Latest posts for the topic "Một cách đơn giản để vô hiệu hoá chương trình độc hại "

Một cách đơn giản để vô hiệu hoá chương trình độc hại

lQ — GMT

Mở đầu Dạo này có khá nhiều bạn bị nhiễm virus, trojan, worms... gọi chung là các chương trình độc hại (malware) yêu cầu được hướng dẫn cách diệt trừ. Sau 1 thời gian mày mò, lQ phát hiện ra 1 cách có thể nhanh chóng vô hiệu hóa các malware, đó là sử dụng Security Policy. Đối với máy không joined domain, cần cấu hình trên Domain Security Policy. Ngược lại, đối với máy ko joined domain thì cấu hình trên Local Security Policy. Để tìm thấy công cụ này, đ/v máy ko joined domain, các bạn vào Start => Control Panel => Administrative Tools => Local Security Policy. Yêu cầu - Người dùng cần sử dụng tài khoản thuộc nhóm Administrators để có permissions cập nhật trên Security Policy. - Người dùng buộc phải biết các malware có filename là gì và nằm tại vị trí nào. Trình tự thực hiện 1> Xác định filename và vị trí của malware Sử dụng chương trình Process Explorer của Sysinternals. Công cụ này tương tự Task Manager có sẵn của Windows. Chọn vào những process mà bạn biết chắc đó chính là malware, chọn menu Process => Properties để xác định vị trí (Path) của malware. Download tại: http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx 2> Cập nhật malware vào Software Restriction Policies của công cụ Security Policy Gồm 2 bước con. 2.1> Khởi tạo Nếu đây là lần đầu tiên bạn thao tác trên policy này thì bạn cần khởi tạo nó bằng cách: tìm đến mục Software Restriction Policies, chọn menu Action => New Software Restriction Policies (hoặc Create New Policies). 2.2> Thiết lập Security Level cho các malwares đã được xác định - Chọn vào mục Additional Rules của Software Restriction Policies, chọn menu Action => New Hash Rule. Một dialog sẽ hiện lên. - Tiếp tục nhấn vào Browse và tìm đến từng malware. - Sau khi đã chọn mailware, tại edit box tên là File Hash sẽ xuất hiện 1 chuỗi gồm 3 giá trị: giá trị hash của malware, kích thước malware và ID của thuật toán Hash. VD: 388b8fbc36a8558587afc90fb23a3b99:69120:32771. - Tiếp tục chọn Security Level = Disallowed để vô hiệu hoá khả năng thực thi của malware. - Nhập một số thông tin mô tả malware vào mục Description. - Nhấn OK. Lưu ý Security Policy là một công cụ khá lợi hại nhưng cũng ko kém phần nguy hiểm. Nếu như bạn chưa hiểu rõ về Software Restriction Policies thì ko nên nghịch những tính năng đi kèm theo nó, vì có thể vô tình bạn sẽ vô hiệu hoá cả những chương trình thiết yếu của Windows như explorer.exe, svchost.exe, lsass.exe... Tham khảo Windows XP Security Guide Chapter 6: Software Restriction Policy for Windows XP Clients http://www.microsoft.com/technet/security/prodtech/windowsxp/secwinxp/xpsgch06.mspx

Re: Một cách đơn giản để vô hiệu hoá chương trình độc hại

PHUCDOAN — GMT

xin hỏi, thật sự cái này có dùng được với 2000 server ko vậy bạn. mình rất đang cần những cái như thế này. Task trong win đôi khi không kill duoc may cai process chet tiet. Cám ơn về bài viết của bạn.

Một cách đơn giản để vô hiệu hoá chương trình độc hại

lQ — GMT

Hồi trước lQ viết bài này nhưng quên kiểm tra ở các phiên bản khác. Tính năng này chỉ có ở Windows XP trở lên. Đối với Windows 2000, bạn có thể sử dụng EXE lockdown http://www.softpedia.com/get/Security/Lockdown/Exe-Lockdown.shtml (freeware). Còn Win9X, NT chắc bỏ đi cho rồi 8)).

Một cách đơn giản để vô hiệu hoá chương trình độc hại

ga_cong_nghiep_h5n1 — GMT

IQ nè ! Bạn nói rằng chúng khóa dựa vào filename xin bạn cho biết ý kiến về một virus tên file ngẩu nhiên và lây vào thư mục ngẩu nhiên. Xin bạn chỉ giáo !!!

Một cách đơn giản để vô hiệu hoá chương trình độc hại

FaL — GMT

ga_cong_nghiep_h5n1 wrote:

IQ nè ! Bạn nói rằng chúng khóa dựa vào filename xin bạn cho biết ý kiến về một virus tên file ngẩu nhiên và lây vào thư mục ngẩu nhiên. Xin bạn chỉ giáo !!!

Chào ga_cong_nghiep_h5n1, ::: Bạn nên đọc kỹ bài viết một tí:

IQ wrote:

Yêu cầu - Người dùng cần sử dụng tài khoản thuộc nhóm Administrators để có permissions cập nhật trên Security Policy. - Người dùng buộc phải biết các malware có filename là gì và nằm tại vị trí nào.

Một cách đơn giản để vô hiệu hoá chương trình độc hại

tmd — GMT

MOd lại phải delete vài cái reply nữa. Nếu có chức năng lock topic, lock luôn đi.

Một cách đơn giản để vô hiệu hoá chương trình độc hại

SuperChicken — GMT

Haha, tên gà này quả thật gà hết biết, nếu virus mà tên file ngẫu nhiên thì lại càng tự tố cáo mình, lúc này chỉ việc kill nó rồi del nó đi (có thể vất vả chỗ kill, tốt hơn hết phải làm cách nào cho nó ko start lên đc thì ok hết :lol:) ), hết chuyện.

Một cách đơn giản để vô hiệu hoá chương trình độc hại

lQ — GMT

hehe mọi người chắc chưa hiểu nhiêù về cái này. Trong bước Thiết lập Security Level cho các malware, có 1 bước con đó là xác định hash MD5 cho malware đã định trước, đồng thời gán hành động cho giá trị này (unrestricted / disallowed). Bất kỳ 1 ứng dụng nào, khi được start, sẽ bị kiểm tra giá trị hash và đối chiếu với các rules để có hành động tương ứng. Vì vậy, nếu đã thực hiện bước trên, thì việc malware có đổi sang bất kỳ tên nào, nhưng vẫn thuộc danh sách designated file types và nằm bất kỳ vị trí nào cũng sẽ bị vô hiệu hóa như thường. Yêu cầu phải biết "vị trí" của malware chẳng qua là bước lấy mẫu để cập nhật rules cho software restriction mà thôi.

Một cách đơn giản để vô hiệu hoá chương trình độc hại

tmd — GMT

Có hai cái là Path rule và Hash Rule. Hồi mới học, thầy chỉ là tùy theo nhu cầu, sử dụng cái nào cũng có hiệu quả. Kiểu cấm của topic là hash, nói chung là có chạy đằng trời. Nếu vậy, phải có mẫu trước. Code:

Chịu khó sưu tầm mẫu về phòng thí nghiệm, càng nhiều càng tốt.

Một cách đơn giản để vô hiệu hoá chương trình độc hại

tmd — GMT

Loại hash rule này, tui nghỉ nó tốt cho mấy loại malware mà mình nhìn thấy nó được, ví dụ như autoit, worm/trojan thấy được file chính trên ổ cứng. Virus mà lây vào file, theo cách này tui nghỉ không hợp. Và vì là hash , cần phải lưu ý version của con malware , ngăn được version này, không ngăn được version khác của nó. PS: Cách này còn dùng để ngăn người dùng sử dụng một phần mềm nào đó.

Một cách đơn giản để vô hiệu hoá chương trình độc hại

lQ — GMT

Cách này chỉ có tác dụng đối với worms, trojans... không có tác dụng đối với virus, là những chương trình ký sinh và lây lan giữa các file exe, ... làm cho các file bị nhiễm gia tăng kích thước. CIH chẳng hạn, là virus ko thể áp dụng bằng cách này. tmd nói đúng: + cập nhật hash của version nào thì chỉ có tác dụng với version đó. + ngăn ngừa người dùng sử dụng 1 pm nào đó. Đây chỉ là 1 cách đơn giản để nhanh chóng vô hiệu hóa malware. Xét theo toàn cục, ko nên thay thế chương trình antivirus đang sử dụng bằng chương trình này.

Re: Một cách đơn giản để vô hiệu hoá chương trình độc hại

Ghost Ship — GMT

Hay wa' :P) biết thêm cách này thi em kô còn sợ con virus nào nữa :P) chỉ còn sợ những con kô hiện ra ở task Manager thui :P) mà em chưa gặp con nào như thía, mới chỉ nghe nói đến thui :P) Túm lại với phương pháp này thì việc kill một prosses cứng đầu kô còn là vấn đề khó nữa, phải kô các bác :P)