banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Một cách đơn giản để vô hiệu hoá chương trình độc hại  XML
  [Question]   Một cách đơn giản để vô hiệu hoá chương trình độc hại 06/01/2007 01:18:51 (+0700) | #1 | 34546
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
Mở đầu
Dạo này có khá nhiều bạn bị nhiễm virus, trojan, worms... gọi chung là các chương trình độc hại (malware) yêu cầu được hướng dẫn cách diệt trừ. Sau 1 thời gian mày mò, lQ phát hiện ra 1 cách có thể nhanh chóng vô hiệu hóa các malware, đó là sử dụng Security Policy.

Đối với máy không joined domain, cần cấu hình trên Domain Security Policy. Ngược lại, đối với máy ko joined domain thì cấu hình trên Local Security Policy. Để tìm thấy công cụ này, đ/v máy ko joined domain, các bạn vào Start => Control Panel => Administrative Tools => Local Security Policy.

Yêu cầu
- Người dùng cần sử dụng tài khoản thuộc nhóm Administrators để có permissions cập nhật trên Security Policy.
- Người dùng buộc phải biết các malware có filename là gì và nằm tại vị trí nào.


Trình tự thực hiện
1> Xác định filename và vị trí của malware
Sử dụng chương trình Process Explorer của Sysinternals. Công cụ này tương tự Task Manager có sẵn của Windows. Chọn vào những process mà bạn biết chắc đó chính là malware, chọn menu Process => Properties để xác định vị trí (Path) của malware.
Download tại: http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx

2> Cập nhật malware vào Software Restriction Policies của công cụ Security Policy
Gồm 2 bước con.
2.1> Khởi tạo
Nếu đây là lần đầu tiên bạn thao tác trên policy này thì bạn cần khởi tạo nó bằng cách: tìm đến mục Software Restriction Policies, chọn menu Action => New Software Restriction Policies (hoặc Create New Policies).

2.2> Thiết lập Security Level cho các malwares đã được xác định
- Chọn vào mục Additional Rules của Software Restriction Policies, chọn menu Action => New Hash Rule. Một dialog sẽ hiện lên.
- Tiếp tục nhấn vào Browse và tìm đến từng malware.
- Sau khi đã chọn mailware, tại edit box tên là File Hash sẽ xuất hiện 1 chuỗi gồm 3 giá trị: giá trị hash của malware, kích thước malware và ID của thuật toán Hash. VD: 388b8fbc36a8558587afc90fb23a3b99:69120:32771.
- Tiếp tục chọn Security Level = Disallowed để vô hiệu hoá khả năng thực thi của malware.
- Nhập một số thông tin mô tả malware vào mục Description.
- Nhấn OK.


Lưu ý
Security Policy là một công cụ khá lợi hại nhưng cũng ko kém phần nguy hiểm. Nếu như bạn chưa hiểu rõ về Software Restriction Policies thì ko nên nghịch những tính năng đi kèm theo nó, vì có thể vô tình bạn sẽ vô hiệu hoá cả những chương trình thiết yếu của Windows như explorer.exe, svchost.exe, lsass.exe...


Tham khảo
Windows XP Security Guide
Chapter 6: Software Restriction Policy for Windows XP Clients
http://www.microsoft.com/technet/security/prodtech/windowsxp/secwinxp/xpsgch06.mspx
[Up] [Print Copy]
  [Question]   Re: Một cách đơn giản để vô hiệu hoá chương trình độc hại 12/03/2007 01:39:22 (+0700) | #2 | 46019
PHUCDOAN
Member

[Minus]    0    [Plus]
Joined: 04/08/2006 23:50:25
Messages: 33
Offline
[Profile] [PM]
xin hỏi, thật sự cái này có dùng được với 2000 server ko vậy bạn. mình rất đang cần những cái như thế này. Task trong win đôi khi không kill duoc may cai process chet tiet. Cám ơn về bài viết của bạn.
[Up] [Print Copy]
  [Question]   Một cách đơn giản để vô hiệu hoá chương trình độc hại 13/03/2007 00:02:51 (+0700) | #3 | 46178
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
Hồi trước lQ viết bài này nhưng quên kiểm tra ở các phiên bản khác. Tính năng này chỉ có ở Windows XP trở lên. Đối với Windows 2000, bạn có thể sử dụng EXE lockdown
http://www.softpedia.com/get/Security/Lockdown/Exe-Lockdown.shtml (freeware). Còn Win9X, NT chắc bỏ đi cho rồi smilie.
[Up] [Print Copy]
  [Question]   Một cách đơn giản để vô hiệu hoá chương trình độc hại 13/03/2007 10:00:30 (+0700) | #4 | 46283
[Avatar]
ga_cong_nghiep_h5n1
Member

[Minus]    0    [Plus]
Joined: 12/03/2007 22:15:16
Messages: 21
Offline
[Profile] [PM] [Yahoo!]
IQ nè !
Bạn nói rằng chúng khóa dựa vào filename xin bạn cho biết ý kiến về một virus tên file ngẩu nhiên và lây vào thư mục ngẩu nhiên.
Xin bạn chỉ giáo !!!
[Up] [Print Copy]
  [Question]   Một cách đơn giản để vô hiệu hoá chương trình độc hại 13/03/2007 12:18:08 (+0700) | #5 | 46332
FaL
Moderator

Joined: 14/04/2006 09:31:18
Messages: 1232
Offline
[Profile] [PM]

ga_cong_nghiep_h5n1 wrote:
IQ nè !
Bạn nói rằng chúng khóa dựa vào filename xin bạn cho biết ý kiến về một virus tên file ngẩu nhiên và lây vào thư mục ngẩu nhiên.
Xin bạn chỉ giáo !!! 


Chào ga_cong_nghiep_h5n1,
::: Bạn nên đọc kỹ bài viết một tí:

IQ wrote:
Yêu cầu
- Người dùng cần sử dụng tài khoản thuộc nhóm Administrators để có permissions cập nhật trên Security Policy.
- Người dùng buộc phải biết các malware có filename là gì và nằm tại vị trí nào.  
Hãy giữ một trái tim nóng và một cái đầu lạnh
[Up] [Print Copy]
  [Question]   Một cách đơn giản để vô hiệu hoá chương trình độc hại 13/03/2007 12:21:19 (+0700) | #6 | 46335
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
MOd lại phải delete vài cái reply nữa. Nếu có chức năng lock topic, lock luôn đi.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Một cách đơn giản để vô hiệu hoá chương trình độc hại 13/03/2007 12:38:47 (+0700) | #7 | 46347
[Avatar]
SuperChicken
Elite Member

[Minus]    0    [Plus]
Joined: 11/07/2006 18:31:27
Messages: 635
Location: bottom of hell
Offline
[Profile] [PM]
Haha, tên gà này quả thật gà hết biết, nếu virus mà tên file ngẫu nhiên thì lại càng tự tố cáo mình, lúc này chỉ việc kill nó rồi del nó đi (có thể vất vả chỗ kill, tốt hơn hết phải làm cách nào cho nó ko start lên đc thì ok hết :lolsmilie ), hết chuyện.
[Up] [Print Copy]
  [Question]   Một cách đơn giản để vô hiệu hoá chương trình độc hại 15/03/2007 00:59:39 (+0700) | #8 | 46647
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
hehe mọi người chắc chưa hiểu nhiêù về cái này. Trong bước Thiết lập Security Level cho các malware, có 1 bước con đó là xác định hash MD5 cho malware đã định trước, đồng thời gán hành động cho giá trị này (unrestricted / disallowed). Bất kỳ 1 ứng dụng nào, khi được start, sẽ bị kiểm tra giá trị hash và đối chiếu với các rules để có hành động tương ứng. Vì vậy, nếu đã thực hiện bước trên, thì việc malware có đổi sang bất kỳ tên nào, nhưng vẫn thuộc danh sách designated file types và nằm bất kỳ vị trí nào cũng sẽ bị vô hiệu hóa như thường. Yêu cầu phải biết "vị trí" của malware chẳng qua là bước lấy mẫu để cập nhật rules cho software restriction mà thôi.
[Up] [Print Copy]
  [Question]   Một cách đơn giản để vô hiệu hoá chương trình độc hại 15/03/2007 02:24:29 (+0700) | #9 | 46658
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Có hai cái là Path rule và Hash Rule. Hồi mới học, thầy chỉ là tùy theo nhu cầu, sử dụng cái nào cũng có hiệu quả. Kiểu cấm của topic là hash, nói chung là có chạy đằng trời. Nếu vậy, phải có mẫu trước. Code:
Chịu khó sưu tầm mẫu về phòng thí nghiệm, càng nhiều càng tốt.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Một cách đơn giản để vô hiệu hoá chương trình độc hại 15/03/2007 03:23:34 (+0700) | #10 | 46666
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Loại hash rule này, tui nghỉ nó tốt cho mấy loại malware mà mình nhìn thấy nó được, ví dụ như autoit, worm/trojan thấy được file chính trên ổ cứng. Virus mà lây vào file, theo cách này tui nghỉ không hợp. Và vì là hash , cần phải lưu ý version của con malware , ngăn được version này, không ngăn được version khác của nó.
PS: Cách này còn dùng để ngăn người dùng sử dụng một phần mềm nào đó.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Một cách đơn giản để vô hiệu hoá chương trình độc hại 15/03/2007 05:45:53 (+0700) | #11 | 46697
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
Cách này chỉ có tác dụng đối với worms, trojans... không có tác dụng đối với virus, là những chương trình ký sinh và lây lan giữa các file exe, ... làm cho các file bị nhiễm gia tăng kích thước. CIH chẳng hạn, là virus ko thể áp dụng bằng cách này.

tmd nói đúng:
+ cập nhật hash của version nào thì chỉ có tác dụng với version đó.
+ ngăn ngừa người dùng sử dụng 1 pm nào đó.

Đây chỉ là 1 cách đơn giản để nhanh chóng vô hiệu hóa malware. Xét theo toàn cục, ko nên
thay thế chương trình antivirus đang sử dụng bằng chương trình này
.
[Up] [Print Copy]
  [Question]   Re: Một cách đơn giản để vô hiệu hoá chương trình độc hại 22/03/2007 11:26:03 (+0700) | #12 | 48504
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Hay wa' smilie) biết thêm cách này thi em kô còn sợ con virus nào nữa smilie)
chỉ còn sợ những con kô hiện ra ở task Manager thui smilie) mà em chưa gặp con nào như thía, mới chỉ nghe nói đến thui smilie)

Túm lại với phương pháp này thì việc kill một prosses cứng đầu kô còn là vấn đề khó nữa, phải kô các bác smilie)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|