Header Ads Widget

Ticker

6/recent/ticker-posts

Tìm nơi ẩn náu của Virus trên máy tính

Trong quá sử dụng máy tính, chắc hẳn nhiều lần bạn gặp phải rất nhiều các loại virus hay malware. Nhưng có bao giờ bạn thử đi tìm nơi ẩn náu của chúng chưa?

Trong bài viết này chúng ta thử đi tìm địa chỉ của chúng nhé !

Khi máy tính mở lên, bạn có thể thấy rất nhiều nơi ẩn náu của virus và malware .Ví dụ như trong Startup thư mục của windows và sau đó nhiều hơn là msconfig, tuy nhiên các loại virus chúng ẩn nấp rất tinh vi ở khắp nơi trong ổ cứng của bạn. 

Những nơi có thể chứa Virus

Với file bạn nên chú ý đến những file này
c:\windows\winstart.bat
c:\Autoexec.bat
c:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 

Đây là những file và thư mục cần chú ý để phát hiện ra xem có virus trong máy của bạn hay không. Với file bat bạn có thể mở với notepad để xem đường dẫn của file được chạy, còn với Startup bạn có thể tìm thấy ngay file chạy virus hoặc một shortcut dẫn đến file virus được lưu trữ.

Lưu ý với Registry

Để mở registry bạn nhấn cùng lúc phím windows + R sau đó gõ regedit và enter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Với 2 khóa trên, chúng ta lưu ý đến key Startup bên phải, giá trị nó định địa chỉ thư mục startup, cho nên, nếu nó thay đổi, thì bạn cũng phải tìm đến đúng thư mục này để xác định xem có file chạy bất thường hay không.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders 
Còn 2 khóa này thì bạn tìm đến Common startup để biết đường dẫn được kích hoạt file chạy cùng windows.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunService]
 Những khóa trên đây quá quen thuộc với bạn, nó chính là những gì hiện ra trong hộp thoại msconfig, tất cả những key bên phải của những khóa này chính là chương trình được chạy khi windows khởi động.

[HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*"

nếu có lần tôi hướng dẫn bạn cách thêm lệnh menu chuột phải thì bạn cũng có thể hiểu chút vấn đề, đối với những kiểu file trên đây, khi nhấn đôi để chạy, đường dẫn của file sẽ vào %1, còn những phần khác được thêm tham số vào, nếu không may virus thay đổi thành "virus.exe %1 %*" thì đồng thời virus sẽ được chạy rồi đấy.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Đường dẫn mặc định của Explorer.exe bị thay đổi

Đây là đường dẫn mặc định của Explorer.exe nếu nó được thay bằng 1 Explorer.exe khác, thì không còn gì tồi tệ hơn.


[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName]

Như trên trang web tác giả nói, đây là nơi hoàn hảo để đặt 1 chương trình virus có khả năng khởi động trước cả chương trình virus, có thể ngay cả gỡ bỏ, vô hiệu hóa nhiều thành phần khác của windows.

Cuối cùng là windows Scheduler, nghe có vẻ lạ nhưng cũng không loại trừ, một loại mã độc được hẹn giờ để thực thi, không khiến gì 1 người dùng có biết nó từ đâu đến. Bạn có thể dùng lệnh AT trong cmd.exe để kiểm tra có chương trình nào hẹn giờ hoạt động.
Để mở CMD bạn cũng bấm cùng lúc phím windows + R, sau đó gõ cmd
Tham khảo từ trang www.symantec.com

Đăng nhận xét