Những chương trình Anti-Virus (AV) về cơ bản cũng có thể phát hiện được mã độc, thường các chương trình AV dựa trên cơ sở dữ liệu có sẵn hoặc dựa vào so sánh mẫu (heurictic). Tuy nhiên các kỹ thuật này có thể bị vượt qua bằng các biến thể được thiết kế đặc biệt hơn. Chính vì thế, để nâng cao hiệu quả trong việc phát hiện các tiến trình độc hại, người dùng cũng có thể kết hợp thêm những công cụ hỗ trợ, điển hình như Process Explorer.
Process Explorer được biết đến là một trình quản lý tác vụ rất hữu ích trong việc theo dõi, kiểm tra những ứng dụng, dịch vụ, các tiến trình đang hoạt động và tổng quan thông tin về hệ thống. Đồng thời, với công cụ này người dùng cũng có thể gỡ rối các chương trình hoặc kịp thời phát hiện mã độc nào đang chạy và ngăn chặn. Đặc biệt, từ phiên bản 15 trở đi, Process Explorer đã được tích hợp công cụ VirusTotal để giúp người dùng có thể xác định những tập tin hay đường dẫn (URL) có chứa mã độc hại nào hay không.
Đây là một công cụ rất dễ dàng để cài đặt, người dùng sẽ không cần mất nhiều thời gian để thao tác, cụ thể các bước thực hiện như sau:
Bước 1: Tiến hành tải Process Explorer theo đường dẫn: https://download.sysinternals.com/files/ ProcessExplorer.zip, tiếp đó tiến hành giải nén. Khi giải nén xong sẽ có 2 phiên bản: Procexp.exe - dành cho Windows 32 bit và Procexp64.exe - dành cho Windows 64 bit để phù hợp với phiên bản máy tính của từng người dùng.
Bước 2: Sau khi chọn phiên bản và cài đặt, người dùng chọn vào Agree để đồng ý với các điều khoản và tiến hành mở công cụ Process Explorer lên (Hình 1).
Hình 1. Chọn các điều khoản đồng ý và mở công cụ
Bước 3: Trên trang chủ giao diện, ở góc trên cùng bên trái chọn Option > chọn Verify Image Signatures và bật tính năng Check VirusTotal.com của VirusTotal.com.
Hình 2. Bật tùy chọn Verify và Check VirusTotal.com
Với tính năng Verify Image Signatures của Process Explorer sẽ giúp người dùng xác minh rằng tệp đã được ký bởi Microsoft. Vì Microsoft sử dụng chữ ký số cho hầu hết các tệp tin thực thi, khi đó phần mềm sẽ phân tích và xác nhận rằng tệp tin đã được ký số và hợp lệ, lúc này người dùng có thể yên tâm về tính an toàn của nó.
Trong khi đó, tính năng VirusTotal sẽ giúp kiểm tra về các kết quả quét mã độc dựa vào cơ sở dữ liệu từ nhiều nguồn chương trình AV nổi tiếng khác nhau trên thế giới, khi kết hợp với tùy chọn Verify Image Signatures có thể đưa ra những đánh giá chung về những tệp tin nào là an toàn, tệp nào là độc hại.
Cụ thể các bước để sử dụng 2 tính năng này trong việc phát hiện và kiểm tra mã độc được thực hiện như sau:
Bước 1: Trên giao diện chính của Process Explorer người dùng quan sát cột Verify Signatures. Nếu máy tính người dùng bình thường thì thông tin ở cột này sẽ là “Verified”, tức là các ứng dụng và tiến trình trên mày tính đã được ký số và xác thực, có thể là an toàn.
Hình 3. Kiểm tra Verifed Signer cho thấy đã được xác thực
Ngược lại, với thông tin “No signature was present in the subject” hay ứng dụng không được xác thực, có khả năng là mã độc. Tuy nhiên, đây chỉ là một dấu hiệu và chưa đủ để khẳng định rằng tiến trình đã an toàn hay chưa. Vì vậy, người dùng cần kết hợp với VirusTotal trong Bước 2 dưới đây.
Bước 2: Người dùng xem các dấu hiệu ở cột VirusTotal. Nếu trường hợp cho kết quả màu xanh, ví dụ như Hình 4 cho thấy rằng có 71 trình AV được sử dụng và sau khi dò quét đã không phát hiện tiến trình độc hại nào. Trong khi đó, nếu xuất hiện cảnh báo màu đỏ, ví dụ như (x/71) thì có thể là mã độc.
Hình 4. Kiểm tra cột VirusTotal với dấu hiệu an toàn
Lưu ý: Nếu như một số tiến trình cũng có cảnh báo màu đỏ, tuy nhiên giá trị “x” rất thấp, ví dụ như 1 hoặc 2 (sẽ có 1 hoặc 2 trình AV phát hiện tiến trình độc hại). Lúc này người dùng cần kiểm tra kỹ các thông tin trên VirusTotal và kết hợp thông tin về tiến trình đó có được xác thực ký số hay không (Bước 1), cũng như các thông tin khác để đưa ra kết quả, vì rất có thể những trường hợp này là cảnh báo sai.
Hình 5. Trường hợp chưa rõ ràng để kết luận
Bước 3: Với một số trường hợp công cụ không kiểm tra được hoặc muốn kiểm tra lại, người dùng kích đúp chuột vào tiến trình đó, chọn Submit để các chương trình AV dò quét lần nữa.
Hình 6. Dò quét kiểm tra lại
Khi người dùng đã xác định tiến trình độc hại, thực hiện các bước sau để gỡ bỏ mã độc trên hệ thống:
Bước 1: Kích chuột phải vào tiến trình độc hại, chọn Kill Process để tắt tiến trình đó.
Hình 7. Tắt tiến trình độc hại
Bước 2: Tiếp tục kích phải chuột vào tiến trình, chọn Properties. Sau đó, vào tab Image để tìm kiếm vị trí tệp thực thi khởi chạy tiến trình độc hại và các giá trị registry mã độc đã khởi tạo:
- Path: Vị trí tệp thực thi khởi chạy tiến trình độc hại.
- AutoStart Location: Vị trí các registry được mã độc khởi tạo để khởi động cùng với hệ thống.
Hình 8. Xác định vị trí khởi chạy tiến trình độc hại và registry mã độc khởi tạo
Bước 3: Người dùng thực hiện tìm đến các tệp thực thi và key registry tìm được ở Bước 2 để thực hiện xóa bỏ.
Trên đây là hướng dẫn sử dụng công cụ phát hiện mã độc Process Explorer trong việc phát hiện và ngăn chặn mã độc. Hy vọng thông qua bài viết này sẽ giúp bạn đọc trang bị thêm một số kiến thức cơ bản để có thể chủ động xử lý trong những trường hợp tương tự.
Hồng Đạt
18:00 | 16/08/2022
12:00 | 12/08/2022
17:00 | 20/06/2022
15:00 | 24/10/2023
Google cho biết đang thử nghiệm tính năng “IP Protection” mới cho trình duyệt Chrome để nâng cao quyền riêng tư của người dùng bằng cách che giấu địa chỉ IP của họ bằng máy chủ proxy.
13:00 | 30/05/2023
Mặc dù mạng 5G sẽ mang lại nhiều lợi ích cho xã hội và người dân, nhưng 5G cũng làm tăng thêm những rủi ro mới. Bảo mật 5G là vấn đề chung mà thế giới đang phải đối mặt, do đó cần tăng cường nghiên cứu, học hỏi kinh nghiệm của các nước để làm phong phú hơn kịch bản ứng phó của quốc gia mình.
11:00 | 27/01/2023
Các tổ chức/doanh nghiệp nên thực hiện quản lý rủi ro trong suốt chu trình phát triển phần mềm thay vì quay trở về các xu hướng phát triển trước đó. Tần suất xuất hiện rủi ro sẽ tiếp tục tăng nhanh khi các tác động tiêu cực của các lỗi xuất hiện trong chu trình phát triển phần mềm ngày càng nghiêm trọng. Các phương pháp và cách thực hành trước đây về thực hiện quản trị, rủi ro và tuân thủ (GRC) đều xoay quanh các quy trình thủ công, sử dụng bảng tính hoặc nhận dạng hồi tố,… đã quá lỗi thời, không thể bắt kịp với sự phát triển nhanh chóng của công nghệ. Kết quả là, các doanh nghiệp đã đưa quản lý rủi ro vào thời đại kỹ thuật số, biến GRC thành quản lý rủi ro kỹ thuật số (DRM). Những DRM được áp dụng đó đưa ra các quyết định bảo mật tốt hơn, bảo vệ dữ liệu khách hàng và đảm bảo sự hài lòng của các bên liên quan. Việc thực hiện DRM cũng dẫn đến hiệu quả cao hơn thông qua tự động hóa.
08:00 | 03/01/2023
Các thiết bị Smartphone ngày nay đang phải đối mặt với nhiều mối đe dọa khác nhau, bất kể đó là hệ điều hành Android hay iOS. Thông qua các liên kết độc hại được gửi qua mạng xã hội, đến những chương trình có khả năng theo dõi, xâm phạm các ứng dụng hoặc triển khai mã độc tống tiền trên thiết bị của người dùng. Bài báo sẽ giới thiệu đến độc giả các mối đe dọa phổ biến nhắm vào thiết bị Smartphone giúp người dùng có thể chủ động phòng tránh.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
