Diệt Virus bằng tay
Chào các bạn! Đôi khi chính chúng ta không ngờ rằng ta
bị attacker tạo ra worm, trojan ....rồi
bằng mọi cách đưa vào máy của chúng ta.Khi đó, các
tools Anti-Virus thật sự rất có ích.Tuy nhiên, không phải
lúc nào Anti-Virus cũng là tất cả bởi nhì thư viện của
chúng chưa chắc đã là Full, hơn nữa có những con virus
được tạo ra bởi các Attacker vẫn qua mặt được các tools
này.
Sau đây, mình xin trình bày với các bạn một số kỹ thuật
diệt virus bằng tay.
Tổng hợp được mấy lệnh trong CMD hỗ trợ để diệt
virus bằng tay. Các bạn tham khảo :
1-TASKLIST
- Hiển thị các tiến trình có PID lớn hơn 2000(tùy chọn
PID) và in ra định dạng csv: hiển thị bao gồm "Image
Name","PID","Session Name","Session#","Mem
Usage","Status","User Name","CPU Time","Window
Title"
Tasklist /v /fi "pid gt 2000" /fo csv
In ra một file cho dễ nhìn: Tasklist /v /fi "pid gt 2000" /fo
csv >hell.txt
-Để hiển thị các tiến trình với trạng thái đang chạy với
các username mặc định với các username: system, network
service, local service, administrator. Còn nếu bạn đang
chạy trong user nào thì hiện thị với tên user đó
Tasklist /fi "USERNAME eq NT AUTHORITY\SYSTEM”
/fi "STATUS eq running"
Tasklist /fi "USERNAME eq SYSTEM" /fi "STATUS eq
running" Vidu với các id như 1234, 243, 879: taskkill /f /pid 1234
/pid 243 /pid 879
Taskkill /f /im explorer.exe /im system.exe /im userinit.exe
-Bắt ép tắt tiến trình nào đó đang chạy với username
system (vd như notepad.exe)
Taskkill /f /fi “username eq system” /im notepad.exe
-Tắt tiến trình theo dạng cây với số ID là 1234 nhưng chỉ
với username nào đó (administrator chẳng hạn)
Taskkill /pid 1234 /t fi “username eq administrator”
-Tắt tiến trình với PID lớn hơn 2000 mà ko quan tâm đến
tên của nó
Taskkill /f /fi “pid ge 2000” /im * wmic process list full
wmic process list brief /every:10 Lệnh này dùng cho các services
-Truy vấn, xem các services, drivers
SC query type= services
SC query type= drivers
Hoặc xem tất cả: SC query type= all
-Tắt các dịch vụ đang chạy
SC stop schedule tắt schedule
SC stop srservice tắt system restore
- Disabled một dịch vụ nào đó
SC config schedule start= disabled
SC config srservice start= disabled
Với tên các services ở khóa
HKLM\SYSTEM\CurrentControlSet\Services
6-NTSD
Theo mình biết thì lệnh này dùng để debug
Cũng ko biết nhiều về lệnh này có 2 lệnh sau dạng như
tắt một tiến trình
NTSD –c q –p PID
NTSD –c q –pn name
Vd: ntsd –c q –pn explorer.exe