Thứ Hai, 17 tháng 10, 2016

Dành cho ai muốn biết nơi Virus bắt đầu trên máy tính

Bài này tôi đọc trên trang này
bạn có thể thấy nơi đây liệt kê ra rất nhiều nơi ẩn náo của virus và malware để kích hoạt khi máy tính mở lên. Trước khi đọc bài này tôi cũng chỉ biết đến Startup thư mục của windows và sau đó nhiều hơn là msconfig còn bây giờ bạn sẽ thấy điều đó không còn là đúng đắn nữa, mặc dù phổ biến vẫn là vậy.
Với file bạn nến chú ý đến những file này
c:\windows\winstart.bat
c:\Autoexec.bat
c:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Đây là những file và thư mục cần chú ý để phát hiện ra xem có virus trong máy của bạn hay không. Với file bat bạn có thể mở với notepad để xem đường dẫn của file được chạy, còn với Startup bạn có thể tìm thấy ngay file chạy virus hoặc một shortcut dẫn đến file virus được lưu trữ.
Với Registry, những khóa sau đây cần chú ý.
Để mở registry bạn nhấn cùng lúc phím windows + R sau đó gõ regedit và enter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
với 2 khóa trên, chúng ta lưu ý đến key Startup bên phải, giá trị nó định địa chỉ thư mục startup, cho nến, nếu nó thay đổi, thì bạn cũng phải tìm đến đúng thư mục này để xác định xem có file chạy bất thường hay không.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders
Còn 2 khóa này thì bạn tìm đến Common startup để biết đường dẫn được kích hoạt file chạy cùng windows.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] 
những khóa trên đây quá quen thuộc với bạn, nó chính là những gì hiện ra trong hộp thoại msconfig, tất cả những key bên phải của những khóa này chính là chương trình được chạy khi windows khởi động.
[HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*" 
[HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*" 
nếu có lần tôi hướng dẫn bạn cách thêm lệnh menu chuột phải thì bạn cũng có thể hiểu chút vấn đề, đối với những kiểu file trên đây, khi nhấn đôi để chạy, đường dẫn của file sẽ vào %1, còn những phần khác được thêm tham số vào, nếu không may virus thay đổi thành "virus.exe %1 %*" thì đồng thời virus sẽ được chạy rồi đấy.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

đây là đường dẫn mặc định của Explorer.exe nếu nó được thay bằng 1 Explorer.exe khác, thì không còn gì tồi tệ hơn.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName] 
như trên trang web tác giả nói, đây là nơi hoàn hảo để đặt 1 chương trình virus có khả năng khởi động trước cả chương trình virus, có thể ngay cả gỡ bỏ, vô hiệu hóa nhiều thành phần khác của windows.
Cuối cùng là windows Scheduler, nghe có vẻ lạ nhưng cũng không loại trừ, một loại mã độc được hẹn giờ để thực thi, không khiến gì 1 người dùng có biết nó từ đâu đến. Bạn có thể dùng lệnh AT trong cmd.exe để kiểm tra có chương trình nào hẹn giờ hoạt động.
để mở CMD bạn cũng bấm cùng lúc phím windows + R, sau đó gõ cmd