Cách phát hiện mã độc trong máy tính
Hiện nay có nhiều sản phẩm phần mềm Anti-virus của các hãng bảo mật nổi tiếng đang được sử dụng rộng rãi như: Microsoft, Trend Micro, Symantec, Sophos Nhìn chung, các phần mềm Anti-virus đều sử dụng cơ chế, kỹ thuật phát hiện và diệt virus cơ bản giống nhau bao gồm so sánh cơ sở dữ liệu virus đã nhận dạng trước đó nhằm kịp thời phát hiện, tiêu diệt các virus độc hại, phát hiện và kiểm tra các hoạt động bất thường trên máy tính nhằm tìm ra các phần mềm độc hại hoạt động ẩn trên máy tính của người dùng, đồng thời kết hợp với dữ liệu mạng toàn cầu nhằm kiểm soát, cập nhật liên tục các mã độc và biến thể mã độc mới, tận dụng nhiều công cụ hỗ trợ bảo vệ người dùng mới nhằm ngăn chặn các mã độc nhiều chủng loại, từ keylogger đến lừa đảo, mã độc tống tiền Tuy nhiên, với thủ đoạn ngày càng tinh vi, nguy hiểm hacker đã liên tục tạo ra các dạng mã độc có khả năng che giấu, vượt qua dễ dàng các hệ thống phòng thủ, an toàn bảo mật, không thể được phát hiện và tiêu diệt bởi phần mềm Anti-virus. Ví dụ mã độc dưới dạng fileless hoạt động trực tiếp trên bộ nhớ memory, không ghi vào ổ đĩa cứng, do đó không để lại bất kỳ dấu vết nào, gây khó khăn trong quá trình phát hiện, gỡ bỏ, điều tra hành vi của mã độc. Do vậy, để phát hiện và bóc gỡ mã độc, ngoài việc sử dụng phần mềm Anti-virus đơn thuần, người dùng có thể kết hợp thêm một số biện pháp sau đây để phân tích và kiểm tra trong trường hợp nghi ngờ máy tính bị nhiễm mã độc: Trên Windows Task Manager: Task Manager là tiện ích được tích hợp trên hệ điều hành Windows, hiển thị, cung cấp thông tin đầy đủ về hiệu năng hệ thống (bao gồm CPU, Memory, Disk, Network), các ứng dụng, tiến trình đang chạy, người dùng đăng nhập và các dịch vụ hệ thống. Thông thường, đối với các loại mã độc đào tiền ảo hoặc các mã độc dạng botnet kết nối đến các máy chủ điều khiển C&C sẽ sử dụng tài nguyên máy tính rất nhiều. Sử dụng Task Manager giúp chúng ta xác định được tiến trình nào đang chiếm dụng tài nguyên của hệ thống.
Trên Process Explorer: Process Explorer là một phần mềm nằm trong bộ công cụ Windows Sysinternals được phát triển bởi Microsoft, sử dụng để theo dõi và quản lý các tiến trình đang hoạt động trên máy tính, cho phép phát hiện và gỡ bỏ những tiến trình độc hại được sử dụng bởi các loại mã độc như spyware, adware, virus,... Process Explorer cho phép xem thông tin chi tiết về mỗi tiến trình, kể cả những ứng dụng chạy ngầm. Người dùng có thể truy cập vào đường dẫn sau để tải về phần mềm Process Explorer từ trang chủ chính thống của Microsoft: https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer Sau khi giải nén file tải về, người dùng chọn phiên bản 32 bit hoặc 64 bit để chạy trực tiếp, không cần cài đặt. Giống Windows Task Manager, công cụ Process Explorer cũng cung cấp khả năng theo dõi các tiến trình, hiệu suất hoạt động của máy tính. Tuy nhiên, Process Explorer có nhiều tính năng nâng cao hữu ích, đặc biệt là trong việc phát hiện và bóc gỡ mã độc: + Tính năng Virus Total Process Explorer sử dụng VirusTotal, một dự án của Google cho phép kiểm tra các tiến trình đang chạy trên máy tính có phải là tiến trình độc hại hay không dựa trên cơ sở dữ liệu của hầu hết các hãng cung cấp phần mềm Anti-virus nổi tiếng trên thế giới.
Như hình vẽ minh họa, tiến trình có 24/68 phần mềm Antivirus xác định là độc hại.
+ Tính năng Verify Image Signatures Image Signatures là chữ ký số của phần mềm, cho phép xác định nguồn gốc, hãng, công ty đã tạo ra phần mềm. Tính năng này sẽ phân tích, kiểm tra, xác nhận chữ ký của tất cả các file thực thi liên kết với tiến trình trên hệ thống để xác định các phần mềm độc hại.
Biện pháp gỡ bỏ mã độc ra khỏi máy tính Windows Khi đã xác định được các tiến trình độc hại, thực hiện các bước sau để bóc gỡ hoàn toàn mã độc trên hệ thống (sử dụng phần mềm Process Explorer):
Kích phải chuột vào tiến trình độc hại, chọn Suspend hoặc Kill Process để tạm dừng hoặc tắt tiến trình đó.
Kích phải chuột và chọn Properties của tiến trình đó Tại tab Image:
Trên đây là hướng dẫn một số biện pháp phát hiện và xử lý mã độc ngoài việc sử dụng công cụ, phần mềm Anti-virus. Hy vọng bài viết sẽ giúp cho người dùng máy tính Windows trang bị thêm một số kiến thức, kỹ năng cơ bản về ATTT cũng như phần mềm độc hại để có thể tự mình xử lý trong những trường hợp cần thiết. Trong quá trình thực hiện, nếu có bất kỳ vướng mắc xin vui lòng liên hệ: Trần Ngọc Lâm Chuyên viên phòng Kỹ thuật và Mạng viễn thông CPC ITC Địa chỉ email: Điện thoại: 0799333121 |