Bài này tôi đọc trên trang này
bạn có thể thấy nơi đây liệt kê ra rất nhiều nơi ẩn náo của
virus và malware để kích hoạt khi máy tính mở lên. Trước khi đọc bài này tôi
cũng chỉ biết đến Startup thư mục của windows và sau đó nhiều hơn là msconfig
còn bây giờ bạn sẽ thấy điều đó không còn là đúng đắn nữa, mặc dù phổ biến vẫn
là vậy.
Với file bạn nến chú ý đến những file này
c:\windows\winstart.bat
c:\Autoexec.bat
c:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\Startup
Đây là những file và thư mục cần chú ý để phát hiện ra xem
có virus trong máy của bạn hay không. Với file bat bạn có thể mở với notepad để
xem đường dẫn của file được chạy, còn với Startup bạn có thể tìm thấy ngay file
chạy virus hoặc một shortcut dẫn đến file virus được lưu trữ.
Với Registry, những khóa sau đây cần chú ý.
Để mở registry bạn nhấn cùng lúc phím windows + R sau
đó gõ regedit và enter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User
Shell Folders
với 2 khóa trên, chúng ta lưu ý đến key Startup bên phải,
giá trị nó định địa chỉ thư mục startup, cho nến, nếu nó thay đổi, thì bạn cũng
phải tìm đến đúng thư mục này để xác định xem có file chạy bất thường hay
không.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\User
Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Shell
Folders
Còn 2 khóa này thì bạn tìm đến Common startup để biết đường
dẫn được kích hoạt file chạy cùng windows.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
những khóa trên đây quá quen thuộc với bạn, nó chính là những
gì hiện ra trong hộp thoại msconfig, tất cả những key bên phải của những khóa
này chính là chương trình được chạy khi windows khởi động.
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*"
nếu có lần tôi hướng dẫn bạn cách thêm lệnh menu chuột phải
thì bạn cũng có thể hiểu chút vấn đề, đối với những kiểu file trên đây, khi nhấn
đôi để chạy, đường dẫn của file sẽ vào %1, còn những phần khác được thêm tham số
vào, nếu không may virus thay đổi thành "virus.exe %1 %*" thì đồng thời
virus sẽ được chạy rồi đấy.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell
đây là đường dẫn mặc định của Explorer.exe nếu nó được thay
bằng 1 Explorer.exe khác, thì không còn gì tồi tệ hơn.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Active
Setup\Installed Components\KeyName]
như trên trang web tác giả nói, đây là nơi hoàn hảo để đặt 1
chương trình virus có khả năng khởi động trước cả chương trình virus, có thể
ngay cả gỡ bỏ, vô hiệu hóa nhiều thành phần khác của windows.
Cuối cùng là windows Scheduler, nghe có vẻ lạ nhưng cũng
không loại trừ, một loại mã độc được hẹn giờ để thực thi, không khiến gì 1 người
dùng có biết nó từ đâu đến. Bạn có thể dùng lệnh AT trong cmd.exe để kiểm tra
có chương trình nào hẹn giờ hoạt động.
để mở CMD bạn cũng bấm cùng lúc phím windows + R, sau đó gõ cmd
Không có nhận xét nào:
Đăng nhận xét