Phương pháp phát hiện các tiến trình độc hại đang chạy trên hệ thống
Ngày đăng: 25/07/2018
Bài báo giới thiệu về phương pháp phát hiện các tiến trình độc hại đang chạy trên hệ thống, giúp cho các cán bộ kỹ thuật nhanh chóng tìm và diệt mã độc.
Một trong những chức năng quan trọng thường có ở các mã độc là khả năng ẩn mình trên hệ thống bị lây nhiễm. Trong đó, các tiến trình của mã độc thường sử dụng các tên gần giống hoặc giống hoàn toàn với tiến trình thật của hệ thống, ví dụ: svchost.exe, explorer.exe. Do đó, người quản trị cần có khả năng phát hiện ra các tiến trình nghi ngờ là tiến trình của mã độc để xác định và phục vụ công tác tháo gỡ.

Để liệt kê các tiến trình đang chạy trên hệ thống, quản trị viên có thể sử dụng ứng dụng Task Manager có sẵn để thực hiện liệt kê. Tuy nhiên, ứng dụng có sẵn này thường chỉ liệt kê các thông tin cơ bản mà thiếu đi các thông tin quan trọng khác giúp quản trị viên có thể phân biệt được giữa tiến trình độc hại và tiến trình an toàn.


Ứng dụng Task Manager thông thường

Để khắc phục các nhược điểm của ứng dụng Task Manager, Microsoft đã phát hành ứng dụng mới mang tên Process Explorer để cung cấp nhiều hơn thông tin cho người sử dụng. Ứng dụng Process Explorer là một phần trong gói ứng dụng Sysinternal Suite có thể tải về từ website của Microsoft theo địa chỉ technet.microsoft.com.


Giao diện của ứng dụng Process Explorer

Bằng cách sử dụng Process Explorer, quản trị viên có thể có được nhiều thông tin hơn về một tiến trình đang chạy trên hệ thống. Cụ thể như:

- Các thư viện dll mà tiến trình sử dụng;

- Cây tiến trình để xác định tiến trình khởi tạo;

- Trạng thái của tiến trình;

- Hiệu năng riêng của tiến trình;

- Và nhiều thông tin khác.

Để xác định một tiến trình bất thường, quản trị viên thường phải chú ý đến một số đặc điểm như:

- Tiến trình không có Description;

- Tiến trình không có Company Name;

- Tiến trình có các hoạt động mạng trên nền TCP/IP bất thường;

- Tiến trình không thể verify theo chữ ký số của nhà sản xuất.

Verify một tiến trình thành công

Ngoài ra, Process Explorer còn có cung cấp khả năng tải file của tiến trình lên website VirusTotal để dò quyét trên nhiều ứng dụng phòng chống mã độc.


Đưa tiến trình lên VirusTotal

Trong trường hợp kết quả trả về từ VirusTotal cho thấy tiến trình trên là tiến trình của mã độc, quản trị viên có thể loại bỏ tiến trình bằng cách sử dụng chức năng “kill” của ứng dụng để loại bỏ tạm thời tiến trình ra khỏi hệ thống.


Kill một tiến trình của hệ thống
(Nguồn antoanthongtin.vn)

Tin liên quan

Trang 1 / 10 - 95 dòngFirstPrevNextLast v
Trang 1 / 10 - 95 dòngFirstPrevNextLast v

Các đơn vị đối tác

TRUNG TÂM PHÁT TRIỂN HẠ TẦNG CÔNG NGHỆ THÔNG TIN ĐÀ NẴNG

Giấy phép: Số 151/GP-TTĐT do Sở Thông tin và Truyền thông cấp ngày 15/4/2015.

Trưởng Ban biên tập: Nguyễn Thị Huyền Thu, Phó giám đốc Trung tâm Phát triển hạ tầng Công nghệ thông tin Đà Nẵng.

Trụ sở: Tòa nhà 02 Quang Trung, Phường Thạch Thang, Quận Hải Châu, Tp Đà Nẵng.

Điện thoại: 84.236.3888.666 Fax 84.236.3888.879 Email: iid@danang.gov.vn.