Những chương trình Anti-Virus (AV) về cơ bản cũng có thể phát hiện được mã độc, thường các chương trình AV dựa trên cơ sở dữ liệu có sẵn hoặc dựa vào so sánh mẫu (heurictic). Tuy nhiên các kỹ thuật này có thể bị vượt qua bằng các biến thể được thiết kế đặc biệt hơn. Chính vì thế, để nâng cao hiệu quả trong việc phát hiện các tiến trình độc hại, người dùng cũng có thể kết hợp thêm những công cụ hỗ trợ, điển hình như Process Explorer.
Process Explorer được biết đến là một trình quản lý tác vụ rất hữu ích trong việc theo dõi, kiểm tra những ứng dụng, dịch vụ, các tiến trình đang hoạt động và tổng quan thông tin về hệ thống. Đồng thời, với công cụ này người dùng cũng có thể gỡ rối các chương trình hoặc kịp thời phát hiện mã độc nào đang chạy và ngăn chặn. Đặc biệt, từ phiên bản 15 trở đi, Process Explorer đã được tích hợp công cụ VirusTotal để giúp người dùng có thể xác định những tập tin hay đường dẫn (URL) có chứa mã độc hại nào hay không.
Đây là một công cụ rất dễ dàng để cài đặt, người dùng sẽ không cần mất nhiều thời gian để thao tác, cụ thể các bước thực hiện như sau:
Bước 1: Tiến hành tải Process Explorer theo đường dẫn: https://download.sysinternals.com/files/ ProcessExplorer.zip, tiếp đó tiến hành giải nén. Khi giải nén xong sẽ có 2 phiên bản: Procexp.exe - dành cho Windows 32 bit và Procexp64.exe - dành cho Windows 64 bit để phù hợp với phiên bản máy tính của từng người dùng.
Bước 2: Sau khi chọn phiên bản và cài đặt, người dùng chọn vào Agree để đồng ý với các điều khoản và tiến hành mở công cụ Process Explorer lên (Hình 1).
Hình 1. Chọn các điều khoản đồng ý và mở công cụ
Bước 3: Trên trang chủ giao diện, ở góc trên cùng bên trái chọn Option > chọn Verify Image Signatures và bật tính năng Check VirusTotal.com của VirusTotal.com.
Hình 2. Bật tùy chọn Verify và Check VirusTotal.com
Với tính năng Verify Image Signatures của Process Explorer sẽ giúp người dùng xác minh rằng tệp đã được ký bởi Microsoft. Vì Microsoft sử dụng chữ ký số cho hầu hết các tệp tin thực thi, khi đó phần mềm sẽ phân tích và xác nhận rằng tệp tin đã được ký số và hợp lệ, lúc này người dùng có thể yên tâm về tính an toàn của nó.
Trong khi đó, tính năng VirusTotal sẽ giúp kiểm tra về các kết quả quét mã độc dựa vào cơ sở dữ liệu từ nhiều nguồn chương trình AV nổi tiếng khác nhau trên thế giới, khi kết hợp với tùy chọn Verify Image Signatures có thể đưa ra những đánh giá chung về những tệp tin nào là an toàn, tệp nào là độc hại.
Cụ thể các bước để sử dụng 2 tính năng này trong việc phát hiện và kiểm tra mã độc được thực hiện như sau:
Bước 1: Trên giao diện chính của Process Explorer người dùng quan sát cột Verify Signatures. Nếu máy tính người dùng bình thường thì thông tin ở cột này sẽ là “Verified”, tức là các ứng dụng và tiến trình trên mày tính đã được ký số và xác thực, có thể là an toàn.
Hình 3. Kiểm tra Verifed Signer cho thấy đã được xác thực
Ngược lại, với thông tin “No signature was present in the subject” hay ứng dụng không được xác thực, có khả năng là mã độc. Tuy nhiên, đây chỉ là một dấu hiệu và chưa đủ để khẳng định rằng tiến trình đã an toàn hay chưa. Vì vậy, người dùng cần kết hợp với VirusTotal trong Bước 2 dưới đây.
Bước 2: Người dùng xem các dấu hiệu ở cột VirusTotal. Nếu trường hợp cho kết quả màu xanh, ví dụ như Hình 4 cho thấy rằng có 71 trình AV được sử dụng và sau khi dò quét đã không phát hiện tiến trình độc hại nào. Trong khi đó, nếu xuất hiện cảnh báo màu đỏ, ví dụ như (x/71) thì có thể là mã độc.
Hình 4. Kiểm tra cột VirusTotal với dấu hiệu an toàn
Lưu ý: Nếu như một số tiến trình cũng có cảnh báo màu đỏ, tuy nhiên giá trị “x” rất thấp, ví dụ như 1 hoặc 2 (sẽ có 1 hoặc 2 trình AV phát hiện tiến trình độc hại). Lúc này người dùng cần kiểm tra kỹ các thông tin trên VirusTotal và kết hợp thông tin về tiến trình đó có được xác thực ký số hay không (Bước 1), cũng như các thông tin khác để đưa ra kết quả, vì rất có thể những trường hợp này là cảnh báo sai.
Hình 5. Trường hợp chưa rõ ràng để kết luận
Bước 3: Với một số trường hợp công cụ không kiểm tra được hoặc muốn kiểm tra lại, người dùng kích đúp chuột vào tiến trình đó, chọn Submit để các chương trình AV dò quét lần nữa.
Hình 6. Dò quét kiểm tra lại
Khi người dùng đã xác định tiến trình độc hại, thực hiện các bước sau để gỡ bỏ mã độc trên hệ thống:
Bước 1: Kích chuột phải vào tiến trình độc hại, chọn Kill Process để tắt tiến trình đó.
Hình 7. Tắt tiến trình độc hại
Bước 2: Tiếp tục kích phải chuột vào tiến trình, chọn Properties. Sau đó, vào tab Image để tìm kiếm vị trí tệp thực thi khởi chạy tiến trình độc hại và các giá trị registry mã độc đã khởi tạo:
- Path: Vị trí tệp thực thi khởi chạy tiến trình độc hại.
- AutoStart Location: Vị trí các registry được mã độc khởi tạo để khởi động cùng với hệ thống.
Hình 8. Xác định vị trí khởi chạy tiến trình độc hại và registry mã độc khởi tạo
Bước 3: Người dùng thực hiện tìm đến các tệp thực thi và key registry tìm được ở Bước 2 để thực hiện xóa bỏ.
Trên đây là hướng dẫn sử dụng công cụ phát hiện mã độc Process Explorer trong việc phát hiện và ngăn chặn mã độc. Hy vọng thông qua bài viết này sẽ giúp bạn đọc trang bị thêm một số kiến thức cơ bản để có thể chủ động xử lý trong những trường hợp tương tự.
Hồng Đạt
18:00 | 16/08/2022
12:00 | 12/08/2022
17:00 | 20/06/2022
07:00 | 07/02/2025
Tấn công từ chối dịch vụ (Distributed denial of service - DDoS) đã và đang trở nên phổ biến và lan rộng trên mạng Internet. Khi DDoS nhắm tới các web server thông qua mạng botnet, kẻ tấn công thường huy động một số lượng lớn các máy tính bị nhiễm mã độc, PC-Bot gửi các yêu cầu tới máy chủ ứng dụng web làm cho tài nguyên (CPU, băng thông, bộ nhớ…) bị cạn kiệt dẫn tới dịch vụ web bị ngừng hoạt động. Để giảm thiểu thiệt hại và ngăn chặn hình thức tấn công này, cần xây dựng một ứng dụng có thể hỗ trợ giám sát một số đặc điểm bất thường trên lưu lượng mạng và phân biệt được người sử dụng hay bot đang truy cập vào web server, làm tiền đề để ngăn chặn kịp thời các cuộc tấn công DDoS, không gây tắc nghẽn băng thông hoặc cạn kiệt tài nguyên, tạo điều kiện để người sử dụng bình thường có thể truy cập website.
22:00 | 26/01/2025
Các sản phẩm được thiết kế an toàn là những sản phẩm được các nhà sản xuất phần mềm tạo ra, phân phối và bảo trì, trong đó bảo mật là yếu tố cốt lõi cần quan tâm ngay từ những giai đoạn đầu tiên của vòng đời phát triển sản phẩm. Điều này giúp đảm bảo rằng các sản phẩm mà tổ chức mua sắm và sử dụng được thiết kế an toàn, có khả năng chống lại mã độc tống tiền và các cuộc tấn công mạng khác. Hiện nay, các nhà sản xuất phần mềm đang cố gắng cung cấp các tính năng bảo mật theo yêu cầu của khách hàng, vì vậy điều quan trọng là bản thân khách hàng phải hiểu và đưa ra được những yêu cầu rõ ràng về bảo mật như một phần của quy trình mua sắm.
13:00 | 30/09/2024
Bộ nhớ RAM là một trong những nơi chứa các thông tin quý báu như mật khẩu, khóa mã, khóa phiên và nhiều dữ liệu quan trọng khác khiến nó trở thành một trong những mục tiêu quan trọng đối với tin tặc. Tấn công phân tích RAM có thể gây tiết lộ thông tin, thay đổi dữ liệu hoặc khai thác các lỗ hổng bảo mật trong hệ thống, đây đang là một hình thức tấn công bảo mật nguy hiểm đối với dữ liệu, chúng tập trung vào việc truy cập, sửa đổi hoặc đánh cắp thông tin người dùng. Bài báo sau đây sẽ trình bày về các nguy cơ, phương pháp tấn công phân tích RAM và những biện pháp bảo vệ để ngăn chặn hoạt động tấn công này.
14:00 | 09/09/2024
TikTok - thế giới giải trí đầy màu sắc nhưng cũng ẩn chứa những cạm bẫy rình rập thông tin cá nhân của người dùng. Đừng để niềm vui trở thành nỗi lo, hãy cùng khám phá những mẹo nhỏ mà hữu ích để bảo vệ dữ liệu trên TikTok, thỏa sức sáng tạo mà không lo sợ bị xâm phạm quyền riêng tư.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Cuộc tấn công nhằm vào sàn giao dịch Bybit lấy đi số tiền mã hóa trị giá 1,46 tỷ USD khai thác mắt xích yếu nhất trong bảo mật: con người.
14:00 | 19/03/2025
