Phát hiện mã độc cơ bản trên máy tính người dùng với công cụ Process Explorer

13:00 | 16/09/2022 | GIẢI PHÁP KHÁC

Ngày nay, số lượng các cuộc tấn công mạng sử dụng mã độc đang có chiều hướng gia tăng. Trong đó, người dùng cuối chính là mục tiêu ưa thích của tin tặc. Xuất phát từ tâm lý chủ quan, mất cảnh giác và đa số người dùng còn thiếu những kỹ năng cần thiết khi truy cập, sử dụng tài nguyên trên không gian mạng, đặc biệt là chưa có nhiều kinh nghiệm trong việc kiểm tra mã độc trên máy tính của mình. Bài viết dưới đây sẽ hướng dẫn giúp quý độc giả cách thức phát hiện mã độc cơ bản trên hệ điều hành Windows, bằng công cụ hỗ trợ Process Explorer.

SƠ LƯỢC VỀ PROCESS EXPLORER

Những chương trình Anti-Virus (AV) về cơ bản cũng có thể phát hiện được mã độc, thường các chương trình AV dựa trên cơ sở dữ liệu có sẵn hoặc dựa vào so sánh mẫu (heurictic). Tuy nhiên các kỹ thuật này có thể bị vượt qua bằng các biến thể được thiết kế đặc biệt hơn. Chính vì thế, để nâng cao hiệu quả trong việc phát hiện các tiến trình độc hại, người dùng cũng có thể kết hợp thêm những công cụ hỗ trợ, điển hình như Process Explorer.

Process Explorer được biết đến là một trình quản lý tác vụ rất hữu ích trong việc theo dõi, kiểm tra những ứng dụng, dịch vụ, các tiến trình đang hoạt động và tổng quan thông tin về hệ thống. Đồng thời, với công cụ này người dùng cũng có thể gỡ rối các chương trình hoặc kịp thời phát hiện mã độc nào đang chạy và ngăn chặn. Đặc biệt, từ phiên bản 15 trở đi, Process Explorer đã được tích hợp công cụ VirusTotal để giúp người dùng có thể xác định những tập tin hay đường dẫn (URL) có chứa mã độc hại nào hay không.

CÀI ĐẶT PROCESS EXPLORER

Đây là một công cụ rất dễ dàng để cài đặt, người dùng sẽ không cần mất nhiều thời gian để thao tác, cụ thể các bước thực hiện như sau:

Bước 1: Tiến hành tải Process Explorer theo đường dẫn: https://download.sysinternals.com/files/ ProcessExplorer.zip, tiếp đó tiến hành giải nén. Khi giải nén xong sẽ có 2 phiên bản: Procexp.exe - dành cho Windows 32 bit và Procexp64.exe - dành cho Windows 64 bit để phù hợp với phiên bản máy tính của từng người dùng.

Bước 2: Sau khi chọn phiên bản và cài đặt, người dùng chọn vào Agree để đồng ý với các điều khoản và tiến hành mở công cụ Process Explorer lên (Hình 1).

Phát hiện mã độc cơ bản trên máy tính người dùng với công cụ Process Explorer

Hình 1. Chọn các điều khoản đồng ý và mở công cụ

Bước 3: Trên trang chủ giao diện, ở góc trên cùng bên trái chọn Option > chọn Verify Image Signatures và bật tính năng Check VirusTotal.com của VirusTotal.com.

Hình 2. Bật tùy chọn Verify và Check VirusTotal.com

NHẬN DIỆN MÃ ĐỘC DỰA VÀO DẤU HIỆU

Với tính năng Verify Image Signatures của Process Explorer sẽ giúp người dùng xác minh rằng tệp đã được ký bởi Microsoft. Vì Microsoft sử dụng chữ ký số cho hầu hết các tệp tin thực thi, khi đó phần mềm sẽ phân tích và xác nhận rằng tệp tin đã được ký số và hợp lệ, lúc này người dùng có thể yên tâm về tính an toàn của nó.

Trong khi đó, tính năng VirusTotal sẽ giúp kiểm tra về các kết quả quét mã độc dựa vào cơ sở dữ liệu từ nhiều nguồn chương trình AV nổi tiếng khác nhau trên thế giới, khi kết hợp với tùy chọn Verify Image Signatures có thể đưa ra những đánh giá chung về những tệp tin nào là an toàn, tệp nào là độc hại.

Cụ thể các bước để sử dụng 2 tính năng này trong việc phát hiện và kiểm tra mã độc được thực hiện như sau:

Bước 1: Trên giao diện chính của Process Explorer người dùng quan sát cột Verify Signatures. Nếu máy tính người dùng bình thường thì thông tin ở cột này sẽ là “Verified”, tức là các ứng dụng và tiến trình trên mày tính đã được ký số và xác thực, có thể là an toàn.

Hình 3. Kiểm tra Verifed Signer cho thấy đã được xác thực

Ngược lại, với thông tin “No signature was present in the subject” hay ứng dụng không được xác thực, có khả năng là mã độc. Tuy nhiên, đây chỉ là một dấu hiệu và chưa đủ để khẳng định rằng tiến trình đã an toàn hay chưa. Vì vậy, người dùng cần kết hợp với VirusTotal trong Bước 2 dưới đây.

Bước 2: Người dùng xem các dấu hiệu ở cột VirusTotal. Nếu trường hợp cho kết quả màu xanh, ví dụ như Hình 4 cho thấy rằng có 71 trình AV được sử dụng và sau khi dò quét đã không phát hiện tiến trình độc hại nào. Trong khi đó, nếu xuất hiện cảnh báo màu đỏ, ví dụ như (x/71) thì có thể là mã độc.

Hình 4. Kiểm tra cột VirusTotal với dấu hiệu an toàn

Lưu ý: Nếu như một số tiến trình cũng có cảnh báo màu đỏ, tuy nhiên giá trị “x” rất thấp, ví dụ như 1 hoặc 2 (sẽ có 1 hoặc 2 trình AV phát hiện tiến trình độc hại). Lúc này người dùng cần kiểm tra kỹ các thông tin trên VirusTotal và kết hợp thông tin về tiến trình đó có được xác thực ký số hay không (Bước 1), cũng như các thông tin khác để đưa ra kết quả, vì rất có thể những trường hợp này là cảnh báo sai.

Hình 5. Trường hợp chưa rõ ràng để kết luận

Bước 3: Với một số trường hợp công cụ không kiểm tra được hoặc muốn kiểm tra lại, người dùng kích đúp chuột vào tiến trình đó, chọn Submit để các chương trình AV dò quét lần nữa.

Hình 6. Dò quét kiểm tra lại

CHẤM DỨT TIẾN TRÌNH VÀ THỰC HIỆN NGĂN CHẶN MÃ ĐỘC

Khi người dùng đã xác định tiến trình độc hại, thực hiện các bước sau để gỡ bỏ mã độc trên hệ thống:

Bước 1: Kích chuột phải vào tiến trình độc hại, chọn Kill Process để tắt tiến trình đó.

Hình 7. Tắt tiến trình độc hại

Bước 2: Tiếp tục kích phải chuột vào tiến trình, chọn Properties. Sau đó, vào tab Image để tìm kiếm vị trí tệp thực thi khởi chạy tiến trình độc hại và các giá trị registry mã độc đã khởi tạo:

- Path: Vị trí tệp thực thi khởi chạy tiến trình độc hại.

- AutoStart Location: Vị trí các registry được mã độc khởi tạo để khởi động cùng với hệ thống.

Hình 8. Xác định vị trí khởi chạy tiến trình độc hại và registry mã độc khởi tạo

Bước 3: Người dùng thực hiện tìm đến các tệp thực thi và key registry tìm được ở Bước 2 để thực hiện xóa bỏ.

Trên đây là hướng dẫn sử dụng công cụ phát hiện mã độc Process Explorer trong việc phát hiện và ngăn chặn mã độc. Hy vọng thông qua bài viết này sẽ giúp bạn đọc trang bị thêm một số kiến thức cơ bản để có thể chủ động xử lý trong những trường hợp tương tự.

Hồng Đạt

‹ › ×

Tin liên quan

Luna và Black Basta: Mã độc tống tiền mới trên các hệ thống Windows, Linux và ESXi

18:00 | 16/08/2022

Hiện nay, các chiến dịch tấn công sử dụng mã độc tống tiền không chỉ nhắm mục tiêu vào hệ điều hành Windows, mà còn cả trên Linux và hệ thống ảo hóa ESXi. Các nhà nghiên cứu bảo mật của Kaspersky cho biết về sự xuất hiện gần đây của hai dòng mã độc tống tiền có khả năng mã hóa các hệ thống trên là Luna và Black Basta.

Phương thức lây nhiễm của mã độc tống tiền LockBit

12:00 | 12/08/2022

Các nhà nghiên cứu tại Trung tâm Điều hành An ninh toàn cầu Cybereason (GSOC) vừa công bố một bản báo cáo Phân tích mối đe dọa về các cuộc tấn công. Trong đó, tập trung nghiên cứu vào sự phát triển của mã độc tống tiền LockBit với các kỹ thuật được sử dụng để lây nhiễm trên các hệ thống mục tiêu.

Gia tăng mã độc tấn công ứng dụng ngân hàng tại Việt Nam

17:00 | 20/06/2022

Số vụ tấn công vào ứng dụng ngân hàng tại Việt Nam gần đây gia tăng đáng kể. Một báo cáo của Kaspersky cho thấy số lượng mã độc được các phần mềm của hãng này ngăn chặn đã gia tăng tại Việt Nam trong năm 2021.

Tin cùng chuyên mục

Tăng cường bảo mật OpenSSH trên Linux

14:00 | 23/02/2024

SSH (Secure Socket Shell) là giao thức mạng để đăng nhập vào một máy tính từ xa trên một kênh truyền an toàn. Trong đó, OpenSSH là một chuẩn SSH được sử dụng ở hầu hết các bản phân phối của Linux/BSD như Ubuntu, Debian, Centos, FreeBSD, mã hóa tất cả các thông tin trên đường truyền để chống lại các mối đe dọa như nghe lén, dò mật khẩu và các hình thức tấn công mạng khác. Trong bài viết này sẽ hướng dẫn độc giả cách thức tăng cường bảo mật cho OpenSSH với một số thiết lập bảo mật và cấu hình tùy chọn cần thiết nhằm đảm bảo truy cập từ xa vào máy chủ Linux được an toàn.

Giải pháp ngăn chặn lưu lượng BOT độc hại truy cập Internet

10:00 | 22/09/2023

Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.

Kiểm soát truy cập trong môi trường đám mây lai

09:00 | 13/04/2023

Đám mây lai (Hybird - cloud) là sự kết hợp giữa các nền tảng điện toán đám mây, bao gồm một hay nhiều nhà cung cấp dịch vụ đám mây công cộng (ví dụ như Amazon hay Google) với một nền tảng đám mây nội bộ được thiết kế riêng cho một tổ chức hoặc một cơ sở hạ tầng IT của tư nhân. Đám mây công cộng và đám mây nội bộ hoạt động độc lập với nhau và giao tiếp thông qua kết nối được mã hóa để truyền tải dữ liệu và ứng dụng.

Giải pháp phát hiện Trojan phần cứng tấn công mạng tạo số ngẫu nhiên thực

09:00 | 09/01/2023

Trojan phần cứng (Hardware Trojan - HT) là một biến thể của thiết kế IC nguyên bản (sạch, tin cậy) bị cổ ý chèn thêm các linh kiện vào IC để cho phép truy cập hoặc làm thay đổi thông tin lưu trữ (xử lý) ở bên trong chip. Các HT không chỉ là đe dọa lý thuyết an toàn mà còn trở thành phương tiện tấn công tiềm ẩn, đặc biệt đối với các mạch tạo số ngẫu nhiên, giữ vai trò quan trọng trong các hoạt động xử lý bảo mật và an toàn thông tin. Bộ tạo số ngẫu nhiên (True Random Number Generator - TRNG) được dùng làm điểm khởi đầu để sinh ra các khóa mật mã nhằm bảo đảm tính tin cậy cho các phép toán trong hệ mật. Vì vậy, TRNG là mục tiêu hấp dẫn đối với tấn công cố ý bằng HT. Bài báo áp dụng phương pháp tạo số ngẫu nhiên thực TRNG, thiết kế T4RNG (Trojan for Random Number Generators) làm suy giảm chất lượng các số ngẫu nhiên ở đầu ra của bộ tạo, mô tả các đặc tính của Trojan T4RNG và đưa ra kết quả thống kê phát hiện ra Trojan này dựa vào công cụ đánh giá AIS-31[2] và NIST SP-22 [3].

Tin được quan tâm

Bảo đảm an ninh thông tin cơ sở hạ tầng quan trọng của Hoa Kỳ

08:00 | 11/01/2024 | Chính sách - Chiến lược
Giải pháp phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc (Phần I)

09:00 | 10/01/2024 | Giải pháp khác

Giải pháp tăng cường an ninh mạng ở Italia

09:00 | 05/01/2024|Chính sách - Chiến lược
Cạnh tranh Mỹ - Trung về cáp quang biển toàn cầu (phần 1)

09:00 | 05/01/2024|An ninh – Quốc Phòng

CISA cung cấp dịch vụ an ninh mạng cho các tổ chức trọng yếu không thuộc Chính quyền

09:00 | 21/12/2023|CA Công cộng
5 lưu ý giúp tăng cường bảo mật công nghệ vận hành cho các doanh nghiệp sản xuất

14:00 | 14/08/2023|Giải pháp khác

GP Mật mã

Sự phát triển của lược đồ chữ ký số kháng lượng tử dựa trên hàm băm

Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.

09:00 | 01/04/2024
Về một phương pháp tấn công kênh kề lên mã khối Kalyna
Khuyến nghị độ dài các tham số sử dụng cho hệ thống mật mã RSA trong một số tiêu chuẩn mật mã
Một số khuyến nghị về độ an toàn của hệ mật RSA (Phần I)