Chuẩn bị diệt phần mềm độc hại
Các malware đính bản thân vào các chương trình và truyền đến những chương trình khác bằng cách sử dụng một vài sự kiện, thao tác. Nó cần những sự kiện xảy ra vì nó không thể tự khởi động hoặc tự truyền bản thân đi nếu đính vào các tập tin không thể thực thi.
Để chuẩn bị cho giai đoạn diệt, đầu tiên chúng ta nên hiểu về các tiến trình máy tính, thứ mà được các phần mềm độc hại đang sử dụng để tiêu diệt nó. Cổng giao tiếp nào được chúng sử dụng để chặn chúng? Các tập tin nào có liên quan đến các phần mềm độc hại, chúng ta thể sửa chữa hoặc xoá chúng hay không? Tất cả những điều này đều có những công cụ hữu ích sẽ giúp chúng ta thu thập những thông tin này.
Để chuẩn bị cho giai đoạn diệt, đầu tiên chúng ta nên hiểu về các tiến trình máy tính, thứ mà được các phần mềm độc hại đang sử dụng để tiêu diệt nó. Cổng giao tiếp nào được chúng sử dụng để chặn chúng? Các tập tin nào có liên quan đến các phần mềm độc hại, chúng ta thể sửa chữa hoặc xoá chúng hay không? Tất cả những điều này đều có những công cụ hữu ích sẽ giúp chúng ta thu thập những thông tin này.
Quá trình điều tra
Từ những kết luận được gợi ý ở trên, chúng ta nên biết rằng có một vài tiến trình hoặc dịch vụ bất thường tự chạy, chúng ta nên điều tra thêm mối quan hệ của chúng với những loại virus có khả năng.
Để điều tra các tiến trình, chúng ta nên bắt đầu với những công cụ sau đây:
- fport.exe
- pslist.exe
- handle.exe
- netstat.exe
Công cụ listdll.exe hiển thị những tập tin DLL (Thư viện liên kết động) đang được sử dụng. Công cụ netstat.exe với các biến của nó hiển thị tất cả những tiến trình được chạy với những cổng tương ứng.
Ví dụ sau đây thấy rằng một thế nào để ánh xạ các tiến trình của Kaspersky Antivirus bằng câu lệnh netstat -ano để xem số tiến trình.
Để kiếm tra số tiến trình của mỗi tác vụ, chúng ta có thể xem trên Task Manager.
Đối với listdll.exe, chúng ta có thể tải về từ trang công nghệ của Microsoft, và chúng ta có thể chạy nó để kiếm tra những tiến trình nào được kết nối với các tập tin DLL được sử dụng
Một công cụ khác cũng khá hữu ích để giám sát các dịch vụ và lượng tài nguyên mà tiến trình chiếm dụng được gọi là "Process Explorer".
Bình luận