Tìm kiếm malware trên máy tính Windows bằng dòng lệnh

Hy vọng rằng tiêu đề của bài viết không làm cho các bạn sợ. Sở dĩ có chúng tôi cần nói điều này là vì có rất nhiều người muốn lánh xa tiện ích dòng lệnh của Windows và có thiện cảm hơn với các giao diện đồ họa người dùng phức hợp. Tuy nhiên khi nói đến việc nghiên cứu tỉ mỉ sự tiêm nhiễm của malware, các công cụ dòng lệnh lại có rất nhiều lợi ích, trong khi đó các công cụ dựa trên GUI không phải lúc nào cũng luôn luôn thực hiện được việc...
Nội dung trích xuất từ tài liệu:
Tìm kiếm malware trên máy tính Windows bằng dòng lệnhTìm kiếm malware trênmáy tính Windows bằng dòng lệnhQuản trị mạng – Hy vọng rằng tiêu đề của bài viết không làmcho các bạn sợ. Sở dĩ có chúng tôi cần nói điều này là vì có rấtnhiều người muốn lánh xa tiện ích dòng lệnh của Windows vàcó thiện cảm hơn với các giao diện đồ họa người dùng phứchợp. Tuy nhiên khi nói đến việc nghiên cứu tỉ mỉ sự tiêm nhiễmcủa malware, các công cụ dòng lệnh lại có rất nhiều lợi ích,trong khi đó các công cụ dựa trên GUI không phải lúc nàocũng luôn luôn thực hiện được việc này.Đầu tiên, hãy khởi chạy nhắc lệnh. Vào Start --> Run vàđánh cmd.exe. Việc gõ thêm cả đuôi .exe ở cuối mục rất quantrọng; đây là cách làm an toàn trong việc triệu gọi nhắc lệnh. Đểđánh lừa một số người dùng, một số chương trình mã độc có thể cốấy tên cmd.com và trong trường hợp như vậy, malware sẽ đượckhởi chạy nếu bạn chỉ đánh vào lệnh cmd.netstatTiếp đến, khi nhắc lệnh xuất hiện, chạy lệnh netstat. Lệnh netstat–na có thể cung cấp danh sách các cổng TCP và UDP trên máytính. Thêm ‘o’ vào lệnh trên bạn có thể biết được process ID củamỗi quá trình đang sử dụng một cổng. Bắt đầu từ XP SP2, thêm ‘b’bạn sẽ thấy tên file EXE đang sử dụng trên mỗi cổng, cùng với đólà các thư viện liên kết động (DLL) mà nó load để truyền thông vớimạng. Tuy nhiên cần lưu ý rằng hành động thêm ‘b’ sẽ ngốn đi củahệ thống rất nhiều tài nguyên CPU.Tuy nhiên hãy kiên trì. Giả dụ rằng bạn muốn quan sát việc sửdụng một cổng nào đó và xem cách chúng thay đổi thế nào theothời gian. Hãy bổ sung thêm một dấu cách và sau đó một số nguyênvào lệnh netstat đó, lúc này nó sẽ có dạng netstat –nao 1, lệnhtrên sẽ được chạy với tần suất tương đương với số nguyên đượccho, trong trường hợp này tần suất là 1s. Hiển thị sẽ liên tục đượcxổ trên màn hình, bạn có thể xem thể hiện trong hình bên dưới.Rõ ràng, để xác định malware đang sử dụng các cổng TCP vàUDP, bạn cần biết được hoạt động thông thường của một cổng. Đểnghiên cứu các cổng có tác dụng như thế nào với máy tính, bạn cóthể tìm kiếm và nghiên cứu các cổng trên Google. Microsoft cũngcó một danh sách các cổng nói chung được sử dụng cho cả máykhách và máy chủ Windows mà bạn có thể tham khảo tại đây.Ngoài ra bạn cũng có thể tìm kiếm thêm các cổng có liên quan vớicả Microsoft và các ứng dụng của các hãng thứ ba,…Nếu phát hiện thấy sự dị thường xuất hiện trên các cổng TCP hoặcUDP, bạn có thể thực hiện tìm kiếm trên Google. Sử dụng site:và dẫn sau là một công ty antivirus như Symantec, Sophos hoặcMcAfee. Các site này có thể sẽ có một bài phê bình về malware sửdụng cổng đó. Đây là một ví dụ về truy vấn tìm kiếm hữu dụngnày:site:symantec.com tcp port 4444.regMột bài phê bình của một hãng antivirus có thể giúp bạn có thêmkiến thức bên trong các registry key mà malware có thể đã sửa đổi.Để truy vấn registry key bằng dòng lệnh, hãy sử dụng lệnh reg.Cho dù một trang antivirus không cung cấp các registry key đểphục vụ mục đích tìm kiếm thì bạn có thể nghiên cứu các registrykey chung nhất bị sửa đổi bởi malware: các key có liên quan đếnstartup của hệ thống và đăng nhập của người dùng. Được biết đếnnhư run registry key, lệnh reg có thể giúp hiển thị các giá trị củachúng tại cửa sổ dòng lệnh. Tuy nhiên lưu ý rằng, rất nhiều phầnmềm hợp lệ cũng tự kích hoạt bằng cách sử dụng các key này. Saukhi chạy lệnh, bạn sẽ thấy các mục bên dưới các registry key này.Tiếp đến, thực hiện một vài tìm kiếm trên Google cho những gìđược hiển thị để giúp bạn loại ra đâu là các thiết lập hợp lệ và đâulà malware.C:> reg queryHKLMSoftwareMicrosoftWindowsCurrentVersionRunC:> reg queryHKLMSoftwareMicrosoftWindowsCurrentVersionRunonceC:> reg queryHKLMSoftwareMicrosoftWindowsCurrentVersionRunonceChúng tôi khuyên các bạn chạy các lệnh với một lượng thời giantương đối, thay thế HKLM bằng HKCU. Sự thay thế nào sẽ tìmcác auto-start registry key có liên quan đến người dùng, thay vìchỉ các thiết lập toàn bộ hệ thống bằng HKLM.dirBạn cũng nên kiểm tra thư mục autostart để tìm các chương trìnhkhông mong muốn bắt đầu từ đây. Chạy lệnhdir, sử dụng /A đểhiển thị các file có hoặc không có tập các thuộc tính, cũng như cácfile bị ẩn và không bị ẩn.C:> dir /A C:Documents and SettingsAll UsersStartMenuProgramsStartupnet users và localgroup administratorsMột số malware có thể tạo tài khoản trong máy tính nội bộ của bạn.Trong trường hợp đó, chúng ta cần chạy lệnh net users, đây làlệnh kiểm tra các tài khoản được định nghĩa trên hệ thống. Thêmvào đó, vì một số phần mềm bot có thể đăng ký tài khoản của nhómquản trị viên nội bộ, khi đó chúng ta nên chạy lệnh localgroupadministrators, đây là lệnh kiểm tra thành viên của nhóm này.Bạn có biết tất cả những người trong nhóm quản trị viên không?Hình dưới đây sẽ hiển thị một ví dụ về trường hợp này. ...