| [Question] phát hiện kẻ lạ mặt ẩn trong process |
04/09/2007 02:13:31 (+0700) | #1 | 83117 |
![[Avatar]](/hvaonline/images/avatar/b917cbfbe99564a26c7b2dee4de31ea7.jpg "[Avatar]")
|
huynhfxvn
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 21/07/2005 11:09:35
Messages: 456
Location: UET.VNU
Offline
|
|
Các malware không chỉ chạy trong bộ nhớ của máy tính dưới dạng process, nó còn lây vào thread của các process khác .
Cách phát hiện những thread này:
dùng process explorer xem threads của các process có ít thread như ctfmon.exe ( chỉ có 1 threads ctfmon.exe ) lúc đó kẻ lạ mặt sẽ lòi ra.
các threads đó nằm trong thư mục c:\WINDOWS\system32\
ví dụ c:\WINDOWS\system32\qjhpri.dll
các bạn có thể up load lên
http://virusscan.jotti.org/ để xác định nó
hix viết xong bài này phải ghost lại win , may con này ko lây vào các file .exe , hic hix |
|
| KHÔNG CÓ GÌ quý hơn tự do ! |
|
 |
|
| [Question] Re: phát hiện kẻ lạ mặt ẩn trong process |
04/09/2007 03:13:11 (+0700) | #2 | 83130 |
![[Avatar]](/hvaonline/images/avatar/0352e134ea8bbd308f7441c5d203ee9f.jpg "[Avatar]")
|
lonely_Xorhandsome
Elite Member
|
|
0 |
|
|
Joined: 26/06/2006 12:14:07
Messages: 558
Location: HCM beside you !
Offline
|
|
| Con này có lâu rồi mà bạn ! lúc trước công ty mình hay bị thằng Norton báo là nhiễm con này , mình loại bỏ trong start up rồi, viết batch xóa cũng được phần nào( vì có khi del được,có khi không ). Gần đây mình mới biết cách del mấy file virus khi đã biết file chính xác bằng cách set permission rồi take owner rồi xóa bình thường á. |
|
|
| [Question] Re: phát hiện kẻ lạ mặt ẩn trong process |
04/09/2007 07:01:20 (+0700) | #3 | 83173 |
|
huynhfxvn
Member
|
|
0 |
|
|
Joined: 21/07/2005 11:09:35
Messages: 456
Location: UET.VNU
Offline
|
|
vì nó còn trong bộ nhớ nên dù có del file thì nó lại copy , nhiễm lại ngay .
muốn xóa sạch thì phải vào chế độ "safe mode" rồi giết = tay OR= AV. |
|
| KHÔNG CÓ GÌ quý hơn tự do ! |
|
| Users currently in here |
|
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận virus, trojan, spyware, worm...
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")