Drivers Manager: Quản lý và theo dõi các dịch vụ và các drivers chạy trên hệ thống. Ở phần này ñược phân làm 2 tab là Services(by API data) và Serives (by registry analysis) Ở tab services(by API data): Xem những dịch vụ ñược phân tích theo kiểu dữ liệu hàm API. Ta có các tùy chọn xem theo kiểu (drivers/serives/all) và xem trạng thái kích hoạt(active) hay không (not active) hoặc xem tất cả. và ta có thể start/stop hay xóa serives hay driver
TaiLong
72
DFVr
Deface VR
Ở tab Services (by registry analysis): Hiện các dịch vụ ñược phân tích bởi registry. Và ta chỉ có thể xem các dịch vụ và các drivers hoặc cả 2. Ta chỉ có thể xóa nó
Kernel Space Modules Viewer: Hiển thị các module ở phía kernel (nhân) thường là các driver. Ta có thể thực thi việc copy vào vùng cách ly hoặc lưu lại file dump của module hiện tại
TaiLong
73
DFVr
Deface VR
Injected DLLs Manager: Quản lý và xem các file DLL khác lạ ñược tiêm vào hệ thống. Ta có thể thực thi việc copy DLL ñó tới vùng cách ly
Registry Search: Tìm kiếm các khóa trong regedit. Ta có thể chọn khóa muốn tìm và khi tìm thấy khóa nào ta có thể lưu lại file log hoặc ta có thể sao lưu, xuất khẩu ra một file .reg và xóa khóa ñược tìm thấy
TaiLong
74
DFVr
Deface VR File Search: Tìm kiếm file, ta có thể tìm kiếm theo ñịnh dạng file, theo cỡ file, theo nội dung của file text, và có thể tìm kiếm lọc những file nào ñáng tin cậy, những file nào của microsoft. Ta có thể thực thi việc copy ñến vùng cách ly và xóa nếu cần thiết
Autoruns Manager: Xem và quản lý các file khởi chạy cùng windows thường ở các khóa trong regedit và thư mục startup. Ta có thể vô hiệu hóa nó(bỏ tích) hoặc xóa các khóa ñó.
IE Extensions Manager: Quản lý và xem có những phần mở rộng nào, những file DLL nào khác ñược ñính kèm vào IE
Control Panel Applets Manager: Quản lý các khởi chạy phía control panel
TaiLong
75
DFVr
Deface VR
Windows Explorer Extensions Manager: Xem, quản lý những phần mở rộng, những phần ñược ñính kèm(các file DLL) vào windows explorer.
Printing system Extensions Manager: Quản lý hệ thống in ấn mở rộng xem có phần ñính kèm nào ñược ñính vào không, ta thường ñể ý phần name/file description nếu là virus thường không có 2 phần này
TaiLong
76
DFVr
Deface VR Task Schedule: Xem phần ñặt lịch, tác vụ này xem có file nào ñược ñặt ñể khởi chạy vào thời ñiểm nào ñó không
Protocols and Handlers manager: Quản lý và xem các giao thức và các handle ñược tạo ra và ñược chạy cùng hệ thống. Ta có thể disable nó bằng cách bỏ tích hoặc delete nó. Hoặc ta có thể copy tới vùng cách ly, tìm kiếm thông tin file ñó trên google, yandex, rambler.
Active Setup Manager: Quản lý và kiểm tra xem những file cài ñặt, những file thư viện ñể chạy chương trình có ñúng không. Nếu không ñúng tức là sai nhà sản xuất ta có thể vô hiệu hóa bằng cách bỏ tích, hoặc ta có thể xóa nó.
TaiLong
77
DFVr
Deface VR Winsock SPI (LSP, NSP, TSP) Manager: Quản lý, kiểm tra các winsock, các giao thức ñược cung cấp, tìm kiếm lỗi về các SPI. Ta có thể xóa, hoặc copy nó tới vùng cách ly, hoặc lưu lại với file html
Hosts File Manager: Quản lý và xem file hosts có j khác lạ không tức là xem có bị thêm các trang web lạ vào không ngoài mặc ñịnh là (127.0.0.1 localhost). Có thể các trang web ñược thêm vào ñể truy cập nhanh hơn
Open TCP/UDP Ports Viewer: Xem, kiểm tra các cổng ñược mở ở 2 giao thức TCP và UDP
+ Menu AVZGuard: ðể ñảm bảo an toàn cho hệ thống, khi chọn enable AVZGuard bạn không thể thực thi ñược regedit, cmd, gpedit.msc, explorer và một số ứng dụng khác
TaiLong
78
DFVr
Deface VR
+ Menu AVZPM: Thiết lập driver mở rộng cho AVZ ñể theo dõi toàn bộ hệ thống của bạn
2.9. Radix Download: http://www.usec.at/downloads3/radix_installer.zip Radix lạnh lùng dừng những cuộc tấn công của Rootkit Rootkit là những chương trình nguy hiểm ñược download từ Internet, hoặc ñược ñính sẵn mã ñộc trong các phần mềm thương mại, ñó là một trong những cách cài ñặt vào máy tính của bạn. Rootkit có thể làm nhiều việc khác như việc theo dõi bàn phím, bao gồm việc ăn cắp tên mật khẩu truy cập mail, thẻ tín dụng hoặc thậm chí các thông tin về các văn bản của bạn và nó tự ñộng gửi ñến các hacker, ñể thực thi các chương trình mà bạn không cho phép Dưới ñây là những gì Radix thực hiện Phát hiện và gỡ bỏ các rootkit có cấu trúc tinh vi Phát hiện và sửa chữa các driver mà ñã bị thay ñổi bởi các rootkit Phát hiện và sửa chữa các tiến trình trong máy tính bị thay ñổi bởi rootkit Phát hiện và phục hồi các tiến trình và file ẩn, bao gồm ADS(Alternate Data Streams) Cho phép ta gỡ bỏ những file và tiến trình bị khóa hay không thể gỡ bỏ Cung cấp việc dump các vùng trong bộ nhớ từ các tiến trình Hiện bảng GDT(Global Descriptor Table) cho khả năng phát hiện rootkit nâng cao Hiện bảng IAT(Import Address Table) cho khả năng phát hiện rootkit nâng cao Hiện bảng IDT(Interrupt Descriptor Table) cho khả năng phát hiện rootkit sâu hơn Hiện các khóa registry ẩn Hoạt ñộng trên cả 2 chế ñộ dòng lệnh cho người dùng mức cao, hay sử dụng ở chế ñộ ñồ họa cho người dùng thông thường Mặc dù ñây là phần mềm miễn phí. Nếu cần ñược hỗ trợ mức cao hơn ta có thể trả tiền ñể ñược hỗ trợ kỹ hơn Các chức năng chính của Radix Radix ñược chia thành các tab chính (1-click check, Modules, SDT, IDT, GDT, IRP, SYSENTER, IAT, Filesystem, MBR, Processes, Registry, Tools) -
Tab 1-click check: Kiểm tra toàn bộ hệ thống, bao gồm việc kiểm tra một trong các tab còn lại
TaiLong
79
DFVr
Deface VR
-
Tab Modules: Kiểm tra các module, các driver ñược cài vào hệ thống. Có tùy chọn Check signatures(kiểm tra chữ ký), ta tích vào ñể kiểm tra. Nếu module nào mà chưa ñược ký thì ở cột Signed sẽ có chữ NO. Và ta có thể chọn xem chi tiết, Fix và Dump module ñó
-
Tab SDT: Hiển thị bảng SDT(Service Descriptor Table)
TaiLong
80
DFVr
Deface VR
-
Tab IDT: Hiển thị bảng IDT(Interrupt Descriptor Table) tức là bảng mô tả các ngắt
-
Tab GDT: Hiển thị bảng GDT (Global Descriptor Table)
TaiLong
81
DFVr
Deface VR
-
Tab IRP(I/O Request Packets): Hiển thị về các gói yêu cầu vào ra
-
Tab SYSENTER: Hiện thị lệnh SYSENTER (cho người dùng ở mức cao cấp)
TaiLong
82
DFVr
Deface VR
-
Tab IAT: Hiển thị bảng IAT(Import Address Table) tức bảng ñịa chỉ nhập vào, hiển thị tiến trình cho ta thấy các các file DLL ñược chạy cùng tiến trình ñó. Và ta có thể tích chọn tiến trình ñó rồi tùy thích tắt, dump, fix tiến trình ñã chọn
-
Tab Filesystem: Ta sử dụng tab này ñể kiểm tra các file ẩn, kiểm tra ADS(Alternate Data Streams) ở một ổ ñĩa, thư mục nào ñó. Nếu thấy file nào ẩn mà ta có thể tùy chọn việc copy tên, lưu lại và delete nó. Hoặc ta thấy có tùy chọn Quarantine file on deletion(cách ly file cần xóa)
TaiLong
83
DFVr
Deface VR
-
Tab MBR: Hiển thị bản ghi MBR(Master Boot Record) hay còn gọi là partition sector. Cái này hiển thị cho ta thấy thay ñổi trong các sector thứ mấy trong phân vùng của ñĩa lưu trữ(thường là ñĩa cứng). rootkit thường thay ñổi ở sector 0. Nếu có sự thay ñổi thì radix sẽ báo cho ta biết và ta có thể tùy chọn fix, dump, restore nếu cần thiết
-
Tab Processes: Hiển thị các tiến trình ñang chạy trên hệ thống. Ta có thể tùy chọn việc tắt/dump tiến trình nào ñó nếu cần thiết
TaiLong
84
DFVr
Deface VR
-
Tab Registry: Hiện thị thông tin khóa nào trong registry bị ñính thêm bởi rootkit. Ta có các tùy chọn kiểm tra ở các khóa HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CLASSES_ROOT, ta có thể tích chọn Show Detail when selecting a value(hiển chi tiết khi kiểm tra xong một giá trị). Và ta có thể delete khóa ñã ñược kiểm tra…
- Tab Tools: Các công cụ hỗ trợ việc kiểm tra riêng từng file, module, service + Ở phần file : Ta có thể thực thi việc kill file ñó, dump file ẩn, tính ñịa chỉ + Ở phần module: Ta có thể thực thi việc kill module, có tùy chọn tích vào additionally unload module from process address space(tự ñộng unload module từ không gian ñịa chỉ của tiến trình) + Ở phần service: ta có thể chọn việc gỡ bỏ thiết bị ñó
TaiLong
85
DFVr
Deface VR
2.10. SEEM (System Eyes & Ears Monitor) Download: http://3psilon.free.fr/s45b/S450RC.zip Giới thiệu: Những gì về chương trình này là khá thân thiện với người dùng, cung cấp cho bạn những thông tin cần thiết về các tiến trình, các dịch vụ, các chương trình ñược khởi chạy từ startup, các thành phần trong máy tính và nhiều thông tin khác ta có thể thu thập ñược như hiển thị các thiết bị, các kết nối mạng…. Thêm vào ñó, với phiên bản mới nhất cung cấp thêm cho ta chức năng phát hiện rootkit và các phần mềm ñộc hại nằm trong windows. Cho phép ta xem ñược thông tin về các hook trên ở tiến trình khác biệt hay ở kernel windows
Mô tả: SEEM gồm các phần: Process, SSDT, Kernel mode, Service, Netstat, Arp, Disk, Device, Startup, Control Panel, Registry Config, Soud, Properties…
TaiLong
86
DFVr
Deface VR - Process: Hiển thị các tiến trình ñang chạy trên hệ thống. Ta có thể thực thi việc tắt/tạm dừng tiến trình, xem ñặc tính của tiến trình, xem có dịch vụ nào chạy ở tiến trình ñó, xem có những module nào ñi cùng nó. Ta có thể thấy các tiến trình màu ñỏ là những tiến trình nguy hại và ta có thể khắc phục ñược.
TaiLong
87
DFVr
Deface VR
Bạn sẽ có các thông tin về các tiến trình ñộc hại mà phát hiện ñược - SSDT: Hiện thông tin về bảng SSDT
TaiLong
88
DFVr
Deface VR
Seem có thể hiện thông tin các chương trình hook vào hệ thống(rootkit) và các chương trình có sử dụng hook như: hxdef, vanquish, hidetoolz, Icesword, hay một vài loại khác như Trojan_MulDrop hay virus_hiddendragon - Kernel module: Hiện thông tin về các module phía nhân hệ ñiều hành, tức là hiển thị các drivers ñược load vào trong bộ nhớ
- Service: Hiển thị danh sách các dịch vụ và các driver ñược cài ñặt ở windows. Ta có thể disbale, delete, start và stop như sử dụng services (services.msc) ở windows.
TaiLong
89
DFVr
Deface VR
- Netstat: Hiển thị các kết nối mạng. Cho phép bạn xem các kết nối mạng xem một cách chi tiết hơn(các kết nối) hoặc trong toàn bộ cho mỗi chương trình ñể chuyển ñổi dữ liệu qua mạng. Nó có thể bắt ép ñóng một kết nối mà không bị ảnh hưởng tới chương trình Tùy chọn ‘speed packet capture’ là ñể quản lý tốc kết nối
TaiLong
90
DFVr
Deface VR
Kiểm tra tính toàn vẹn của dữ liệu trong trường hợp chuyển ñổi của email hoặc kiểm tra tính mã hóa của dữ liệu trong việc kết nối bảo mật: một số có thể ñáng quan tâm mà không cần cài ñặt nhiều - Disk: Hiển thị thông tin các ổ ñĩa. Nó sẽ hiển thị ñầy ñủ các phân vùng của máy tính gồm xem dung lượng còn trống bao nhiêu, ñã sử dụng bao nhiêu phần trăm. Tên của ổ ñĩa ñược hiển thị trên mỗi phân vùng Liên kết tới properties của các phân vùng ngay khi ta chọn disk manager khi ñó thành phần disk manager của Windows sẽ ñược hiện ra
- Device: Hiển thị các thông tin về các thiết bị ngoại vi trong windows, nó như device manager
TaiLong
91
DFVr
Deface VR - Startup: Hiển thị các chỉ mục ñược khởi chạy khi tại thư mục startup của Windows Seem hiện thị danh sách các vùng phổ biến khi bắt ñầu chạy một ứng dụng trong Windows, nhưng cũng có một số vùng chưa ñược biết tới thực thi cùng một nhiệm vụ(thường ở các khóa khởi chạy trong Regedit như Run, load, system, userinit…) Ta có thể remove toàn bộ entry này. Tuy nhiên, ñiều ñó không thể phục hồi Ta có thể tự ñộng chuyển tới regedit của Windows ñể thực thi bằng tay
- Control Panel: Seem tích hợp cả Control Panel của Windows. Nó hiển thị chi tiết các thành phần của Control Panel: Physical, location, version, description… Seem hiện danh sách tất cả các file với phần mở rộng ‘cpl’ và ‘MSC’ trong thư mục hệ thống của Windows (system32) Kích ñúp chuột vào biểu tượng là khởi chạy ứng dụng luôn
Registry Config: Seem có một vài ‘thuật(tip)’ nhằm cải thiện hơn Windows. Có các hoạt ñộng trực tiếp ảnh hưởng tới regedit và có thể làm cho nó ổn ñịnh hơn Do ñó, cấu hình này ñược chia thành 3 ñoạn: Performance, System, Securrity Bạn có thể thực thi việc backup ñể ngăn cản bất cứ việc thiết lập bằng tay mạo hiểm nào khác, và bạn có thể lưu giữ theo bất cứ cách nào. Những hoạt ñộng bao gồm trong toàn bộ regedit của Windows
-
TaiLong
92
DFVr
Deface VR
2.11. RootkitRevealer Download: http://download.sysinternals.com/Files/RootkitRevealer.zip Công cụ này ñược viết bởi Bryce Cogswell and Mark Russinovich ở Sysinternal cũ(bây giờ ñã ñược microsoft mua lại) RootkitRevealer là một tiện ích phát hiện rootkit nâng cao. Chạy trên môi trường Win NT trở lên ðể scan một hệ thống ta khởi chạy nó và ấn nút Scan. RootkitRevealer sẽ scan hệ thống và báo cáo cho bạn biết những vùng ẩn trên ổ ñĩa, các khóa regedit ẩn hay bị tấn công bởi rootkit. Các tùy chọn scan Hide NTFS Metadata Files: Tùy chọn này ñược thiết lập theo mặc ñịnh và rootkitrevealer không hiện các file theo chuẩn NTFS metadata, mà bị ẩn bởi các hàm API trong windows Scan Registry: Tùy chọn này ñược thiết lập mặc ñịnh. Nếu không muốn scan thì ta có thể bỏ chọn
2.12. HELIOS: Ở ñây chỉ giới thiệu về bản helios-lite. :D Download: http://helios.miel-labs.com/downloads/Helios-Lite.zip
TaiLong
93
DFVr
Deface VR Helios-lite là công cụ tìm kiếm và phát hiện rootkit. http://helios.miel-labs.com vào ñây ñể tìm hiểu thêm về tool helios Sử dụng: Helios-lite có các kiểu scan là: Hidden Files, Hidden Registry, Hidden Process, SSDT Hooks - Hidden Files: Tìm kiếm các file ẩn trong hệ thống, ta có thể thiết lập việc tìm kiếm tất cả các driver hoặc ta trỏ tới nơi muốn tìm kiếm và có thể chọn hiện ADS(Alternate Data Streams). Ta có thể copy file ñó hoặc tìm kiếm thông tin trên google.
- Hidden Registry: Phát hiện các khóa ẩn trong regedit. Ta có thể copy khóa tìm thấy, và tìm kiếm thông tin của khóa ñó trên google
-
Hidden Processes: Tìm kiếm các tiến trình ẩn trong hệ thống. Và có tùy chọn show improperly terminated process(hiện những tiến trình ñã chạy xong và ñã bị tắt)
TaiLong
94
DFVr
Deface VR
-
SDDT Hooks: Tìm kiếm và phát hiện các file, driver bị hook. Ta có thể thực thi việc copy file ñó và tìm kiếm thông tin trên google
TaiLong
95
DFVr