Xem mẫu
- Tìm và diệt Malware bằng Sysinternals Tools –
Phần 1
Trong phần một của loạt bài gồm hai phần này,
chúng tôi sẽ giới thiệu cho các bạn cách sử dụng
Sysinternals Tools để phát hiện và tiêu diệt
malware trong hệ thống Windows.
Có nhiều ứng dụng có thể phát hiện và tiêu diệt
malware, chẳng hạn như công cụ Malicious Software
Removal Tool (MSRT) của chính Microsoft, một
công cụ miễn phí mà có thể download tại đây.
Tự nhận dạng và tiêu diệt Malware
Đây là một số bước quan trọng trong việc nhận diên
và tiêu diệt Malware:
1. Ngắt kết nối máy tính với mạng.
2. Nhận diện các tiến trình và driver mã độc.
3. Tạm dừng và đóng các tiến trình đã được nhận
dạng.
- 4. Nhận dạng và xóa bất cứ malware tự khởi chạy.
5. Xóa các file malware
6. Khởi động lại và lặp lại quá trình trên.
Bước đầu tiên trong quá trình này là bước phòng
ngừa. Ngắt kết nối máy tính ra khỏi mạng sẽ tránh
máy tính của bạn tiêm nhiễm malware cho các máy
tính khác trong mạng hay ngược lại. Tuy nhiên nhược
điểm của nó là làm cho bạn không quan sát hết được
các hành động của malware và không hiểu hết được
cách là việc của chúng.
Vậy chúng ta cần nhận dạng các tiến trình nghi ngờ
như thế nào? Cách thức nhận dạng là quan sát các
tiến trình không có biểu tượng, không có phần mô tả
cũng như không có tên công ty.. Thêm vào đó chúng
ta cũng cần phải tập trung vào các tiến trình cư trú
trong thư mục Windows, đặc biệt là có chứa các URL
lạ trong chuỗi của chúng, các tiến trình mở TCP/IP
endpoint hoặc các dịch vụ hosting và DLL nghi ngờ
- (ẩn dưới dạng DLL).
Vậy cần phải vào đâu trước tiên để kiểm tra các tiến
trình này? Nhiều chuyên gia CNTT thường bắt đầu
bằng việc quan sát tab Processes của Task Manager.
Cột Description, cột cung cấp rất nhiều thông tin về
ứng dụng đang sử dụng, là cột mà chúng ta cần quan
tâm đặc biệt.
Bạn có thể thu được nhiều thông tin trong Task
Manager bằng cách vào menu View và kích Select
Columns, sau đó tích vào các hộp kiểm mong muốn.
- Ví dụ, có thể hiển thị đường dẫn của file được kết nối
với tiến trình hoặc có thể tích hộp kiểm Command
Line để hiển thị lệnh, với các tham số hoặc lệnh nào
đã được sử dụng để khởi chạy tiến trình.
- Một cách khác để nhận thêm thông tin về tiến trình
trong Task Manager là kích phải vào nó và chọn
Properties. Ở đây bạn sẽ thấy các thông tin liên quan
đến kiểu file, vị trí và kích thước, chữ ký số, thông tin
bản quyền, phiên bản (hầu hết các malware không
có), sự cho phép,… Mặc dù vậy tất cả mới chỉ là
những bước ban đầu, Task Manager thực sự vẫn cung
cấp khá ít thông tin chi tiết về một tiến trình so với
những gì bạn nhận được với công cụ như Sysinternals
Process Explorer.
nguon tai.lieu . vn