วิธีค้นหาและลบมัลแวร์ WMI Persistence จากพีซี Windows

Microsoft ได้สร้าง Windows Management Instrumentation (WMI) เพื่อจัดการกับวิธีที่คอมพิวเตอร์ Windows จัดสรรทรัพยากรในสภาพแวดล้อมการทำงาน WMI ยังทำอย่างอื่นที่สำคัญอีกด้วย: อำนวยความสะดวกในการเข้าถึงเครือข่ายคอมพิวเตอร์ทั้งในพื้นที่และระยะไกล

น่าเสียดายที่แฮกเกอร์หมวกดำสามารถแย่งชิงความสามารถนี้เพื่อวัตถุประสงค์ที่เป็นอันตรายผ่านการโจมตีอย่างต่อเนื่อง ต่อไปนี้เป็นวิธีลบมัลแวร์ WMI Persistence ออกจาก Windows และดูแลตัวเองให้ปลอดภัย

WMI Persistence คืออะไร และเหตุใดจึงเป็นอันตราย

WMI Persistence หมายถึงผู้โจมตีที่ติดตั้งสคริปต์ โดยเฉพาะตัวจัดการเหตุการณ์ ซึ่งจะถูกทริกเกอร์เสมอเมื่อ มีเหตุการณ์ WMIเกิดขึ้น ตัวอย่างเช่น สิ่งนี้จะเกิดขึ้นเมื่อระบบเริ่มทำงานหรือผู้ดูแลระบบทำอะไรบางอย่างบนพีซี เช่น การเปิดโฟลเดอร์หรือใช้โปรแกรม

การโจมตีเป็นสิ่งที่อันตรายเนื่องจากเกิดขึ้นอย่างลับๆ ตามที่อธิบายไว้ใน Microsoft Scripting ผู้โจมตีจะสร้างการสมัครสมาชิกเหตุการณ์ WMI แบบถาวรเพื่อดำเนินการเพย์โหลดที่ทำหน้าที่เป็นกระบวนการของระบบและล้างบันทึกการดำเนินการ ด้วยเวกเตอร์การโจมตีนี้ ผู้โจมตีสามารถหลีกเลี่ยงการตรวจจับผ่านการตรวจสอบบรรทัดคำสั่ง

วิธีป้องกันและกำจัด WMI Persistence

การสมัครรับข้อมูลกิจกรรม WMI ได้รับการออกแบบอย่างชาญฉลาดเพื่อหลีกเลี่ยงการตรวจจับ วิธีที่ดีที่สุดในการหลีกเลี่ยงการโจมตีเหล่านี้คือการปิดใช้งานบริการ WMI การทำเช่นนี้จะไม่ส่งผลต่อประสบการณ์การใช้งานโดยรวมของคุณ เว้นแต่คุณจะเป็นผู้ใช้ขั้นสูง

ตัวเลือกที่ดีที่สุดถัดไปคือการ บล็อกพอร์ตโปรโตคอล WMI โดยการกำหนดค่า DCOM เพื่อใช้พอร์ตแบบคงที่เดียว และบล็อกพอร์ตนั้น คุณสามารถดูคำแนะนำของ Quantrimang.com เกี่ยวกับวิธีปิดพอร์ตที่มีช่องโหว่เพื่อดูคำแนะนำเพิ่มเติมเกี่ยวกับวิธีการทำเช่นนี้

มาตรการนี้อนุญาตให้บริการ WMI ทำงานภายในเครื่องในขณะที่บล็อกการเข้าถึงระยะไกล นี่เป็นความคิดที่ดี โดยเฉพาะอย่างยิ่งเมื่อการเข้าถึงคอมพิวเตอร์จากระยะไกลมาพร้อมกับความเสี่ยงในตัวมันเอง

สุดท้ายนี้ คุณสามารถกำหนดค่า WMI ให้สแกนและเตือนคุณเกี่ยวกับภัยคุกคามได้ ดังที่ Chad Tilbury แสดงให้เห็นในการนำเสนอนี้:

อำนาจไม่ควรตกไปอยู่ในมือคนผิด

WMI เป็นผู้จัดการระบบที่ทรงพลังและมีศักยภาพที่จะกลายเป็นเครื่องมืออันตรายเมื่อตกอยู่ในมือของคนผิด ที่แย่กว่านั้นคือ ในการทำการโจมตีนี้ ไม่จำเป็นต้องมีความรู้ด้านเทคนิคขั้นสูงมากนัก คำแนะนำเกี่ยวกับวิธีการสร้างและเปิดใช้งานการโจมตี WMI Persistence มีให้ใช้งานฟรีบนอินเทอร์เน็ต

ดังนั้นผู้ร้ายจึงสามารถสอดแนมคุณจากระยะไกลหรือขโมยข้อมูลได้โดยไม่ทิ้งร่องรอย อย่างไรก็ตาม ข่าวดีก็คือว่าเทคโนโลยีและความปลอดภัยทางไซเบอร์ไม่มีความสมบูรณ์แบบ ยังคงเป็นไปได้ที่จะป้องกันและกำจัดการมีอยู่ของ WMI ก่อนที่ผู้โจมตีจะสร้างความเสียหายร้ายแรง

Tags: #ค้นหามัลแวร์บน windows #ลบมัลแวร์บน windows #ค้นหามัลแวร์บน windows #การคงอยู่ของ wmi #มัลแวร์การคงอยู่ของ wmi #มัลแวร์การคงอยู่ของ wmi

คำแนะนำจาก AZ เกี่ยวกับวิธีติดตั้ง Windows 10 บิวด์ 14393.222

ล่าสุด Microsoft เปิดตัวการอัปเดตสะสมล่าสุดสำหรับผู้ใช้พีซี Windows 10 ที่เรียกว่า Build 14393.222 การอัปเดตนี้เผยแพร่สำหรับ Windows 10 โดยส่วนใหญ่จะแก้ไขจุดบกพร่องตามคำติชมของผู้ใช้ และปรับปรุงประสบการณ์ด้านประสิทธิภาพของระบบปฏิบัติการ

ปกป้องเครือข่ายคอมพิวเตอร์ของคุณด้วยโฮสต์ Bastion ในเวลาเพียง 3 ขั้นตอน

คุณมีคอมพิวเตอร์บนเครือข่ายท้องถิ่นที่ต้องการการเข้าถึงจากภายนอกหรือไม่? การใช้โฮสต์ป้อมปราการเป็นผู้ดูแลเครือข่ายของคุณอาจเป็นทางออกที่ดี

วิธีสร้างคีย์ Windows หากไม่มีแป้นพิมพ์ของคุณ

หากคุณต้องการใช้แป้นพิมพ์คลาสสิกรุ่นเก่า เช่น IBM Model M ที่ไม่มีคีย์ Windows มาให้ มีวิธีง่ายๆ ในการเพิ่มคีย์เพิ่มเติมโดยการยืมคีย์ที่คุณไม่ได้ใช้บ่อย

3 วิธีในการล้างบันทึกเหตุการณ์ทั้งหมดใน Windows 10 อย่างรวดเร็ว

บางครั้งคุณอาจต้องลบบันทึกเหตุการณ์เก่าทั้งหมดพร้อมกัน ในคู่มือนี้ Quantrimang.com จะแสดง 3 วิธีในการลบบันทึกเหตุการณ์ทั้งหมดใน Windows 10 Event Viewer อย่างรวดเร็ว

วิธี IP ปลอมช่วยให้คุณเข้าถึงโดยไม่ระบุชื่อ

ในบทความก่อนหน้านี้หลายบทความ เราได้กล่าวไว้ว่าการไม่เปิดเผยตัวตนทางออนไลน์เป็นสิ่งสำคัญอย่างยิ่ง ข้อมูลส่วนตัวรั่วไหลทุกปี ทำให้การรักษาความปลอดภัยออนไลน์มีความจำเป็นมากขึ้น นั่นคือเหตุผลที่เราควรใช้ที่อยู่ IP เสมือน ด้านล่างนี้เราจะเรียนรู้เกี่ยวกับวิธีการสร้าง IP ปลอม!

วิธีสร้างโหมดพื้นหลังโปร่งใสบน Windows 10

WindowTop เป็นเครื่องมือที่มีความสามารถในการหรี่หน้าต่างแอปพลิเคชันและโปรแกรมทั้งหมดที่ทำงานบนคอมพิวเตอร์ Windows 10 หรือคุณสามารถใช้อินเทอร์เฟซพื้นหลังสีเข้มบน windows ได้

วิธีปิดแถบภาษาบนทาสก์บาร์ของ Windows 8

แถบภาษาบน Windows 8 เป็นแถบเครื่องมือภาษาขนาดเล็กที่ออกแบบมาเพื่อแสดงบนหน้าจอเดสก์ท็อปโดยอัตโนมัติ อย่างไรก็ตาม หลายๆ คนต้องการซ่อนแถบภาษานี้บนทาสก์บาร์

วิธีการตั้งค่า WEP, WPA, WPA2 สำหรับเราเตอร์ Linksys

การเชื่อมต่อไร้สายถือเป็นสิ่งจำเป็นในปัจจุบัน และด้วยเหตุนี้ การรักษาความปลอดภัยแบบไร้สายจึงถือเป็นสิ่งสำคัญในการรับรองความปลอดภัยในเครือข่ายภายในของคุณ

เคล็ดลับในการปรับความเร็วการเชื่อมต่ออินเทอร์เน็ตจาก Linksys ให้เหมาะสม

การเพิ่มความเร็วอินเทอร์เน็ตให้สูงสุดถือเป็นสิ่งสำคัญในการเพิ่มประสิทธิภาพการเชื่อมต่อเครือข่ายของคุณ คุณสามารถมีความบันเทิงและประสบการณ์การทำงานที่ดีที่สุดโดยใช้คอมพิวเตอร์ ทีวีที่เชื่อมต่ออินเทอร์เน็ต เครื่องเล่นเกม ฯลฯ

เคล็ดลับในการแสดงการแจ้งเตือนบนหน้าจอเข้าสู่ระบบ Windows 10

หากคุณกำลังแชร์คอมพิวเตอร์กับเพื่อนหรือสมาชิกในครอบครัว หรือจัดการคอมพิวเตอร์หลายเครื่องโดยเฉพาะ คุณอาจเผชิญกับสถานการณ์ที่ไม่พึงประสงค์ซึ่งคุณต้องการเตือนพวกเขาด้วยบันทึกย่อก่อนที่พวกเขาจะเข้าสู่ระบบคอมพิวเตอร์ต่อไป