Những chương trình Anti-Virus (AV) về cơ bản cũng có thể phát hiện được mã độc, thường các chương trình AV dựa trên cơ sở dữ liệu có sẵn hoặc dựa vào so sánh mẫu (heurictic). Tuy nhiên các kỹ thuật này có thể bị vượt qua bằng các biến thể được thiết kế đặc biệt hơn. Chính vì thế, để nâng cao hiệu quả trong việc phát hiện các tiến trình độc hại, người dùng cũng có thể kết hợp thêm những công cụ hỗ trợ, điển hình như Process Explorer.
Process Explorer được biết đến là một trình quản lý tác vụ rất hữu ích trong việc theo dõi, kiểm tra những ứng dụng, dịch vụ, các tiến trình đang hoạt động và tổng quan thông tin về hệ thống. Đồng thời, với công cụ này người dùng cũng có thể gỡ rối các chương trình hoặc kịp thời phát hiện mã độc nào đang chạy và ngăn chặn. Đặc biệt, từ phiên bản 15 trở đi, Process Explorer đã được tích hợp công cụ VirusTotal để giúp người dùng có thể xác định những tập tin hay đường dẫn (URL) có chứa mã độc hại nào hay không.
Đây là một công cụ rất dễ dàng để cài đặt, người dùng sẽ không cần mất nhiều thời gian để thao tác, cụ thể các bước thực hiện như sau:
Bước 1: Tiến hành tải Process Explorer theo đường dẫn: https://download.sysinternals.com/files/ ProcessExplorer.zip, tiếp đó tiến hành giải nén. Khi giải nén xong sẽ có 2 phiên bản: Procexp.exe - dành cho Windows 32 bit và Procexp64.exe - dành cho Windows 64 bit để phù hợp với phiên bản máy tính của từng người dùng.
Bước 2: Sau khi chọn phiên bản và cài đặt, người dùng chọn vào Agree để đồng ý với các điều khoản và tiến hành mở công cụ Process Explorer lên (Hình 1).
Hình 1. Chọn các điều khoản đồng ý và mở công cụ
Bước 3: Trên trang chủ giao diện, ở góc trên cùng bên trái chọn Option > chọn Verify Image Signatures và bật tính năng Check VirusTotal.com của VirusTotal.com.
Hình 2. Bật tùy chọn Verify và Check VirusTotal.com
Với tính năng Verify Image Signatures của Process Explorer sẽ giúp người dùng xác minh rằng tệp đã được ký bởi Microsoft. Vì Microsoft sử dụng chữ ký số cho hầu hết các tệp tin thực thi, khi đó phần mềm sẽ phân tích và xác nhận rằng tệp tin đã được ký số và hợp lệ, lúc này người dùng có thể yên tâm về tính an toàn của nó.
Trong khi đó, tính năng VirusTotal sẽ giúp kiểm tra về các kết quả quét mã độc dựa vào cơ sở dữ liệu từ nhiều nguồn chương trình AV nổi tiếng khác nhau trên thế giới, khi kết hợp với tùy chọn Verify Image Signatures có thể đưa ra những đánh giá chung về những tệp tin nào là an toàn, tệp nào là độc hại.
Cụ thể các bước để sử dụng 2 tính năng này trong việc phát hiện và kiểm tra mã độc được thực hiện như sau:
Bước 1: Trên giao diện chính của Process Explorer người dùng quan sát cột Verify Signatures. Nếu máy tính người dùng bình thường thì thông tin ở cột này sẽ là “Verified”, tức là các ứng dụng và tiến trình trên mày tính đã được ký số và xác thực, có thể là an toàn.
Hình 3. Kiểm tra Verifed Signer cho thấy đã được xác thực
Ngược lại, với thông tin “No signature was present in the subject” hay ứng dụng không được xác thực, có khả năng là mã độc. Tuy nhiên, đây chỉ là một dấu hiệu và chưa đủ để khẳng định rằng tiến trình đã an toàn hay chưa. Vì vậy, người dùng cần kết hợp với VirusTotal trong Bước 2 dưới đây.
Bước 2: Người dùng xem các dấu hiệu ở cột VirusTotal. Nếu trường hợp cho kết quả màu xanh, ví dụ như Hình 4 cho thấy rằng có 71 trình AV được sử dụng và sau khi dò quét đã không phát hiện tiến trình độc hại nào. Trong khi đó, nếu xuất hiện cảnh báo màu đỏ, ví dụ như (x/71) thì có thể là mã độc.
Hình 4. Kiểm tra cột VirusTotal với dấu hiệu an toàn
Lưu ý: Nếu như một số tiến trình cũng có cảnh báo màu đỏ, tuy nhiên giá trị “x” rất thấp, ví dụ như 1 hoặc 2 (sẽ có 1 hoặc 2 trình AV phát hiện tiến trình độc hại). Lúc này người dùng cần kiểm tra kỹ các thông tin trên VirusTotal và kết hợp thông tin về tiến trình đó có được xác thực ký số hay không (Bước 1), cũng như các thông tin khác để đưa ra kết quả, vì rất có thể những trường hợp này là cảnh báo sai.
Hình 5. Trường hợp chưa rõ ràng để kết luận
Bước 3: Với một số trường hợp công cụ không kiểm tra được hoặc muốn kiểm tra lại, người dùng kích đúp chuột vào tiến trình đó, chọn Submit để các chương trình AV dò quét lần nữa.
Hình 6. Dò quét kiểm tra lại
Khi người dùng đã xác định tiến trình độc hại, thực hiện các bước sau để gỡ bỏ mã độc trên hệ thống:
Bước 1: Kích chuột phải vào tiến trình độc hại, chọn Kill Process để tắt tiến trình đó.
Hình 7. Tắt tiến trình độc hại
Bước 2: Tiếp tục kích phải chuột vào tiến trình, chọn Properties. Sau đó, vào tab Image để tìm kiếm vị trí tệp thực thi khởi chạy tiến trình độc hại và các giá trị registry mã độc đã khởi tạo:
- Path: Vị trí tệp thực thi khởi chạy tiến trình độc hại.
- AutoStart Location: Vị trí các registry được mã độc khởi tạo để khởi động cùng với hệ thống.
Hình 8. Xác định vị trí khởi chạy tiến trình độc hại và registry mã độc khởi tạo
Bước 3: Người dùng thực hiện tìm đến các tệp thực thi và key registry tìm được ở Bước 2 để thực hiện xóa bỏ.
Trên đây là hướng dẫn sử dụng công cụ phát hiện mã độc Process Explorer trong việc phát hiện và ngăn chặn mã độc. Hy vọng thông qua bài viết này sẽ giúp bạn đọc trang bị thêm một số kiến thức cơ bản để có thể chủ động xử lý trong những trường hợp tương tự.
Hồng Đạt
18:00 | 16/08/2022
12:00 | 12/08/2022
17:00 | 20/06/2022
15:00 | 15/11/2022
Cùng với sự phát triển của internet, số lượng người dùng trực tuyến tại Việt Nam gia tăng nhanh chóng, cho phép người dùng chia sẻ, trao đổi thông tin, kết nối toàn cầu. Điều này kéo theo việc tội phạm trên không gian mạng gia tăng lừa đảo trực tuyến với các phương thức thủ đoạn, đa dạng, tinh vi, gây hậu quả khó lường. Trong quá trình chuyển đổi số phát triển công nghệ thông tin luôn song hành cùng an toàn, an ninh mạng. Việc nâng cao nhận thức về sử dụng internet an toàn sẽ là cách tốt nhất để hạn chế rủi ro tấn công lừa đảo trực tuyến.
16:00 | 19/07/2022
Con người đang sống trong thời kỳ mà phần lớn cuộc sống cá nhân và nghề nghiệp đều phụ thuộc vào các giao dịch trực tuyến như mua hàng, thanh toán hóa đơn và các phần công việc trong thế giới kỹ thuật số. Sự phụ thuộc ngày càng nhiều vào Internet và các mạng kỹ thuật số tuy tiện lợi nhưng cũng mang lại nhiều rủi ro. Sự phát triển một cách nhanh chóng của công nghệ, kèm với đó là số lượng giao dịch trực tuyến ngày càng nhiều và nhịp sống ngày càng nhanh đã vô tình tạo ra những cơ hội cho tội phạm mạng. Do vậy, các nhà cung cấp, đặc biệt là các nhà cung cấp dịch vụ ví điện tử cần đáp ứng mức bảo mật thanh toán cao nhất để đảm bảo với khách hàng rằng dữ liệu và thông tin của họ được an toàn.
08:00 | 01/07/2022
Trong xu thế chuyển đổi số hiện nay, chính sách phát triển từ lưu trữ truyền thống thành lưu trữ điện tử đang hướng tới các vấn đề, đó là tạo lập nguồn tài liệu điện tử thông qua thu thập và số hoá tài liệu để đáp ứng nhu cầu khai thác tài liệu, xây dựng kho lưu trữ điện tử để bảo đảm việc bảo quản lâu dài tài liệu điện tử cho sử dụng hiện tại và trong tương lai. Đây là xu thế chung trên thế giới, đồng thời cũng là định hướng chiến lược mà các cơ quan lưu trữ lựa chọn để thực hiện các mục tiêu bảo quản cũng như phục vụ khai thác sử dụng tài liệu lưu trữ theo thời gian.
10:00 | 08/04/2022
Điện thoại di động đã trở thành vật dụng vô cùng hữu ích trong thời đại công nghệ số, tuy nhiên, các tính năng của nó có thể gây mất an toàn với quyền riêng tư của người dùng. Người dùng cần thận trọng và tăng cường quyền riêng tư cho điện thoại của mình. Sau đây là một số mẹo bảo mật quan trọng để ngăn chặn những kẻ gian lận đánh cắp thông tin cá nhân và tiền của người dùng từ điện thoại di động.
Ngày 5/7/2022, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (National Institute of Standards and Technology - NIST) đã hoàn thành vòng thứ 3 của quá trình chuẩn hóa mật mã hậu lượng tử, nhằm chọn ra các thuật toán mật mã khóa công khai để bảo vệ thông tin khi máy tính lượng tử ra đời và công bố 4 thuật toán sẽ được chuẩn hóa của mật mã hậu lượng tử cùng với 4 ứng cử viên cho vòng tuyển chọn thứ 4 [1].
12:00 | 12/08/2022
Công ty an ninh mạng Kaspersky đã phát hành một công cụ rà quét mã độc mới để phát hiện IPhone cũng như các thiết bị iOS khác có bị nhiễm phần mềm độc hại “Triangulation” trong chiến dịch tấn công APT (Advanced Persistent Threat) gần đây hay không.
09:00 | 07/06/2023