Quy trình ứng cứu máy tính bị nhiễm mã độc

dienthaitoan

W-------
05/01/2015
2
8 bài viết
Quy trình ứng cứu máy tính bị nhiễm mã độc
em thấy có cuộc thi xử lý máy tính bị nhiễm phần mềm gián điệp, mà không thấy được đáp án cũng như quy trình xử lý
Mọi người có quy trình ứng phó sự cố mã độc cho em xin với
Em cảm ơn nhiều
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Chào bạn! Dưới đây là một số bước từ kinh nghiệm thực tế mình rút ra từ việc hỗ trợ các tổ chức xử lý máy tính bị nhiễm gián điệp, mã hóa dữ liệu, APT...
Bước 1: Đừng động vào máy tính vội, đầu tiên phải đánh giá tình hình, hỏi người quản lý máy tính đó về hiện tượng máy tính thiệt hại ... như: đang dùng phần mềm nào? đang tải file nào?, đang mở maill, đang cắm usb? thì bị
Bước 2: Xử lý mã độc
  • Tắt mạng nếu có.
  • Sử dụng các công cụ để rà soát virus để tìm mã độc. Khi tìm thấy bạn nên lưu lại các thông tin liên quan đến mã độc như: key run, folder, thời gian creatfile(rất quan trọng cho việc đánh giá thời điểm virus vào máy) và đổi tên đuôi không cho virus thực thi nữa.
Bước 3: Tìm nguyên nhân mã độc vào máy: Từ các thông tin ban đầu ở bước 1 nếu có thì gần như đã ra được nguyên nhân, nếu chưa ra sử dụng những công cụ như eventview để tìm thời gian các user logon, các phần mềm cài đặt để đánh với với thời gian virus vào máy, từ đó tìm ra nguyên nhân. Một số nguyên nhân virus vào máy như
  • Dùng usb chứa virus
  • Tải file từ internet về chạy
  • Mở email..
  • Tấn công qua lỗ hổng máy
Bước 4: Đánh giá dữ liệu bị mất, tìm các khôi phục dữ liêu: Đối vưới các phần mềm gián điệp sau khi phân tích virus tìm được từ bước 2 sẽ biết được các dữ liệu nó đánh cắp, đối với virus mã hóa dữ liệu đầu tiên search xem có cách nào giải mã dữ liệu không, nếu không thì lại phải nhờ các chuyên gia phân tích virus để tìm cách giải mã thôi :D
 
Comment
Gửi bạn một qui trình tham khảo của đội ứng cứu sự cố mã độc gián điệp:

Các bước đội ứng cứu cần thực hiện:

1. Tiếp nhận, rà soát và xác minh tình trạng lây nhiễm

2. Cô lập, phân tích và lấy mẫu virus

3. Xử lý virus trên máy tính bị lây nhiễm

4. Điều tra nguồn tấn công

5. Tổng hợp và báo cáo

Mục tiêu của Đội ứng cứu

· Tìm ra được nguyên nhân, nguồn gốc của đợt tấn công

· Xử lý được virus trên máy tính đã bị lây nhiễm.

· Điều tra các địa chỉ mà tin tặc sử dụng.

· Ngăn chặn việc kẻ xấu sẽ tấn công trở lại
 
Comment
Gửi bạn một qui trình tham khảo của đội ứng cứu sự cố mã độc gián điệp:

Các bước đội ứng cứu cần thực hiện:

1. Tiếp nhận, rà soát và xác minh tình trạng lây nhiễm

2. Cô lập, phân tích và lấy mẫu virus

3. Xử lý virus trên máy tính bị lây nhiễm

4. Điều tra nguồn tấn công

5. Tổng hợp và báo cáo

Mục tiêu của Đội ứng cứu

· Tìm ra được nguyên nhân, nguồn gốc của đợt tấn công

· Xử lý được virus trên máy tính đã bị lây nhiễm.

· Điều tra các địa chỉ mà tin tặc sử dụng.

· Ngăn chặn việc kẻ xấu sẽ tấn công trở lại
Có tài liệu hay video hướng dẫn chi tiết về cái này không ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Vấn đề này khá hay. Không biết anh em có tiêu chí nào để đánh giá mức độ của một sự cố mã độc không? Ví dụ: Tốc độ lây lan, mức độ nguy hiểm?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
câu này trong 1 lần phỏng vấn mình bị hỏi, cụ thể là "máy anh bây giờ đang dính/nghi dính virus, anh đưa em thì em sẽ xử lý như nào ?", và em thọt câu này vì thực tế chả biết xử lý sao, trước giờ dùng linux lưu toàn file... tạm gọi là virus (dữ liệu học tập) nên không dám quét gì sợ nó bay luôn "dữ liệu" ấy. còn mấy đứa bạn thì cứ phán cài lại win nên em đành ngậm ngùi lắc đầu. Hôm nay cảm ơn mod hustReMw & sunny đã khai sáng.
Hy vọng mấy anh chia sẻ thêm keyword để tìm mấy cái này nếu có.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: sunny
Comment
câu này trong 1 lần phỏng vấn mình bị hỏi, cụ thể là "máy anh bây giờ đang dính/nghi dính virus, anh đưa em thì em sẽ xử lý như nào ?", và em thọt câu này vì thực tế chả biết xử lý sao, trước giờ dùng linux lưu toàn file... tạm gọi là virus (dữ liệu học tập) nên không dám quét gì sợ nó bay luôn "dữ liệu" ấy. còn mấy đứa bạn thì cứ phán cài lại win nên em đành ngậm ngùi lắc đầu. Hôm nay cảm ơn mod hustReMw & sunny đã khai sáng.
Hy vọng mấy anh chia sẻ thêm keyword để tìm mấy cái này nếu có.
Câu này ngắn với thực tế: Nếu là mình, mình trả lời: Em chưa có kinh nghiệm trong vụ này :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên