Tìm và diệt Malware bằng Sysinternals Tools – Phần 1

Trong phần một của loạt bài gồm hai phần này, chúng tôi sẽ giới thiệu cho các bạn cách sử dụng Sysinternals Tools để phát hiện và tiêu diệt malware trong hệ thống Windows.
Nội dung trích xuất từ tài liệu:
Tìm và diệt Malware bằng Sysinternals Tools – Phần 1Tìm và diệt Malware bằng Sysinternals Tools –Phần 1Trong phần một của loạt bài gồm hai phần này,chúng tôi sẽ giới thiệu cho các bạn cách sử dụngSysinternals Tools để phát hiện và tiêu diệtmalware trong hệ thống Windows.Có nhiều ứng dụng có thể phát hiện và tiêu diệtmalware, chẳng hạn như công cụ Malicious SoftwareRemoval Tool (MSRT) của chính Microsoft, mộtcông cụ miễn phí mà có thể download tại đây.Tự nhận dạng và tiêu diệt MalwareĐây là một số bước quan trọng trong việc nhận diênvà tiêu diệt Malware:1. Ngắt kết nối máy tính với mạng.2. Nhận diện các tiến trình và driver mã độc.3. Tạm dừng và đóng các tiến trình đã được nhậndạng.4. Nhận dạng và xóa bất cứ malware tự khởi chạy.5. Xóa các file malware6. Khởi động lại và lặp lại quá trình trên.Bước đầu tiên trong quá trình này là bước phòngngừa. Ngắt kết nối máy tính ra khỏi mạng sẽ tránhmáy tính của bạn tiêm nhiễm malware cho các máytính khác trong mạng hay ngược lại. Tuy nhiên nhượcđiểm của nó là làm cho bạn không quan sát hết đượccác hành động của malware và không hiểu hết đượccách là việc của chúng.Vậy chúng ta cần nhận dạng các tiến trình nghi ngờnhư thế nào? Cách thức nhận dạng là quan sát cáctiến trình không có biểu tượng, không có phần mô tảcũng như không có tên công ty.. Thêm vào đó chúngta cũng cần phải tập trung vào các tiến trình cư trútrong thư mục Windows, đặc biệt là có chứa các URLlạ trong chuỗi của chúng, các tiến trình mở TCP/IPendpoint hoặc các dịch vụ hosting và DLL nghi ngờ(ẩn dưới dạng DLL).Vậy cần phải vào đâu trước tiên để kiểm tra các tiếntrình này? Nhiều chuyên gia CNTT thường bắt đầubằng việc quan sát tab Processes của Task Manager.Cột Description, cột cung cấp rất nhiều thông tin vềứng dụng đang sử dụng, là cột mà chúng ta cần quantâm đặc biệt.Bạn có thể thu được nhiều thông tin trong TaskManager bằng cách vào menu View và kích SelectColumns, sau đó tích vào các hộp kiểm mong muốn.Ví dụ, có thể hiển thị đường dẫn của file được kết nốivới tiến trình hoặc có thể tích hộp kiểm CommandLine để hiển thị lệnh, với các tham số hoặc lệnh nàođã được sử dụng để khởi chạy tiến trình.Một cách khác để nhận thêm thông tin về tiến trìnhtrong Task Manager là kích phải vào nó và chọnProperties. Ở đây bạn sẽ thấy các thông tin liên quanđến kiểu file, vị trí và kích thước, chữ ký số, thông tinbản quyền, phiên bản (hầu hết các malware khôngcó), sự cho phép,… Mặc dù vậy tất cả mới chỉ lànhững bước ban đầu, Task Manager thực sự vẫn cungcấp khá ít thông tin chi tiết về một tiến trình so vớinhững gì bạn nhận được với công cụ như SysinternalsProcess Explorer.