Những chương trình Anti-Virus (AV) về cơ bản cũng có thể phát hiện được mã độc, thường các chương trình AV dựa trên cơ sở dữ liệu có sẵn hoặc dựa vào so sánh mẫu (heurictic). Tuy nhiên các kỹ thuật này có thể bị vượt qua bằng các biến thể được thiết kế đặc biệt hơn. Chính vì thế, để nâng cao hiệu quả trong việc phát hiện các tiến trình độc hại, người dùng cũng có thể kết hợp thêm những công cụ hỗ trợ, điển hình như Process Explorer.
Process Explorer được biết đến là một trình quản lý tác vụ rất hữu ích trong việc theo dõi, kiểm tra những ứng dụng, dịch vụ, các tiến trình đang hoạt động và tổng quan thông tin về hệ thống. Đồng thời, với công cụ này người dùng cũng có thể gỡ rối các chương trình hoặc kịp thời phát hiện mã độc nào đang chạy và ngăn chặn. Đặc biệt, từ phiên bản 15 trở đi, Process Explorer đã được tích hợp công cụ VirusTotal để giúp người dùng có thể xác định những tập tin hay đường dẫn (URL) có chứa mã độc hại nào hay không.
Đây là một công cụ rất dễ dàng để cài đặt, người dùng sẽ không cần mất nhiều thời gian để thao tác, cụ thể các bước thực hiện như sau:
Bước 1: Tiến hành tải Process Explorer theo đường dẫn: https://download.sysinternals.com/files/ ProcessExplorer.zip, tiếp đó tiến hành giải nén. Khi giải nén xong sẽ có 2 phiên bản: Procexp.exe - dành cho Windows 32 bit và Procexp64.exe - dành cho Windows 64 bit để phù hợp với phiên bản máy tính của từng người dùng.
Bước 2: Sau khi chọn phiên bản và cài đặt, người dùng chọn vào Agree để đồng ý với các điều khoản và tiến hành mở công cụ Process Explorer lên (Hình 1).
Hình 1. Chọn các điều khoản đồng ý và mở công cụ
Bước 3: Trên trang chủ giao diện, ở góc trên cùng bên trái chọn Option > chọn Verify Image Signatures và bật tính năng Check VirusTotal.com của VirusTotal.com.
Hình 2. Bật tùy chọn Verify và Check VirusTotal.com
Với tính năng Verify Image Signatures của Process Explorer sẽ giúp người dùng xác minh rằng tệp đã được ký bởi Microsoft. Vì Microsoft sử dụng chữ ký số cho hầu hết các tệp tin thực thi, khi đó phần mềm sẽ phân tích và xác nhận rằng tệp tin đã được ký số và hợp lệ, lúc này người dùng có thể yên tâm về tính an toàn của nó.
Trong khi đó, tính năng VirusTotal sẽ giúp kiểm tra về các kết quả quét mã độc dựa vào cơ sở dữ liệu từ nhiều nguồn chương trình AV nổi tiếng khác nhau trên thế giới, khi kết hợp với tùy chọn Verify Image Signatures có thể đưa ra những đánh giá chung về những tệp tin nào là an toàn, tệp nào là độc hại.
Cụ thể các bước để sử dụng 2 tính năng này trong việc phát hiện và kiểm tra mã độc được thực hiện như sau:
Bước 1: Trên giao diện chính của Process Explorer người dùng quan sát cột Verify Signatures. Nếu máy tính người dùng bình thường thì thông tin ở cột này sẽ là “Verified”, tức là các ứng dụng và tiến trình trên mày tính đã được ký số và xác thực, có thể là an toàn.
Hình 3. Kiểm tra Verifed Signer cho thấy đã được xác thực
Ngược lại, với thông tin “No signature was present in the subject” hay ứng dụng không được xác thực, có khả năng là mã độc. Tuy nhiên, đây chỉ là một dấu hiệu và chưa đủ để khẳng định rằng tiến trình đã an toàn hay chưa. Vì vậy, người dùng cần kết hợp với VirusTotal trong Bước 2 dưới đây.
Bước 2: Người dùng xem các dấu hiệu ở cột VirusTotal. Nếu trường hợp cho kết quả màu xanh, ví dụ như Hình 4 cho thấy rằng có 71 trình AV được sử dụng và sau khi dò quét đã không phát hiện tiến trình độc hại nào. Trong khi đó, nếu xuất hiện cảnh báo màu đỏ, ví dụ như (x/71) thì có thể là mã độc.
Hình 4. Kiểm tra cột VirusTotal với dấu hiệu an toàn
Lưu ý: Nếu như một số tiến trình cũng có cảnh báo màu đỏ, tuy nhiên giá trị “x” rất thấp, ví dụ như 1 hoặc 2 (sẽ có 1 hoặc 2 trình AV phát hiện tiến trình độc hại). Lúc này người dùng cần kiểm tra kỹ các thông tin trên VirusTotal và kết hợp thông tin về tiến trình đó có được xác thực ký số hay không (Bước 1), cũng như các thông tin khác để đưa ra kết quả, vì rất có thể những trường hợp này là cảnh báo sai.
Hình 5. Trường hợp chưa rõ ràng để kết luận
Bước 3: Với một số trường hợp công cụ không kiểm tra được hoặc muốn kiểm tra lại, người dùng kích đúp chuột vào tiến trình đó, chọn Submit để các chương trình AV dò quét lần nữa.
Hình 6. Dò quét kiểm tra lại
Khi người dùng đã xác định tiến trình độc hại, thực hiện các bước sau để gỡ bỏ mã độc trên hệ thống:
Bước 1: Kích chuột phải vào tiến trình độc hại, chọn Kill Process để tắt tiến trình đó.
Hình 7. Tắt tiến trình độc hại
Bước 2: Tiếp tục kích phải chuột vào tiến trình, chọn Properties. Sau đó, vào tab Image để tìm kiếm vị trí tệp thực thi khởi chạy tiến trình độc hại và các giá trị registry mã độc đã khởi tạo:
- Path: Vị trí tệp thực thi khởi chạy tiến trình độc hại.
- AutoStart Location: Vị trí các registry được mã độc khởi tạo để khởi động cùng với hệ thống.
Hình 8. Xác định vị trí khởi chạy tiến trình độc hại và registry mã độc khởi tạo
Bước 3: Người dùng thực hiện tìm đến các tệp thực thi và key registry tìm được ở Bước 2 để thực hiện xóa bỏ.
Trên đây là hướng dẫn sử dụng công cụ phát hiện mã độc Process Explorer trong việc phát hiện và ngăn chặn mã độc. Hy vọng thông qua bài viết này sẽ giúp bạn đọc trang bị thêm một số kiến thức cơ bản để có thể chủ động xử lý trong những trường hợp tương tự.
Hồng Đạt
18:00 | 16/08/2022
12:00 | 12/08/2022
17:00 | 20/06/2022
09:00 | 06/01/2025
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
13:00 | 17/06/2024
Để tăng cường tính bảo mật và khắc phục các lỗ hổng, Microsoft thường phát hành định kỳ những bản cập nhật dành cho Windows, trong đó có các bản vá Patch Tuesday hàng tháng. Việc nắm bắt các bản vá này rất quan trọng để chủ động phòng tránh trước các mối đe dọa mạng. Bài viết này đưa ra quy trình cập nhật bản vá bảo mật Windows trên các máy trạm dành cho người dùng cuối, việc thực hiện cập nhật trên máy chủ Windows Server thực hiện tương tự.
08:00 | 22/05/2024
Phần II của bài báo tiếp tục tập trung đánh giá một số công nghệ Blockchain phổ biến hiện nay, từ đó, xem xét tính ứng dụng của các công nghệ này đối với Việt Nam.
09:00 | 28/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Trong kỷ nguyên số hóa, việc ứng dụng các công nghệ hiện đại đóng vai trò rất quan trọng trong bảo vệ dữ liệu, hệ thống máy tính, ngăn chặn chúng khỏi sự tấn công hoặc truy cập trái phép. Blockchain và trí tuệ nhân tạo (AI) là hai trong số những công nghệ mạnh mẽ đã được ứng dụng và phát huy hiệu quả trong nhiều lĩnh vực của đời sống. Với những ưu thế vượt trội của từng công nghệ, việc kết hợp AI và Blockchain có thể đem lại nhiều giải pháp hiệu quả nhằm đảm bảo an ninh mạng (ANM), an toàn thông tin (ATTT). Bài viết sẽ giới thiệu về ứng dụng của công nghệ AI và Blockchain trong bảo đảm ANM, ATTT cũng như phân tích khả năng tích hợp hai công nghệ này trong phát hiện, ngăn chặn các mối đe dọa hiện nay.
10:00 | 06/02/2025