IceSword là một trong những công cụ khá mạnh hỗ trợ cho việc xử lý virus bằng tay mà tôi thường dùng!
Tác giả : Mahesh Satyanarayana (swatkat)
Ngày công bố : May 21, 2006
Chỉnh sửa : Larry Stevenson (Prince_Serendip).
Lược dịch : kienmanowar
Trước tiên download phiên bản English của IceSword tại đây
Giới thiệu :
Trong bài viết này tác giả sử dụng một công cụ rất nổi tiếng đó là HxDef (hay còn gọi là Hacker Defender) để che dấu tất cả các files, folders, các registries entry và thậm chí cả các processes có liên quan tới chương trình Sandboxie. Sau khi thực hiện công việc này, tác giả đã sử dụng công cụ IceSword để phân tích. Phần tiếp theo của bài viết này sẽ là các bước hướng dẫn cụ thể quá trình loại bỏ rootkits ra khỏi hệ thống.
Chú ý : Ở đây chương trình SandBoxie không phải là Malware. Thực chất, nó là một công cụ khá hữu ích để phòng chống malware trong đó có cả rootkits.
Các bước thực hiện :
Bước 1 : Chạy IceSword. Bên tab Functions chọn “Processes” để kiểm tra các processes đang chạy trên máy, tìm kiếm xem có những processes nào bị nghi ngờ , đánh dấu màu đỏ bởi IceSword. Những processes bị đánh dấu màu đỏ được liệt kê ra này là những hidden processes .
Hình minh họa dưới đây cho ta thấy có 2 processes ẩn đó là hxdef100.exe và control.exe :
Bước 2 : Tại tab Functions chọn tiếp “Win32 Services” và tìm kiếm danh sách những mục bị đánh dấu màu đỏ trong danh sách các services trên máy.
Xem hình minh họa bên dưới ta thấy có một Hidden Serivce là HxDef :
Bước 3 : Tiếp theo, chọn “SSDT” và kiểm tra các entry bị đánh dấu màu đỏ. Nếu thấy có bất kì dấu hiệu nào, chú ý đến tên file và tên các folder. Các rootkits hoạt động ở Kernel level chỉnh sửa các SDT entries để hook các hàm APIs natively.
Hình minh họa dưới đây chỉ cho ta thấy kernel level API hooking bới SandBoxie driver:
Bước 4 : Bây giờ chúng ta sẽ tiến hành loại bỏ rootkit ra khỏi hệ thống. Chọn “Processes” , sau đó chuột phải lên các processes bị đánh dấu màu đỏ và chọn “Terminate Process”. Khi bạn thực hiện công việc này IceSword sẽ tiêu diệt các rooted processes.
Xem hình minh họa dưới đây :
Bước 5 : Nhấn chọn “Win32 Services”. Do các rooted processes đã hoàn toàn bị terminated, các rootkit service cũng sẽ hoàn toàn tự động bị stop. Do đó tại thời điểm này service sẽ không còn hidden nữa cho nên nó cũng không còn bị đánh dấu màu đỏ như hình bên trên. Do ta đã lưu lại tên của service tại bước 2, do đó việc tìm kiếm lại nó hoàn toàn dễ dàng. Bây giờ chọn nó , chuột phải và chọn “Disabled” để hoàn toàn disable service này.
Xem hình minh họa dưới đây :
Bước 6 : Tiếp theo chúng ta phải xóa các root files. Nhấn chọn “File”, nó sẽ hiển thị giao diện giống như khi ta làm việc với Windows Explorer. Tìm đến folder nơi có chứa rootkit và xóa chúng.
Xem hình minh họa :
Bước 7 : *Not recommended for novice users*
Các file mà được che dấu bởi rootkit thông thường sẽ tạo và lưu vết trong Registry để tự nó được load lên mỗi khi Windows loads. Để kiểm tra có những startup entries cho bất kì các rooted files nào (thậm chí đã được deleted trong các bước trước), nhấn chọn “Startup”. Nếu như tìm thấy có các startup entries liên quan thì sử dụng công cụ có sẵn của IceSword để remove nó. Chọn “Registry” để vào registry editor tương tự như chúng ta gõ Regedit.exe. Tiếp theo tìm đến các key/value , chọn và xóa chúng.
Hình minh họa dưới đây sẽ cho ta thấy các bước thực hiện :
Bước 8 : Khởi động lại máy, vào File > Reboot and Monitor
Khởi động lại hệ thống sử dụng IceSword :
Bước 9 : Sau khi khởi động lại, chạy lại IceSword một lần nữa và kiếm tra lại như các bước đã thực hiện ở trên.
Xem hình minh họa dưới đây :
Hi vọng với bài viết và công cụ này, khả năng xử lý virus của các bạn sẽ tăng lên đáng kể!
Nguồn : internet
Để bắt đầu tham gia Giao dịch tài chính: