Trong chương trước, chúng ta đã biết cách bảo mật máy tính của mình và một trong những điểm chính là cài đặt và cập nhật phần mềm chống vi-rút. Nếu không có phần mềm này, khả năng cao là hệ thống và mạng của bạn sẽ bị tấn công và sẽ bị tấn công bởi các cuộc tấn công hack và cũng có thể bị ảnh hưởng bởi các loại virus khác nhau.
Điều quan trọng là công cụ quét chống vi-rút và các chữ ký vi-rút phải được cập nhật thường xuyên, chúng tôi làm điều này vì nếu hệ thống của bạn bị tấn công bởi phần mềm độc hại mới nhất, nó sẽ được phát hiện.
Các chức năng cơ bản của công cụ chống vi-rút
Tất cả các công cụ chống vi-rút đều có ba thành phần để hoạt động tương ứng. Điều quan trọng là phải xem các chức năng này vì nó sẽ giúp chúng tôi dọn dẹp vi rút thủ công tốt hơn trong trường hợp chúng tôi cần.
- Quét – Khi một vi-rút mới được phát hiện trong không gian mạng, các nhà sản xuất chống vi-rút bắt đầu viết các chương trình (cập nhật) để quét các chuỗi chữ ký tương tự.
- Kiểm tra tính toàn vẹn – Phương pháp này thường kiểm tra các tệp bị thao túng trong hệ điều hành khỏi vi-rút.
- Đánh chặn – Phương pháp này về cơ bản được sử dụng để phát hiện Trojan và nó kiểm tra yêu cầu truy cập mạng của hệ điều hành.
Hình ảnh sau đây cho thấy lược đồ cho chức năng của công cụ chống vi-rút.
Kiểm tra vi rút trực tuyến
Nếu quản trị viên hệ thống không cài đặt chương trình chống vi-rút hoặc nghi ngờ tệp bị nhiễm. Họ khuyên bạn nên sử dụng công cụ chống vi-rút thử nghiệm trực tuyến mà (theo tôi) là một trong những công cụ tốt nhất – https://virustotal.com/ .
Q. Tại sao lựa chọn này?
Trả lời. Nó là một dịch vụ miễn phí và độc lập. Nó sử dụng nhiều công cụ chống vi-rút (41 công cụ chống vi-rút), vì vậy kết quả của nó sẽ được hiển thị cho tất cả 41 công cụ. Nó cập nhật các động cơ trong thời gian thực. Để rõ hơn, vui lòng xem ảnh chụp màn hình sau, trong đó tôi đã tải lên một tệp có vi rút và kết quả là 33/41 (Tỷ lệ phát hiện) , có nghĩa là nó có vi rút và không vượt qua lớp, vì vậy không nên mở tệp.
Một tính năng tốt của trang web này là kiểm tra URL, trước khi truy cập vào một trang web, bạn có thể nhập URL và nó sẽ kiểm tra cho bạn xem trang web đó có bị lây nhiễm và có thể gây hại cho bạn hay không.
Tôi đã thực hiện một bài kiểm tra với một URL và URL đó hoàn toàn sạch và 100%, vì vậy tôi có thể truy cập nó mà máy tính của tôi không bị nhiễm virus.
Phần mềm chống vi-rút miễn phí
Vì hướng dẫn này là thực hành thực tế, tôi sẽ chỉ cho bạn nơi lấy thuốc diệt vi rút miễn phí và nơi tải xuống trong trường hợp bạn không có đủ ngân sách.
Các phiên bản miễn phí của phần mềm chống vi-rút có điểm số phát hiện phần mềm độc hại gần giống với các phiên bản trả phí do cùng một công ty sản xuất, nhưng phần mềm chống vi-rút thương mại tạo ra sự khác biệt nhỏ về hiệu suất bảo mật và trong trường hợp của chúng tôi, chúng tôi là quản trị viên hệ thống và chúng tôi muốn bảo vệ tối đa trong môi trường làm việc.
bạn có thể nhận được bài đánh giá là thuốc chống vi rút miễn phí được xếp hạng hàng đầu tốt nhất tại thời điểm này. Trong URL sau, bạn có thể tự kiểm tra http://www.pcmag.com/article2/0,2817,2388652,00.asp
Hãy để chúng tôi hiểu chi tiết về một số phần mềm chống vi-rút này –
Avast Antivirus
Phần mềm chống vi-rút này có điểm số tốt trong việc quét phần mềm độc hại và quét kiểm tra chống lừa đảo, có thể tải xuống từ https://www.avast.com/en-eu/index
Để cài đặt máy chủ, bạn cần có phiên bản thương mại.
AVG Antivirus
Nó có thể được tải xuống từ http://www.avg.com/us-en/free-antivirus-download . Để cài đặt máy chủ, bạn cần mua phiên bản thương mại.
Panda Antivirus 2016
Nó có thể được tải xuống từ http://www.pandasecurity.com/usa/homeusers/downloads/
Nó có các tính năng tốt sau:
- Đĩa cứu hộ
- Bảo vệ USB
- Giám sát quy trình
Để cài đặt máy chủ, bạn sẽ cần phải mua phiên bản thương mại.
Bitdefender Antivirus
Nó có thể được tải xuống từ http://www.bitdefender.com/solutions/free.html Một tính năng tốt trong phần mềm chống vi-rút này là nó có thể hoạt động hoàn toàn ở chế độ nền. Không có cài đặt cấu hình. Để cài đặt máy chủ, bạn cần mua phiên bản thương mại.
Cơ bản về Bảo mật của Microsoft
Mặc dù nó không nằm trong số những phần mềm diệt vi rút miễn phí hàng đầu do thương hiệu Microsoft, nhưng điều đáng nói là chính Microsoft cũng cung cấp cho bạn một phần mềm chống vi rút miễn phí được gọi là Microsoft Security Essentials. Nó có thể được tải xuống từ http://windows.microsoft.com/en-us/windows/security-essentials-download
Chống vi-rút thương mại
Tôi nên đề cập rằng tất cả các nhà sản xuất thuốc diệt vi rút miễn phí cũng cung cấp các phiên bản thương mại của họ. Dựa trên tạp chí PC, các loại thuốc chống vi rút thương mại tốt nhất là –
- Kaspersky Anti-Virus
- Bitdefender Antivirus Plus 2016
- McAfee AntiVirus Plus (2016)
- Webroot SecureAnywhere Antivirus (2015)
Kaspersky Antivirus
Nó có thể được tải xuống dưới dạng bản dùng thử miễn phí từ http://www.kaspersky.com/free-trials/anti-virus
Nó có một điểm tuyệt vời trong chống lừa đảo. Nó cũng mang lại một phần thưởng hữu ích trong các công cụ bảo mật như bảo vệ thẻ tín dụng trong máy tính của bạn.
McAfee AntiVirus Plus
Nó có thể được tải xuống dưới dạng bản dùng thử miễn phí từ – http://home.mcafee.com/downloads/OneClickTrial.aspx?culture=en-us
Nó bảo vệ tất cả các hệ điều hành như Windows, Mac OS, Android và các thiết bị iOS. chặn URL độc hại và chống lừa đảo rất tốt.
Webroot SecureAnywhere Antivirus
Nó có thể được tải xuống dưới dạng bản dùng thử miễn phí từ – http://www.webroot.com/us/en/home/products/av
Một số tính năng nổi bật của nó là –
- Khôi phục các tệp được mã hóa bởi ransomware
- Sử dụng dung lượng ổ đĩa nhỏ
- Quét rất nhanh
- Xử lý phần mềm độc hại không xác định
- Bao gồm tường lửa
Trong chương trước, chúng tôi đã xử lý phần mềm chống vi-rút giúp chúng tôi bảo vệ hệ thống của mình nhưng trong chương này, chúng tôi sẽ xử lý phần mềm độc hại, cách phát hiện chúng theo cách thủ công, dạng của chúng là gì, phần mở rộng tệp của chúng là gì, dấu hiệu của một máy tính bị nhiễm virus, v.v. quan trọng là phải được điều trị vì tỷ lệ lây nhiễm của các doanh nghiệp và máy tính cá nhân ngày nay quá cao.
Chúng là các chương trình tự sao chép mã của chính chúng bằng cách tự gắn chúng vào các mã thực thi khác. Chúng hoạt động mà không có sự cho phép hoặc kiến thức của người sử dụng máy tính. Virus hoặc phần mềm độc hại giống như trong đời thực, trong máy tính, chúng lây nhiễm sang các tệp lành mạnh khác.
Tuy nhiên, chúng ta nên nhớ rằng vi rút chỉ lây nhiễm từ bên ngoài máy khi có sự hỗ trợ của người dùng máy tính mà thôi. Những điều này có thể xảy ra bằng cách nhấp vào tệp được đính kèm với email từ một người không xác định, cắm USB mà không quét, mở các URL không an toàn vì lý do đó. Chúng tôi với tư cách là quản trị viên hệ thống phải xóa quyền quản trị viên của người dùng trong các máy tính này. Chúng tôi phân loại phần mềm độc hại theo ba loại –
- Trojan và Rootkit
- Vi rút
- Giun
Đặc điểm của Virus
Sau đây là một số đặc điểm của bất kỳ loại virus nào lây nhiễm vào máy tính của chúng tôi.
- Chúng cư trú trong bộ nhớ của máy tính và tự kích hoạt trong khi chương trình được đính kèm bắt đầu chạy.
Ví dụ – Chúng thường tự đính kèm với explorer.exe trong hệ điều hành windows vì đây là quá trình luôn chạy, vì vậy bạn nên thận trọng khi quá trình này bắt đầu tiêu tốn quá nhiều dung lượng máy tính của bạn.
- Chúng tự sửa đổi sau giai đoạn lây nhiễm như mã nguồn, tiện ích mở rộng, tệp mới, v.v. do đó, phần mềm chống vi-rút sẽ khó phát hiện ra chúng hơn.
- Họ luôn cố gắng ẩn mình trong hệ điều hành theo những cách sau:
- Tự mã hóa thành các ký hiệu khó hiểu và chúng tự giải mã khi sao chép hoặc thực thi.
Ví dụ – Bạn có thể thấy điều này trong hình ảnh sau để hiểu rõ hơn vì trong máy tính của tôi, tôi đã tìm thấy tệp này.
Sau khi tìm thấy tệp này, tôi đã mở nó bằng trình soạn thảo văn bản và tôi nghĩ rằng văn bản không thể hiểu được như trong ảnh chụp màn hình sau.
Sau khi tìm thấy điều này, tôi đã thử nó trên bộ giải mã base64 và tôi thấy rằng đó là một tệp Virus.
Vi rút này có thể gây ra những điều sau đây cho máy tính của bạn –
- Nó có thể xóa dữ liệu quan trọng khỏi máy tính của bạn để có được không gian cho các quy trình của chúng.
- Nó có thể tránh bị phát hiện bằng cách chuyển hướng dữ liệu đĩa.
- Nó có thể thực hiện các nhiệm vụ bằng cách kích hoạt một sự kiện với chính nó. Ví dụ: điều này xảy ra khi trong một máy tính bị nhiễm các bảng bật lên, v.v., tự động hiển thị trên màn hình.
- Chúng phổ biến trong Windows và Mac OS vì các hệ điều hành này không có nhiều quyền đối với tệp và bị dàn trải hơn.
Quy trình làm việc của phần mềm độc hại và cách làm sạch nó
Phần mềm độc hại tự gắn vào các chương trình và truyền đến các chương trình khác bằng cách sử dụng một số sự kiện, chúng cần những sự kiện này xảy ra vì chúng không thể –
- Bắt đầu bởi chính họ
- Tự truyền bằng cách sử dụng các tệp không thực thi
- Lây nhiễm các mạng hoặc máy tính khác
Từ các kết luận trên, chúng ta nên biết rằng khi một số quy trình hoặc dịch vụ bất thường được chạy bởi chính chúng, chúng ta nên điều tra thêm mối quan hệ của chúng với một loại vi-rút có thể có. Quá trình điều tra như sau:
Để điều tra các quy trình này, hãy bắt đầu bằng việc sử dụng các công cụ sau:
- fport.exe
- pslist.exe
- handle.exe
- netstat.exe
Listdll.exe hiển thị tất cả các tệp dll đang được sử dụng, trong khi netstat.exe với các biến của nó hiển thị tất cả các quy trình đang được chạy với các cổng tương ứng của chúng.
Bạn có thể xem ví dụ sau về cách tôi lập bản đồ quy trình chống vi-rút Kaspersky mà tôi đã sử dụng cùng với lệnh netstat-ano để xem số quy trình và trình quản lý tác vụ để xem quy trình nào thuộc về số này.
Sau đó, chúng tôi nên tìm kiếm bất kỳ tệp nào đã sửa đổi, thay thế hoặc xóa và các thư viện được chia sẻ cũng nên được kiểm tra. Chúng thường lây nhiễm các tệp chương trình thực thi có phần mở rộng như .EXE, .DRV, .SYS, .COM, .BIN . Phần mềm độc hại thay đổi phần mở rộng của tệp chính hãng, ví dụ: File.TXT thành File.TXT.VBS.
Nếu bạn là quản trị viên hệ thống của một máy chủ web, thì bạn nên biết về một dạng phần mềm độc hại khác được gọi là webshell . Nó thường ở dạng mở rộng .php nhưng có tên tệp lạ và ở dạng mã hóa. Bạn nên xóa chúng trong trường hợp bạn phát hiện ra chúng.
Sau khi thực hiện xong, chúng ta nên cập nhật chương trình diệt virus và quét lại máy tính một lần nữa.
Phát hiện lỗi máy tính do nhiễm vi-rút
Trong phần này, chúng tôi sẽ xem xét cách phát hiện lỗi máy tính hoặc hệ điều hành do vi-rút vì đôi khi mọi người và quản trị viên hệ thống kết hợp các triệu chứng.
Các sự kiện sau rất có thể không phải do phần mềm độc hại gây ra –
- Lỗi khi hệ thống đang khởi động trong giai đoạn bios, như hiển thị ô pin của Bios, hiển thị lỗi bộ hẹn giờ.
- Lỗi phần cứng, chẳng hạn như tiếng bíp ghi RAM, ổ cứng HDD, v.v.
- Nếu một tài liệu không thể khởi động bình thường giống như một tệp bị hỏng, nhưng các tệp khác có thể được mở tương ứng.
- Bàn phím hoặc chuột không trả lời các lệnh của bạn, bạn phải kiểm tra các trình cắm thêm.
- Màn hình bật và tắt quá thường xuyên, như nhấp nháy hoặc rung, đây là lỗi phần cứng.
Mặt khác, nếu bạn có các dấu hiệu sau trong hệ thống của mình, bạn nên kiểm tra phần mềm độc hại.
- Máy tính của bạn hiển thị cửa sổ bật lên hoặc bảng lỗi.
- Thường xuyên đóng băng.
- Nó chậm lại khi một chương trình hoặc quá trình bắt đầu.
- Các bên thứ ba phàn nàn rằng họ đang nhận được lời mời trên mạng xã hội hoặc qua email của bạn.
- Các thay đổi về tiện ích mở rộng tệp xuất hiện hoặc tệp được thêm vào hệ thống của bạn mà không có sự đồng ý của bạn.
- Internet Explorer bị đóng băng quá thường xuyên mặc dù tốc độ internet của bạn rất tốt.
- Đĩa cứng của bạn được truy cập hầu hết thời gian như bạn có thể nhìn thấy từ đèn LED trên vỏ máy tính của mình.
- Tệp hệ điều hành bị hỏng hoặc bị thiếu.
- Nếu máy tính của bạn đang ngốn quá nhiều băng thông hoặc tài nguyên mạng thì đây là trường hợp của sâu máy tính.
- Không gian đĩa cứng luôn bị chiếm dụng, ngay cả khi bạn không thực hiện bất kỳ hành động nào, chẳng hạn như cài đặt một chương trình mới.
- Kích thước tệp và chương trình thay đổi so với phiên bản gốc của nó.
Một số khuyến nghị thực tế để tránh vi rút –
- Không mở bất kỳ tệp đính kèm email nào đến từ những người không xác định hoặc từ những người đã biết có chứa văn bản đáng ngờ.
- Đừng chấp nhận lời mời từ những người không quen biết trên mạng xã hội.
- Không mở URL được gửi bởi những người không xác định hoặc những người đã biết có bất kỳ hình thức kỳ lạ nào.
Thông tin về virus
Nếu bạn đã tìm thấy vi-rút nhưng bạn muốn điều tra thêm về chức năng của nó. Tôi khuyên bạn nên xem các cơ sở dữ liệu virus này, được cung cấp bởi các nhà cung cấp phần mềm diệt virus.
- Cơ sở dữ liệu Virus Kaspersky – ( http://www.kaspersky.com/viruswatchlite?hour_offset=-1 )
- F-Secure – ( https://www.f-secure.com/en/web/labs_global/threat-descriptions )
- Symantec – Bách khoa toàn thư về Virus – ( https://www.symantec.com/security_response/landing/azlisting.jsp