Bảo mật máy tính - Phần mềm độc hại
Trong chương trước, chúng tôi đã xử lý phần mềm chống vi-rút giúp chúng tôi bảo vệ hệ thống của mình nhưng trong chương này chúng tôi sẽ xử lý phần mềm độc hại, cách phát hiện chúng theo cách thủ công, dạng của chúng là gì, phần mở rộng tệp của chúng là gì, dấu hiệu của một máy tính bị nhiễm virus, v.v. quan trọng cần được điều trị bởi vì tỷ lệ lây nhiễm của các doanh nghiệp và máy tính cá nhân ngày nay quá cao.
Chúng là các chương trình tự sao chép mã của chính chúng bằng cách tự gắn chúng vào các mã thực thi khác. Chúng hoạt động mà không có sự cho phép hoặc kiến thức của người dùng máy tính. Virus hoặc phần mềm độc hại giống như trong đời thực, trong máy tính, chúng lây nhiễm sang các tệp lành mạnh khác.
Tuy nhiên, chúng ta nên nhớ rằng vi rút chỉ lây nhiễm từ bên ngoài máy tính khi có sự hỗ trợ của người dùng máy tính. Điều này có thể xảy ra bằng cách nhấp vào tệp được đính kèm với email từ một người không xác định, cắm USB mà không quét, mở các URL không an toàn vì lý do đó. Chúng tôi với tư cách là quản trị viên hệ thống phải xóa quyền quản trị viên của người dùng trong các máy tính này. Chúng tôi phân loại phần mềm độc hại theo ba loại -
- Trojan và Rootkit
- Viruses
- Worms
Đặc điểm của Virus
Sau đây là một số đặc điểm của bất kỳ loại virus nào lây nhiễm vào máy tính của chúng tôi.
Chúng cư trú trong bộ nhớ của máy tính và tự kích hoạt trong khi chương trình được đính kèm bắt đầu chạy.
For example - Nhìn chung, họ tự gắn mình vào explorer.exe trong hệ điều hành windows bởi vì nó là tiến trình luôn chạy, vì vậy bạn nên thận trọng khi tiến trình này bắt đầu ngốn quá nhiều dung lượng máy tính của bạn.
Chúng tự sửa đổi sau giai đoạn lây nhiễm như mã nguồn, tiện ích mở rộng, tệp mới, v.v. do đó, phần mềm chống vi-rút sẽ khó phát hiện ra chúng hơn.
Họ luôn cố gắng ẩn mình trong hệ điều hành theo những cách sau:
Tự mã hóa thành các ký hiệu khó hiểu và chúng tự giải mã khi sao chép hoặc thực thi.
For example - Bạn có thể xem điều này trong hình ảnh sau để hiểu rõ hơn vì trong máy tính của tôi tôi đã tìm thấy tệp này.
Sau khi tìm thấy tệp này, tôi đã mở nó bằng trình soạn thảo văn bản và tôi nghĩ rằng văn bản không thể hiểu được như trong ảnh chụp màn hình sau.
Sau khi tìm thấy điều này, tôi đã thử nó trên bộ giải mã base64 và tôi thấy rằng đó là một tệp Virus.
Vi rút này có thể gây ra những điều sau đây cho máy tính của bạn -
Nó có thể xóa dữ liệu quan trọng khỏi máy tính của bạn để có được không gian cho các quy trình của chúng.
Nó có thể tránh bị phát hiện bằng cách chuyển hướng dữ liệu đĩa.
Nó có thể thực hiện các nhiệm vụ bằng cách kích hoạt một sự kiện với chính nó. Ví dụ: điều này xảy ra khi trong một máy tính bị nhiễm các bảng bật lên, v.v., tự động hiển thị trên màn hình.
Chúng phổ biến trong Windows và Mac OS vì các hệ điều hành này không có nhiều quyền đối với tệp và bị dàn trải hơn.
Quy trình làm việc của phần mềm độc hại và cách làm sạch nó
Phần mềm độc hại tự gắn vào các chương trình và truyền đến các chương trình khác bằng cách sử dụng một số sự kiện, chúng cần những sự kiện này xảy ra vì chúng không thể -
- Bắt đầu bởi chính họ
- Tự truyền bằng cách sử dụng các tệp không thực thi
- Lây nhiễm các mạng hoặc máy tính khác
Từ những kết luận trên, chúng ta nên biết rằng khi một số quy trình hoặc dịch vụ bất thường được chạy bởi chính chúng, chúng ta nên điều tra thêm mối quan hệ của chúng với một loại vi-rút có thể có. Quá trình điều tra như sau:
Để điều tra các quy trình này, hãy bắt đầu bằng việc sử dụng các công cụ sau:
- fport.exe
- pslist.exe
- handle.exe
- netstat.exe
Các Listdll.exe hiển thị tất cả dll files được sử dụng, trong khi netstat.exe với các biến của nó hiển thị tất cả các quy trình đang được chạy với các cổng tương ứng của chúng.
Bạn có thể xem ví dụ sau về cách tôi lập bản đồ quy trình chống vi-rút Kaspersky mà tôi đã sử dụng cùng với lệnh netstat-ano để xem số quy trình và trình quản lý tác vụ để xem quy trình nào thuộc số này.
Sau đó, chúng ta nên tìm kiếm bất kỳ modified, replaced or deleted files và shared librariescũng nên được kiểm tra. Chúng thường lây nhiễm các tệp chương trình thực thi có phần mở rộng như.EXE, .DRV, .SYS, .COM, .BIN. Phần mềm độc hại thay đổi phần mở rộng của tệp chính hãng, ví dụ: File.TXT thành File.TXT.VBS.
Nếu bạn là quản trị viên hệ thống của một máy chủ web, thì bạn nên biết về một dạng phần mềm độc hại khác được gọi là webshell. Nó thường ở dạng mở rộng .php nhưng có tên tệp lạ và ở dạng mã hóa. Bạn nên xóa chúng trong trường hợp bạn phát hiện ra chúng.
Sau khi thực hiện xong, chúng ta nên cập nhật chương trình diệt virus và quét lại máy tính một lần nữa.
Phát hiện lỗi máy tính do nhiễm vi-rút
Trong phần này, chúng tôi sẽ xem xét cách phát hiện lỗi máy tính hoặc hệ điều hành do vi-rút vì đôi khi mọi người và quản trị viên hệ thống kết hợp các triệu chứng.
Các sự kiện sau rất có thể không phải do phần mềm độc hại gây ra -
- Lỗi khi hệ thống đang khởi động trong giai đoạn bios, như hiển thị ô pin của Bios, hiển thị lỗi hẹn giờ.
- Lỗi phần cứng, như tiếng bíp ghi RAM, ổ cứng, v.v.
- Nếu một tài liệu không thể khởi động bình thường giống như một tệp bị hỏng, nhưng các tệp khác có thể được mở tương ứng.
- Bàn phím hoặc chuột không trả lời lệnh của bạn, bạn phải kiểm tra các trình cắm thêm.
- Màn hình bật và tắt quá thường xuyên, như nhấp nháy hoặc rung, đây là lỗi phần cứng.
Mặt khác, nếu bạn có các dấu hiệu sau trong hệ thống của mình, bạn nên kiểm tra phần mềm độc hại.
Máy tính của bạn hiển thị cửa sổ bật lên hoặc bảng lỗi.
Thường xuyên đóng băng.
Nó chậm lại khi một chương trình hoặc quá trình bắt đầu.
Các bên thứ ba phàn nàn rằng họ đang nhận được lời mời trên mạng xã hội hoặc qua email của bạn.
Các thay đổi về tiện ích mở rộng tệp xuất hiện hoặc tệp được thêm vào hệ thống của bạn mà không có sự đồng ý của bạn.
Internet Explorer bị đóng băng quá thường xuyên mặc dù tốc độ internet của bạn rất tốt.
Đĩa cứng của bạn được truy cập hầu hết thời gian như bạn có thể nhìn thấy từ đèn LED trên vỏ máy tính.
Tệp hệ điều hành bị hỏng hoặc bị thiếu.
Nếu máy tính của bạn đang ngốn quá nhiều băng thông hoặc tài nguyên mạng thì đây là trường hợp của sâu máy tính.
Dung lượng ổ cứng luôn bị chiếm, ngay cả khi bạn không thực hiện bất kỳ hành động nào, chẳng hạn như cài đặt một chương trình mới.
Kích thước tệp và chương trình thay đổi so với phiên bản gốc của nó.
Some Practical Recommendations to Avoid Viruses -
- Không mở bất kỳ tệp đính kèm email nào đến từ những người không xác định hoặc từ những người đã biết có chứa văn bản đáng ngờ.
- Đừng chấp nhận lời mời từ những người không quen biết trên mạng xã hội.
- Không mở URL được gửi bởi những người không xác định hoặc những người đã biết có bất kỳ hình thức kỳ lạ nào.
Thông tin về virus
Nếu bạn đã tìm thấy vi-rút nhưng bạn muốn điều tra thêm về chức năng của nó. Tôi khuyên bạn nên xem các cơ sở dữ liệu vi rút này, thường được cung cấp bởi các nhà cung cấp chống vi rút.
Kaspersky Virus Database - (http://www.kaspersky.com/viruswatchlite?hour_offset=-1)
F-Secure - (https://www.f-secure.com/en/web/labs_global/threat-descriptions)
Symantec – Virus Encyclopedia - (https://www.symantec.com/security_response/landing/azlisting.jsp)