Search
Latest topics
Affiliates
Cách phòng chống Trojan hữu hiệu
Page 1 of 1
Cách phòng chống Trojan hữu hiệu
Admin Mon Jun 13, 2011 4:04 am
Trong một thời gian dài trên Internet có thể máy bạn sẽ bị “dính” Trojan mà bạn không hề hay biết – một điều vô cùng nguy hiểm, mà bạn lại chẳng muốn thế tí nào. Để đề phòng bạn phải kiểm tra PC của bạn có nhiểm trojan hay không một cách thường xuyên.
Bạn có thể làm điều này bằng các chương trình Anti Virus và Anti Trojan ( Chẳng hạn như TFAK, AVP, TDS...) như kết quả hầu như luôn luôn bằng 0, vì các chương trình ấy không bao giờ tìm được bất cứ con trojan nào ( ngay cả 1 số chương trình được cập nhật hàng ngày). Tôi sẽ chỉ cho các bạn cách check PC của bạn.
+ Làm sao tôi có thể biết PC của tôi đã bị nhiễm Trojan ?
Đầu tiên, các bạn phải check các cổng (port) của bạn. Điều này có thể thực hiện bởi một số chương trình như : Portcheck, Portscanning... hoặc bằng chương trình Netstat trong MS-Dos của Windows.
Các bạn mở MS-Dos Commandline ( trước đó các bạn phải offline caí đã) và đánh vào lệnh : netstat-a
Kế đó các bạn sẽ thấy một vài thứ tương tự như sau :
Active Connections
Proto Local Address Foreign Address State
TCP _:31337 0.0.0.0:45178 LISTENING
UDP _:31337 *:*
Hãy nhìn xem, kia là một chương trình được “nghe” thấy ở cổng 31337 một chương trình dành cho TCP-Connection. Đó là cách chạy đặc thù của các con trojan, chúng đợi một acttacker kết nối với chúng và gửi cho chúng các lệnh… Một người giàu kinh nghiệm có thể nhận biết các cổng mà trojan sử dụng. ( trong trường hợp trên 31337 = Backdoor Office)
Đối với những người chưa có kinh nghiệm, họ sẽ sử dụng những chương trình quét virus. Nhưng sẽ rất khó để tìm được sự tồn tại của trojan.
Sau đó bạn cần kiểm tra những chương trình đang chạy ( nhưng không phải với Windows Taskmanager – Alt + Ctrl + Del) bởi vì nó có thể tự che giấu mình khi kiểm tra bằng Windows Taskmanager. Tốt hơn là các bạn nên sử dụng một Taskmanager khác để thay thế, chẳng hạn như CCTASK. Các bạn nên khởi động lại máy (reboot) trước khi kiểm tra, vì chúng ta muốn nhìn thấy các chương trình được chạy khi Windows khởi động. Nếu bạn phát hiện ra một thứ gì đó đáng nghi, hãy save file đó ở một nơi đặc biệt và xóa nó đi.
Một vài khả năng khác ta có thể tìm thấy các con trojan kiểm soát các file system để nó có thể tự động chạy khi Windows khởi động.
Trong các file:
Autoexec.bat : file này kiểm soát các lệnh ‘del’ và ‘format’ và các lệnh trong Dos…, giúp cho các file có thể tự chạy khi khởi động Windows. (MS-Dos file)
Win.ini : file kiểm soát các lệnh như : ‘load=’ và ‘run=’ câu lệnh này sẽ giúp bạn chạy các file mà bạn cho đường dẫn đến.
System.ini :file này cho phép sử dụnh lệnh ‘shell=’ để gọi một chương trình khi khởi động PC.
Registry : có một vài khả năng để khởi động một file với sự trợ giúp cua Registry. Bạn có thể kiểm tra các chương trình bạn muốn bằng ‘Registry.exe’:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
Nhưng ở đây lại có 3 mục khác:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
Trong các key này nếu thế vào bằng các đường dẫn đúng thì khi khởi động máy, các file ấy sẽ được chạy. Bạn phải thay đổi các thiết lập này để các con trojan không thể chạy được.
Chú ý, khi bạn thay đổi các thiết lập này, nếu bạn mắc bất cứ lỗi nào thì sau này bạn sẽ không thể khởi động được file đó.
Các mục mặc định thường là: "%1" %*
Một vài biểu hiện để phát hiện ra Trojan:
+ Biểu hiện khác lạ của PC.
+Messageboxes với những nội dung kì quặc, đáng nghi.
+Xoá file.
+PC chạy chậm hơn.
+Làm sao để remove Trojan ?
Khi đã biết máy mình bị nhiễm trojan các bạn có thể làm theo các bước sau để remove nó:
1/ Kill chương trình với Taskmanager (rất quan trọng vì một số chương trình có khả năng tự khôi phục chức năng Auto Start).
2/Xóa bỏ chức năng Auto Start.
3/Save file ở một nơi khác và xoá nó đi.
4/Khởi dộng lại máy và check máy lại xem có Trojan không.
5/Nếu có lỗi, khôi phục lại file và khởi động lại máy.
6/Gửi con Trojan tới :
7/Thay đổi Password của bạn.
8/Nếu may mắn, TFAK sẽ sớm tìm ra con trojan này.
Nếu các bạn làm đúng theo các chỉ dẩn này thì các bạn sẽ phát hiện và remove được 99% tất cả các con trojan
Bạn có thể làm điều này bằng các chương trình Anti Virus và Anti Trojan ( Chẳng hạn như TFAK, AVP, TDS...) như kết quả hầu như luôn luôn bằng 0, vì các chương trình ấy không bao giờ tìm được bất cứ con trojan nào ( ngay cả 1 số chương trình được cập nhật hàng ngày). Tôi sẽ chỉ cho các bạn cách check PC của bạn.
+ Làm sao tôi có thể biết PC của tôi đã bị nhiễm Trojan ?
Đầu tiên, các bạn phải check các cổng (port) của bạn. Điều này có thể thực hiện bởi một số chương trình như : Portcheck, Portscanning... hoặc bằng chương trình Netstat trong MS-Dos của Windows.
Các bạn mở MS-Dos Commandline ( trước đó các bạn phải offline caí đã) và đánh vào lệnh : netstat-a
Kế đó các bạn sẽ thấy một vài thứ tương tự như sau :
Active Connections
Proto Local Address Foreign Address State
TCP _:31337 0.0.0.0:45178 LISTENING
UDP _:31337 *:*
Hãy nhìn xem, kia là một chương trình được “nghe” thấy ở cổng 31337 một chương trình dành cho TCP-Connection. Đó là cách chạy đặc thù của các con trojan, chúng đợi một acttacker kết nối với chúng và gửi cho chúng các lệnh… Một người giàu kinh nghiệm có thể nhận biết các cổng mà trojan sử dụng. ( trong trường hợp trên 31337 = Backdoor Office)
Đối với những người chưa có kinh nghiệm, họ sẽ sử dụng những chương trình quét virus. Nhưng sẽ rất khó để tìm được sự tồn tại của trojan.
Sau đó bạn cần kiểm tra những chương trình đang chạy ( nhưng không phải với Windows Taskmanager – Alt + Ctrl + Del) bởi vì nó có thể tự che giấu mình khi kiểm tra bằng Windows Taskmanager. Tốt hơn là các bạn nên sử dụng một Taskmanager khác để thay thế, chẳng hạn như CCTASK. Các bạn nên khởi động lại máy (reboot) trước khi kiểm tra, vì chúng ta muốn nhìn thấy các chương trình được chạy khi Windows khởi động. Nếu bạn phát hiện ra một thứ gì đó đáng nghi, hãy save file đó ở một nơi đặc biệt và xóa nó đi.
Một vài khả năng khác ta có thể tìm thấy các con trojan kiểm soát các file system để nó có thể tự động chạy khi Windows khởi động.
Trong các file:
Autoexec.bat : file này kiểm soát các lệnh ‘del’ và ‘format’ và các lệnh trong Dos…, giúp cho các file có thể tự chạy khi khởi động Windows. (MS-Dos file)
Win.ini : file kiểm soát các lệnh như : ‘load=’ và ‘run=’ câu lệnh này sẽ giúp bạn chạy các file mà bạn cho đường dẫn đến.
System.ini :file này cho phép sử dụnh lệnh ‘shell=’ để gọi một chương trình khi khởi động PC.
Registry : có một vài khả năng để khởi động một file với sự trợ giúp cua Registry. Bạn có thể kiểm tra các chương trình bạn muốn bằng ‘Registry.exe’:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
Nhưng ở đây lại có 3 mục khác:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
Trong các key này nếu thế vào bằng các đường dẫn đúng thì khi khởi động máy, các file ấy sẽ được chạy. Bạn phải thay đổi các thiết lập này để các con trojan không thể chạy được.
Chú ý, khi bạn thay đổi các thiết lập này, nếu bạn mắc bất cứ lỗi nào thì sau này bạn sẽ không thể khởi động được file đó.
Các mục mặc định thường là: "%1" %*
Một vài biểu hiện để phát hiện ra Trojan:
+ Biểu hiện khác lạ của PC.
+Messageboxes với những nội dung kì quặc, đáng nghi.
+Xoá file.
+PC chạy chậm hơn.
+Làm sao để remove Trojan ?
Khi đã biết máy mình bị nhiễm trojan các bạn có thể làm theo các bước sau để remove nó:
1/ Kill chương trình với Taskmanager (rất quan trọng vì một số chương trình có khả năng tự khôi phục chức năng Auto Start).
2/Xóa bỏ chức năng Auto Start.
3/Save file ở một nơi khác và xoá nó đi.
4/Khởi dộng lại máy và check máy lại xem có Trojan không.
5/Nếu có lỗi, khôi phục lại file và khởi động lại máy.
6/Gửi con Trojan tới :
7/Thay đổi Password của bạn.
8/Nếu may mắn, TFAK sẽ sớm tìm ra con trojan này.
Nếu các bạn làm đúng theo các chỉ dẩn này thì các bạn sẽ phát hiện và remove được 99% tất cả các con trojan
Admin- Admin
- Tổng số bài gửi : 782
Join date : 2009-08-15 -
Similar topics» Cách phòng chống Trojan hữu hiệu
» Cách chống BombMail hiệu quả
» Tìm hiểu Trojan từ A đến Z
» Cách lấy pass yahoo và cách chống!
» Cách dính trojan vào mail và web
» Cách chống BombMail hiệu quả
» Tìm hiểu Trojan từ A đến Z
» Cách lấy pass yahoo và cách chống!
» Cách dính trojan vào mail và web
Page 1 of 1
Permissions in this forum:
You cannot reply to topics in this forum
» Tuyệt kỹ cua giai
» NETCAT.........
» Bảo mật CSDL bằng phương pháp mã hóa.
» Hàm mã hóa MD5 bằng JavaScript
» Giá của món quà
» Sẽ chỉ yêu ai?
» Cách đọc bảng chữ cái!
» Gắn trojan, keylog, virus vào website, forum