จากรูป พอจะบอกได้ไม๊ครับว่า svhost.exe เนี้ยคือไฟล์อะไร ตอนนี้เท่าที่สังเกต จะมีบางช่วงมันจะโผล่มาเยอะแยะมากมายเลย แล้วขณะนั้นมันจะทำให้ service vmon.exe ของ zonealarm firewall พุ่งขึ้นผิดปกติ ถ้าอย่างไรขอวิธีแก้ รวมไปถึงพฤติกรรมมันด้วยนะครับ
จากรูป พอจะบอกได้ไม๊ครับว่า svhost.exe เนี้ยคือไฟล์อะไร ตอนนี้เท่าที่สังเกต จะมีบางช่วงมันจะโผล่มาเยอะแยะมากมายเลย แล้วขณะนั้นมันจะทำให้ service vmon.exe ของ zonealarm firewall พุ่งขึ้นผิดปกติ ถ้าอย่างไรขอวิธีแก้ รวมไปถึงพฤติกรรมมันด้วยนะครับ
เบื้องต้นคือ มันต้องเป็นไม่ใช่ svchost ปกติ เพราะมันไม่ได้อยู่ที่ system32 และมันก็ pack ไว้ด้วย และสังเกตว่าตรง note มันไม่ได้บอกว่า signature present and verified
และไม่แสดง service อะไรเลย ถ้าท่าน unpack มัน แอนตี้ไวรัสน่าจะวิเคราะห์พฤติกรรมได้ ถ้ามัน pack ด้วยอะไรก็ไม่รู้ก็คงไม่เจอ และลบไม่ได้ ท่านต้อง unpack แล้วก็ revesing การทำงานของมัน แบบที่ท่านถนัดเอาเองคับ เพราะถ้ามันมีไฟล์ dll ไป inject ที่ไหน ไปอยู่ใน memory หรือไปเปลี่ยนค่ารีจิสทรีอะไรท่านก็ไปลบ ไปแก้กลับเอานะท่าน
" I think computer viruses should count as life. I think it says something about human nature that the only form of life we have created so far is purely destructive. We've created life in our own image."
—Stephen Hawking
Actions : (View-Readers)
There are no names to display.
Posting Permissions
Reply With Quote
