Cách đơn giản để phát hiện RATS/Keyloggers sử dụng CMD và taskmanager

DDos

VIP Members
22/10/2013
524
2.191 bài viết
Cách đơn giản để phát hiện RATS/Keyloggers sử dụng CMD và taskmanager
Trong hướng dẫn này, mình sẽ hướng dẫn các bạn cách đơn giản để tìm ra các ứng dụng độc hại được cài trên máy của bạn mà nó sử dụng băng thông mạng mà bạn không hề hay biết.

1698979420960.png

Sử dụng taskmanager​

  1. Mở taskmanager bằng cách kích chuột phải thành thanh TaskBar rồi họn TaskManager hoặc bấm CTRL+ALT+DEL
  2. Click vào tab "Processes" sau đó click vào View > Select Columns > tích vào ô "Process Identifiers (PID)"

    1489939934So5iBIG.png
  3. Bây giờ click vào cột PID để sắp xếp tất cả các tiến trình. Bạn có thể bỏ qua bước này, nhưng bước này sẽ làm cho bạn dễ dàng phát hiện các tiến trình sử dụng IDs

    1489939934Iz3VtpJ.png

Sử dụng CMD​

  1. Vào Start > Run > cmd
  2. Nhập lệnh: netstat -ano
    Bạn sẽ nhìn thấy hình tương tự như dưới đây:

    148993993475xp0C4.png
  3. Bây giờ, bạn cần để ý tới mục state với trạng thái là "ESTABLISHED" và PID.

    14899399342U2fQNs.png


    Nếu có bất kỳ một tiến trình hoặc cổng kết nối nào "bất thường" bạn có thể phát hiện ra chúng.
  4. Bây giờ, sau khi xác định được PID nghi ngờ bạn quay trở lại taskmanager và tìm tên ứng dụng và PID tương ứng.

    1489939934mSBPnZn.png


    Trong ví dụ này, mình sử dụng đó là ứng dụng Dropbox do vậy nó là an toàn. Trong trường hợp bạn tìm thấy bất kỳ tiến trình mà bạn không biết ví dụ như svchost.exe, có thể bạn đã bị lây nhiễm, click chuột phải vào tiến trình và chọn Open File Location.

    1489939934ycn4yyH.png


    Điều bạn cần làm là scan file bằng các phần mềm diệt virus hoặc các dịch vụ scanners trực tuyến như virustotal.com.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Cách đơn giản để phát hiện RATS/Keyloggers sử dụng CMD và taskmanager

Nếu có bất kỳ một tiến trình hoặc cổng kết nối nào "bất thường" bạn có thể phát hiện ra chúng.

Vậy như thế nào được xem là bất thường?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Cách đơn giản để phát hiện RATS/Keyloggers sử dụng CMD và taskmanager

NamTDH_TV;11225 đã viết:
Vậy như thế nào được xem là bất thường?

Như bạn có thể thấy các cổng được thiết lập sẽ tương ứng với các dịch vụ, nếu có cổng nào nằm ngoài những kiến thức bạn biết thì cần phải chú ý tới nó.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Cách đơn giản để phát hiện RATS/Keyloggers sử dụng CMD và taskmanager

cái svchost.exe này thì phải làm sao ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên