Tất cả các bài viết liên quan đến IT, Infrastructure: Sysadmin, Cloud & DevOps...chuyển qua https://infra.lecuong.info/

Sử dụng IceSword để Remove Rootkits

IceSword là một trong những công cụ khá mạnh hỗ trợ cho việc xử lý virus bằng tay mà tôi thường dùng!

Tác giả : Mahesh Satyanarayana (swatkat)
Ngày công bố : May 21, 2006
Chỉnh sửa : Larry Stevenson (Prince_Serendip).
Lược dịch : kienmanowar

Trước tiên download phiên bản English của IceSword tại đây

Giới thiệu :

Trong bài viết này tác giả sử dụng một công cụ rất nổi tiếng đó là HxDef (hay còn gọi là Hacker Defender) để che dấu tất cả các files, folders, các registries entry và thậm chí cả các processes có liên quan tới chương trình Sandboxie. Sau khi thực hiện công việc này, tác giả đã sử dụng công cụ IceSword để phân tích. Phần tiếp theo của bài viết này sẽ là các bước hướng dẫn cụ thể quá trình loại bỏ rootkits ra khỏi hệ thống.

Chú ý : Ở đây chương trình SandBoxie không phải là Malware. Thực chất, nó là một công cụ khá hữu ích để phòng chống malware trong đó có cả rootkits.

Các bước thực hiện :

Bước 1 :
 Chạy IceSword. Bên tab Functions chọn “Processes” để kiểm tra các processes đang chạy trên máy, tìm kiếm xem có những processes nào bị nghi ngờ , đánh dấu màu đỏ bởi IceSword. Những processes bị đánh dấu màu đỏ được liệt kê ra này là những hidden processes .

Hình minh họa dưới đây cho ta thấy có 2 processes ẩn đó là hxdef100.exe và control.exe :

1_IceSword_Process_List

Bước 2 : Tại tab Functions chọn tiếp “Win32 Services” và tìm kiếm danh sách những mục bị đánh dấu màu đỏ trong danh sách các services trên máy.

Xem hình minh họa bên dưới ta thấy có một Hidden Serivce là HxDef :

2_Services_List

Bước 3 : Tiếp theo, chọn “SSDT” và kiểm tra các entry bị đánh dấu màu đỏ. Nếu thấy có bất kì dấu hiệu nào, chú ý đến tên file và tên các folder. Các rootkits hoạt động ở Kernel level chỉnh sửa các SDT entries để hook các hàm APIs natively.

Hình minh họa dưới đây chỉ cho ta thấy kernel level API hooking bới SandBoxie driver:

3_Service_Descriptor_Table_List

Bước 4 : Bây giờ chúng ta sẽ tiến hành loại bỏ rootkit ra khỏi hệ thống. Chọn “Processes” , sau đó chuột phải lên các processes bị đánh dấu màu đỏ và chọn “Terminate Process”. Khi bạn thực hiện công việc này IceSword sẽ tiêu diệt các rooted processes.

Xem hình minh họa dưới đây :
4_Terminating_Processes


Bước 5 : Nhấn chọn “Win32 Services”. Do các rooted processes đã hoàn toàn bị terminated, các rootkit service cũng sẽ hoàn toàn tự động bị stop. Do đó tại thời điểm này service sẽ không còn hidden nữa cho nên nó cũng không còn bị đánh dấu màu đỏ như hình bên trên. Do ta đã lưu lại tên của service tại bước 2, do đó việc tìm kiếm lại nó hoàn toàn dễ dàng. Bây giờ chọn nó , chuột phải và chọn “Disabled” để hoàn toàn disable service này.

Xem hình minh họa dưới đây :

Photobucket
Bước 6 : Tiếp theo chúng ta phải xóa các root files. Nhấn chọn “File”, nó sẽ hiển thị giao diện giống như khi ta làm việc với Windows Explorer. Tìm đến folder nơi có chứa rootkit và xóa chúng.

Xem hình minh họa :



Photobucket

Photobucket

Bước 7 : *Not recommended for novice users*

Các file mà được che dấu bởi rootkit thông thường sẽ tạo và lưu vết trong Registry để tự nó được load lên mỗi khi Windows loads. Để kiểm tra có những startup entries cho bất kì các rooted files nào (thậm chí đã được deleted trong các bước trước), nhấn chọn “Startup”. Nếu như tìm thấy có các startup entries liên quan thì sử dụng công cụ có sẵn của IceSword để remove nó. Chọn “Registry” để vào registry editor tương tự như chúng ta gõ Regedit.exe. Tiếp theo tìm đến các key/value , chọn và xóa chúng.

Hình minh họa dưới đây sẽ cho ta thấy các bước thực hiện :


Photobucket
Photobucket

Bước 8 : Khởi động lại máy, vào File > Reboot and Monitor

Khởi động lại hệ thống sử dụng IceSword :

11_Rebooting_Computer_with_IceSword

Bước 9 : Sau khi khởi động lại, chạy lại IceSword một lần nữa và kiếm tra lại như các bước đã thực hiện ở trên.

Xem hình minh họa dưới đây :

12_Process_List_is_Clean
13_SSDT_List_is_Clean


Hi vọng với bài viết và công cụ này, khả năng xử lý virus của các bạn sẽ tăng lên đáng kể!



                                                                                                               Nguồn : internet



Để bắt đầu tham gia Giao dịch tài chính:


Viết nhận xét

Các bạn có thể viết lời nhận xét cho bài viết, nhưng cần tuân thủ một số quy tắc sau:

» Các nhận xét/bình luận phải nghiêm túc, không dung tục, không spam.
» Nội dung phải liên quan tới chủ đề bài viết.
» Viết bằng tiếng việt có dấu hoặc tiếng Anh. Nội dung viết không dấu sẽ bị xóa.
» Hãy để lại tên của bạn khi nhận xét/bình luận, để tôi có thể dễ dàng trả lời bạn khi cần.

Chúc các bạn tìm được những kiến thức bổ ích khi tình cờ ghé thăm blog này.