Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách sử dụng công cụ Autoruns để tìm kiếm malware khởi động trong giai đoạn startup.. Còn trong phần này, chúng tôi s
Trang 1Tổng quan về Autoruns
Trang 2Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách
sử dụng công cụ Autoruns để tìm kiếm malware khởi động trong giai đoạn startup.
Trong phần 1 của loạt bài này, chúng ta đã biết cách sử dụng Process
Explorer để tìm ra các quá trình được nghi ngờ là malware đang hoạt động trong hệ thống Còn trong phần này, chúng tôi sẽ giới thiệu cho các bạn cách
sử dụng công cụ Autoruns để tìm kiếm malware khởi động trong giai đoạn
startup
Công cụ tiếp theo mà chúng ta sẽ xem xét đó là Autoruns, công cụ này sẽ
hiển thị cho bạn những chương trình gì được thiết lập để chạy trong quá trình
khởi động hệ thống và quá trình đăng nhập Việc cấu hình đối với công cụ
này hết sức linh hoạt, cho phép bạn không chỉ hiển thị các chương trình trong
thư mục startup, registry, Run và RunOnce mà còn nhiều chương trình khác, chẳng hạn như các chỉ thị Winlogon, đối tượng trình duyệt, toolbar, dịch vụ
autostart,… Và nó sẽ hiển thị chúng theo thứ tự được xử lý bởi Windows
Bạn có thể vô hiệu hóa các chương trình khởi động trực tiếp từ bên trong
Autoruns Phiên bản hiện hành của công cụ này là 10.07 và nó có thể chạy
Trang 3trên Windows XP/Server 2003 cũng như các phiên bản mới hơn Bạn có thể
download công cụ tại đây
Phiên bản dòng lệnh là autorunsc cũng có trong download này Cả hai đều
được download dưới dạng các file thực thi trong một file nén, cùng với đó là file trợ giúp (autoruns.chm) Như những gì các bạn có thể thấy trong hình 1,
công cụ này toàn diện hơn rất nhiều so với công cụ trong Windows có tên
MSConfig
Hình 1
Thoáng nhìn, bạn có thể thấy giao diện có 18 tab khác nhau ở phía trên Tab
đầu tiên có nhãn “Everything” sẽ hiển thị cho bạn tất cả các kiểu chương trình và dịch vụ được cấu hình chạy lúc khởi động Chắc chắn bạn sẽ thấy
Trang 4ngạc nhiên với số lượng mà mình nhìn thấy ở đây Không giống như
MSConfig, Autoruns không yêu cầu quyền quản trị viên
Các tab khác cho phép bạn xem các thông tin được phân loại theo hạng mục,
gồm có:
Logon
Explorer (các menu ngữ cảnh, mở rộng, )
Internet Explorer (toolbar, đối tượng trình duyệt)
Scheduled Tasks (quá trình chạy trong chế độ background thông qua
việc kích hoạt các sự kiện)
Services (các mục Windows mặc định bị ẩn)
Drivers
Print Monitors
LSA Providers
Network Providers
Sidebar Gadgets
Codecs
Boot Execute
Image Hijacks
Trang 5 AppInit
KnownDLLs
Winlogon
Winsock Providers
Hầu hết các hạng mục ở trên đều khá thân thuộc đối với chúng ta, tuy nhiên
rất có thể bạn sẽ cảm thấy lạ lẫm đối với AppInit Giá trị của AppInit_DLLs
được sử dụng khi chương trình nào đó load bộ quản lý cửa sổ DLL (User32.dll) Do tất cả các chương trình sử dụng giao diện đồ họa (không
phải dòng lệnh) trong Windows đều load DLL được liệt kê trong giá trị này
nên AppInit_DLLs thường là mục tiêu tấn công của malware
Một tab khác bạn có thể ít gặp đó là Image Hijacks Tab này liên quan đến
việc sử dụng các tùy chọn Image File Execution trong Windows registry để
chuyển hướng quá trình đang load bằng cách bản đồ hóa tên thực thi và sau
đó load một quá trình hoàn toàn khác
Những gì có thể thực hiện với Autoruns
Lưu ý rằng tất cả các entry bạn thấy trong Autoruns không phải là các chương trình cần thiết nhưng chúng là các chương trình được cấu hình để tự
Trang 6động chạy Để xác định xem một mục nào đó có đang chạy hay không, bạn
có thể kích phải vào nó và chọn Process Explorer Giả sử bạn đã cài đặt
Process Explorer, hãy mở chương trình này để bạn có thể xem hộp thoại
thuộc tính của quá trình ở đây Lưu ý rằng nếu Process Explorer đang chạy
với quyền quản trị viên, trong khi đó bạn lại đang chạy Autoruns với quyền
người dùng chuẩn thì hành động này sẽ bị thất bại vì Autoruns không thể truyền thông với Process Explorer
Một trong những tính năng được ưu thích ở đây là tùy chọn “Jump to” Nếu
kích phải vào một entry, bạn có thể chọn “Jump to” như thể hiện trong hình 2
và bộ soạn thảo registry sẽ hiển thị vị trí của mục đó
Hình 2
Trang 7Chắc chắn sẽ có một số entry mà bạn không nhận dạng được các thông tin về
tên, phần mô tả và nhà sản xuất Khi đó có thể sử dụng tùy chọn “Search
online” để thực hiện tìm kiếm trên mạng Đây là một cách giúp bạn phát hiện xem các mục khởi động có liên quan đến phần mềm mã độc hay không
Một tính năng cực kỳ hữu dụng khác được tìm thấy trong menu File Ở đây
bạn sẽ thấy tùy chọn có tên “Compare…” Sử dụng tùy chọn này cần thận
trọng đôi chút và bạn cần sử dụng tùy chọn File | Save để lưu một file
Autoruns (đuôi mở rộng ARN) trước khi bắt đầu giải quyết vấn đề Nếu thực hiện điều đó, bạn có thể sử dụng tùy chọn Compare để đánh dấu các entry
mới trên danh sách Autoruns nhằm thu hẹp những ghi ngờ về malware
Để dễ quản lý, bạn có thể chọn các entry Hide được nhận dạng là phần mềm của Microsoft (phần nằm trong menu Options) Mặc dù vậy đây không phải
là một ý tưởng tốt vì các tác giả viết Malware rất có dễ gán nhãn hiệu giả làm
cho phần mềm của họ như được tạo bởi Microsoft Để thực hiện với một
entry cụ thể nào đó, hãy chọn Verify từ menu Entry (hoặc nhấn CTRL + V)
Ngoài ra bạn cũng có một tùy chọn Verify Code Signatures trong menu
Options
Trang 8Một ưu điểm khác của Autoruns khi so sánh với MSConfig là nó sẽ hiển thị
cho bạn các entry autostart theo người dùng Ngày càng nhiều malware hiện
khai tác các tài khoản người dùng chuẩn bằng cách viết vào
HKEY_CURRENT_USER Với Autoruns, bạn có thể chọn username của tài
khoản mà bạn muốn xem từ menu User Điều này sẽ cho phép bạn tìm ra
malware nằm trong registry ở tài khoản người dùng khác
Autoruns thậm chí còn có thể phân tích offline hệ thống, thao tác hỗ trợ cho
việc phát hiện các rootkit Bạn sẽ thấy tùy chọn này trong menu File Những
gì cần thực hiện là nhập vào thư mục gốc hệ thống đang offline cũng như
profile người dùng muốn kiểm tra Lưu ý rằng, có thể sử dụng Autorunsc (phiên bản dòng lệnh của Autoruns) cùng với công cụ Sysinternals, psexec,
để xem các entry autostart trên máy tính từ xa
Gỡ bỏ các entry Autoruns
Một vấn đề nữa là cần phải biết một số tùy chọn gỡ bỏ các mục được tìm thấy
trong Autoruns Có hai cách để thực hiện điều đó bên trong Autoruns:
Chọn mục trong danh sách và kích nút Delete trong thanh tác vụ, hoặc
nhấn phím Delete trên bàn phím Thao tác này không xóa các file có
Trang 9liên kết và nó không stop quá trình nếu nó đang chạy Nó chỉ thay đổi
giá trị của registry, giá trị chỉ thị cho Windows tự động khởi chạy nó
Cũng có thể tạm thời gỡ bỏ một mục nào đó khỏi startup bằng cách hủy
chọn hộp kiểm bên cạnh nó Khi thực hiện thao tác này, chương trình
sẽ được gỡ ra khỏi khóa Run trong registry và được lưu trong khóa nhỏ
“AutorunsDisabled” để bạn có thể kích hoạt lại bằng cách tích hộp
kiểm
Lưu ý rằng trong một số trường hợp, bạn có thể phải khởi động lại quá trình, đăng xuất và đăng nhập trở lại, hoặc thậm chí khởi động lại máy tính để những thay đổi có hiệu lực
Kết luận
Trong phần hai này chúng tôi chỉ đề cập đến Autoruns, trong phần ba tới đây
của loạt bài, chúng tôi sẽ giới thiệu cho các bạn cách sử dụng Process
Monitor để lần theo các hành động của malware và cách gỡ bỏ malware khỏi
hệ thống khi phát hiện ra nó cũng như những gì cần thực hiện nếu công cụ
Sysinternals không giúp ích gì