ทุกวันนี้ไม่ว่าจะระบบปฎิบัติการไหนทั้ง Windows, Mac OS X, Linux, Unix ก็มีสิทธิ์ติด malware หรือถูกแฮ็คด้วยกันทั้งนั้น แน่นอนว่ากลุ่มที่เป็นเป้าหมายก็คงหลีกหนีไม่พ้น Windows เพราะมีอัตราส่วนการใช้งานสูงกว่าเจ้าอื่นเค้านั่นเอง ทีนี้หากเราต้องการจะตรวจสอบว่าเครื่องเราติดพวก malware ด้วยตัวเอง ไม่พึ่ง Antivirus ก่อน เราสามารถทำได้ดังนี้
1. List startup items
ใช้คำสั่งเป็น
|
1
|
wmic startup list full
|
ดูว่า startup item เมื่อเราเปิดเครื่องมีอะไรมั่ง แล้วก็มีมาดูว่ามี process หรือ service อะไรที่เปิดแล้วดูน่าผิดปกติมั่ง หากมีชื่ออะไรแปลกๆขึ้นมาก็เข้าไปลบโลด
2. DNS Cache
ลองตรวจสอบว่ามีเว็บไซด์ใดที่เราเคย resolve บ้าง(เคยไปแล้วบ้าง) ให้ดูที่ DNS Cache โดยใช้คำสั่ง
|
1
|
ipconfig /displaydns
|
3. List process ปัจจุบัน
เราสามารถ list process ที่ทำงานอยู่ในปัจจุบันได้ โดยใช้คำสั่งเป็น
|
1
|
wmic process list full | more
|
หรือหากต้องการให้แสดงผลออกมาเป็น Column ก็จะใช้เป็น
|
1
|
wmic process get parentprocessid,processid,commandline,description /format:csv
|
4. ตรวจสอบ service list
เช่นกับที่ผ่านๆมา เราสามารถแสดง list ของ service ทั้งหมดออกมาได้ จากนั้นก็ไล่ดูว่า service ไหนที่ชื่อแปลกๆหรือมีความน่าจะเป็น malware
|
1
|
wmic service list full
|
หรือหากต้องการให้แสดงผลเป็นแบบ csv ก็จะใช้คำสั่งเป็น
|
1
|
wmic service get name,processid,startmode,state,status,pathname /format:csv
|
5. List job
ในบางครั้งจะมีการรัน job บ้าง ซึ่งเราสามารถ list job ออกมาได้โดยใช้คำสั่งเป็น
|
1
|
wmic job list full
|
ซึ่งโดยปกติ ถ้าไม่มีการตั้ง job ให้รันไว้ก็จะขึ้นว่า “No Instance(s) Available”
6. ดูเรื่องการใช้งาน network
แน่นอนว่าสิ่งที่ขาดไม่ได้ในการเช็คเรื่องของ malware ก็คือ network นั่นเอง เพราะโดยปกติ malware จะมีการติดต่อไปยัง C&C Server อยู่เสมอครับ
|
1
|
netstat –naob
|
-n คือแสดง address, port ที่ใช้ในรูปแบบตัวเลข
-a คือแสดง connection ทั้งหมด และ listening port
-o คือแสดง Process ID ของแต่ละ Connection
-b คือแสดงคำสั่งที่รัน connection นั้นๆ
Reference::
http://www.techsuii.com/2015/07/22/find-a-windows-infection-without-antivirus/
http://909research.com/find-a-windows-infection-quickly-without-tools/