Trong phần ba và cũng là phần
cuối cùng của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách sử
dụng công cụ Process Monitor để phát hiện những thay đổi do malware
đối với registry và hệ thống file.
Trong phần một và phần hai của loạt bài
gồm ba phần này, chúng tôi đã giới thiệu cho các bạn cách sử dụng
Process Explorer và Autoruns để nhận dạng phần mềm mã độc trên hệ thống
Windows. Lúc này phiên bản mới của Process Explorer (v15.01) đã được
phát hành trong tháng này, bạn có thể download để sử dụng phiên bản mới
nhất của nó [You must be registered and logged in to see this link.].
Phiên bản mới này sử dụng ít bộ nhớ hơn,
nó hiển thị hiệu quả sử dụng GPU và cho phép bạn khởi động lại các
dịch vụ. Ngoài ra các biểu đồ hiệu suất cũng có giao diện đẹp mắt hơn.
Cài đặt và sử dụng Process Monitor
Process Monitor thay thế cho công cụ
FileMon và RegMon cũ, nó kết hợp cũng như nâng cấp các chức năng của cả
hai công cụ này. Phiên bản hiện hành của Process Monitor là v2.95 và
bạn có thể download nó [You must be registered and logged in to see this link.].
Vậy bạn có thể thực hiện những gì với
Process Monitor? Công cụ này được sử dụng để capture tất cả dữ liệu
thời gian thực về các quá trình (process) trên máy tính, gồm có đường
dẫn ảnh, dòng lệnh, người dùng, session ID và các mối quan hệ của
process. Với tính năng lọc tuyệt vời, bạn sẽ không phải lo lắng về việc
mất thông tin khi thiết lập các bộ lọc. Với các thông tin thu được,
bạn có thể phân tích malware được tìm thấy và xác định nó là loại gì
cũng như loại bỏ nó như thế nào.
Bạn có thể download và cài đặt Process
Monitor trên máy tính (khoảng 1.26 MB). Process Monitor sẽ cài đặt một
driver thiết bị để capture thông tin, sau đó hiển thị nó trong giao
diện đồ họa thân thiện người dùng. Như những gì thể hiện trong hình 1,
Process Monitor hiển thị một dòng thông tin cho mỗi hoạt động xảy ra
trên hệ thống. Mặc định, các cột hiển thị ở đây gồm có thời gian, tên
quá trình và PID, hoạt động nó chỉ đạo, đường dẫn, kết quả của hoạt
động và các chi tiết về hoạt động (trong hình, chúng tôi đã ẩn thông
tin đường dẫn vì nó chứa các thông tin nhận dạng về tài khoản người
dùng, tên máy tính và tên miền).
Hình 1
Bạn có thể bổ sung thêm nhiều cột khác để có thêm thông tin về ứng dụng, sự kiện và quá trình, xem thể hiện trong hình 2.
Hình 2
Số lượng thông tin mà Process Monitor
cung cấp là rất nhiều vì có quá nhiều quá trình chạy ở chế độ
background trên một hệ thống Windows. Điều đó có nghĩa rằng chúng ta
cần phải lọc nếu muốn capture thông tin có liên quan đến nhiệm vụ tìm
kiếm malware. Một điều thú vị ở đây là, các bộ lọc của Process Monitor
sẽ hạn chế những gì sẽ được hiển thị chứ không phải những gì được
capture. Vì vậy tất cả dữ liệu sẽ vẫn được capture nhưng bạn chỉ thấy
những gì mình cần. Vì vậy bạn có thể hiển thị các entry khớp với tên
quá trình, người dùng, thời gian cụ thể trong ngày,… Nhiều lựa chọn
được thể hiện ngay trong hình 3.
Hình 3
Có thể tạo nhiều bộ lọc để tìm ra các
entry, ví dụ như entry được tạo ra bởi một quá trình cụ thể nào đó tại
một thời điểm cụ thể trong ngày hay cũng có thể chọn thêm các điều
kiện khác. Sự năng linh hoạt này nâng cao đáng kể khả năng phát hiện sự
kiện mà không bị phân tâm bởi quá nhiều thông tin không liên quan
khác.
Có nhiều nút hữu dụng trên toolbar cho
phép bạn hiển thị hành động của registry, hành động mạng, hành động của
hệ thống file, quá trình và các sự kiện,… Bạn có thể thực hiện việc
ghi chép và thiết lập mốc thời gian cần ghi để hạn chế tổng số sự kiện
được lưu giữ.
Khi một chương trình malware tự động cài
đặt vào hệ thống của bạn, nó sẽ bung các file vào nhiều địa điểm khác
nhau trên ổ cứng, copy file driver vào thư mục hệ thống của Windows,
thêm khóa vào Windows registry,… Với Process Monitor, bạn có thể nhận
dạng những gì đang tạo ra các file đó và những gì xuất hiện trở lại sau
khi bạn đã xóa, hoặc những gì đang tạo ra các entry registry nghi ngờ.
Để tìm ra một quá trình nghi ngờ đang
thực hiện những gì, trước tiên bạn cần thiết lập các bộ lọc để hiển thị
các entry cho quá trình có tên đó. Bạn có thể lọc kỹ hơn các kết quả
hoặc có thể xem lại từng dòng kết quả để chỉ ra quá trình đang thực
hiện những gì. Cho ví dụ, có thể chọn để chỉ hiển thị các sự kiện truy
cập registry để có thể xác định những khóa registry gì mà quá trình
đang truy cập, thay đổi hay thêm vào. Sau đó kiểm tra giá trị registry
đó để tìm ra ảnh hưởng của những thay đổi đang diễn ra. Bạn có thể kiểm
tra các entry truy cập hệ thống file để tìm ra những file nào đang bị
một quá trình nào đó lấy thông tin, hoặc những file nào đang bị xóa
hoặc được thêm vào hệ thống.
Có thể sẽ dễ dàng hơn khi xem lại các
thông tin trong chương trình khác, chẳng hạn như Excel hoặc Office.
Ngoài ra bạn có thể lưu một copy thông tin dưới một trong các định
dạng đó. Trong trường hợp đó, bạn có thể export dữ liệu vào file .CSV
hoặc .XML bằng cách sử dụng tùy chọn “save to file” (cũng có thể lưu
file dưới định dạng Process Monitor nguyên bản, .PML, nếu bạn muốn mở
lại nó trong Process Monitor).
Process Monitor có thể được sử dụng cùng
với Process Explorer và AutoRuns tạo nên một tập các công cụ mạnh
trong giám sát và remove malware ra khỏi hệ thống.
Điều gì sẽ xảy ra nếu các công cụ Sysinternals không có tác dụng?
Như những gì chúng tôi đã minh chứng
trong loạt bài gồm ba phần này, các công cụ Sysinternals là những trợ
giúp tuyệt vời trong việc tìm và diệt malware, đặc biệt hữu dụng khi sử
dụng trong những ngày “zero day”, khi chưa có các chữ ký mới được cung
cấp bởi các hãng anti-malware. Tuy nhiên đôi khi các công cụ
Sysinternals không có tác dụng vì tác giả malware đã nghiên cứu kỹ
lưỡng và biết cách qua mặt được các công cụ phổ biến này (cũng như các
sản phẩm anti-virus và anti-malware thương mại) để xâm nhập được hệ
thống của bạn. Lúc này bạn có thể sử dụng Process Explorer, Process
Monitor hoặc Autoruns để tìm quá trình mã độc.
Kết luận
Trong loạt bài gồm ba phần này chúng
tôi đã giới thiệu cho các bạn cách sử dụng các công cụ như Process
Explorer, Autoruns và Process Monitor để tìm và diệt malware. Bên cạnh
đó là các công cụ Sysinternals miễn phí cũng hỗ trợ khá tốt cho bất cứ
ai muốn tìm hiểu sâu về mã độc và muốn loại trừ nó khỏi hệ thống của
mình. Tất cả đều có thể được download cách miễn phí từ website của
Microsoft.
cuối cùng của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách sử
dụng công cụ Process Monitor để phát hiện những thay đổi do malware
đối với registry và hệ thống file.
Trong phần một và phần hai của loạt bài
gồm ba phần này, chúng tôi đã giới thiệu cho các bạn cách sử dụng
Process Explorer và Autoruns để nhận dạng phần mềm mã độc trên hệ thống
Windows. Lúc này phiên bản mới của Process Explorer (v15.01) đã được
phát hành trong tháng này, bạn có thể download để sử dụng phiên bản mới
nhất của nó [You must be registered and logged in to see this link.].
Phiên bản mới này sử dụng ít bộ nhớ hơn,
nó hiển thị hiệu quả sử dụng GPU và cho phép bạn khởi động lại các
dịch vụ. Ngoài ra các biểu đồ hiệu suất cũng có giao diện đẹp mắt hơn.
Cài đặt và sử dụng Process Monitor
Process Monitor thay thế cho công cụ
FileMon và RegMon cũ, nó kết hợp cũng như nâng cấp các chức năng của cả
hai công cụ này. Phiên bản hiện hành của Process Monitor là v2.95 và
bạn có thể download nó [You must be registered and logged in to see this link.].
Vậy bạn có thể thực hiện những gì với
Process Monitor? Công cụ này được sử dụng để capture tất cả dữ liệu
thời gian thực về các quá trình (process) trên máy tính, gồm có đường
dẫn ảnh, dòng lệnh, người dùng, session ID và các mối quan hệ của
process. Với tính năng lọc tuyệt vời, bạn sẽ không phải lo lắng về việc
mất thông tin khi thiết lập các bộ lọc. Với các thông tin thu được,
bạn có thể phân tích malware được tìm thấy và xác định nó là loại gì
cũng như loại bỏ nó như thế nào.
Bạn có thể download và cài đặt Process
Monitor trên máy tính (khoảng 1.26 MB). Process Monitor sẽ cài đặt một
driver thiết bị để capture thông tin, sau đó hiển thị nó trong giao
diện đồ họa thân thiện người dùng. Như những gì thể hiện trong hình 1,
Process Monitor hiển thị một dòng thông tin cho mỗi hoạt động xảy ra
trên hệ thống. Mặc định, các cột hiển thị ở đây gồm có thời gian, tên
quá trình và PID, hoạt động nó chỉ đạo, đường dẫn, kết quả của hoạt
động và các chi tiết về hoạt động (trong hình, chúng tôi đã ẩn thông
tin đường dẫn vì nó chứa các thông tin nhận dạng về tài khoản người
dùng, tên máy tính và tên miền).
Hình 1
Bạn có thể bổ sung thêm nhiều cột khác để có thêm thông tin về ứng dụng, sự kiện và quá trình, xem thể hiện trong hình 2.
Hình 2
Số lượng thông tin mà Process Monitor
cung cấp là rất nhiều vì có quá nhiều quá trình chạy ở chế độ
background trên một hệ thống Windows. Điều đó có nghĩa rằng chúng ta
cần phải lọc nếu muốn capture thông tin có liên quan đến nhiệm vụ tìm
kiếm malware. Một điều thú vị ở đây là, các bộ lọc của Process Monitor
sẽ hạn chế những gì sẽ được hiển thị chứ không phải những gì được
capture. Vì vậy tất cả dữ liệu sẽ vẫn được capture nhưng bạn chỉ thấy
những gì mình cần. Vì vậy bạn có thể hiển thị các entry khớp với tên
quá trình, người dùng, thời gian cụ thể trong ngày,… Nhiều lựa chọn
được thể hiện ngay trong hình 3.
Hình 3
Có thể tạo nhiều bộ lọc để tìm ra các
entry, ví dụ như entry được tạo ra bởi một quá trình cụ thể nào đó tại
một thời điểm cụ thể trong ngày hay cũng có thể chọn thêm các điều
kiện khác. Sự năng linh hoạt này nâng cao đáng kể khả năng phát hiện sự
kiện mà không bị phân tâm bởi quá nhiều thông tin không liên quan
khác.
Có nhiều nút hữu dụng trên toolbar cho
phép bạn hiển thị hành động của registry, hành động mạng, hành động của
hệ thống file, quá trình và các sự kiện,… Bạn có thể thực hiện việc
ghi chép và thiết lập mốc thời gian cần ghi để hạn chế tổng số sự kiện
được lưu giữ.
Khi một chương trình malware tự động cài
đặt vào hệ thống của bạn, nó sẽ bung các file vào nhiều địa điểm khác
nhau trên ổ cứng, copy file driver vào thư mục hệ thống của Windows,
thêm khóa vào Windows registry,… Với Process Monitor, bạn có thể nhận
dạng những gì đang tạo ra các file đó và những gì xuất hiện trở lại sau
khi bạn đã xóa, hoặc những gì đang tạo ra các entry registry nghi ngờ.
Để tìm ra một quá trình nghi ngờ đang
thực hiện những gì, trước tiên bạn cần thiết lập các bộ lọc để hiển thị
các entry cho quá trình có tên đó. Bạn có thể lọc kỹ hơn các kết quả
hoặc có thể xem lại từng dòng kết quả để chỉ ra quá trình đang thực
hiện những gì. Cho ví dụ, có thể chọn để chỉ hiển thị các sự kiện truy
cập registry để có thể xác định những khóa registry gì mà quá trình
đang truy cập, thay đổi hay thêm vào. Sau đó kiểm tra giá trị registry
đó để tìm ra ảnh hưởng của những thay đổi đang diễn ra. Bạn có thể kiểm
tra các entry truy cập hệ thống file để tìm ra những file nào đang bị
một quá trình nào đó lấy thông tin, hoặc những file nào đang bị xóa
hoặc được thêm vào hệ thống.
Có thể sẽ dễ dàng hơn khi xem lại các
thông tin trong chương trình khác, chẳng hạn như Excel hoặc Office.
Ngoài ra bạn có thể lưu một copy thông tin dưới một trong các định
dạng đó. Trong trường hợp đó, bạn có thể export dữ liệu vào file .CSV
hoặc .XML bằng cách sử dụng tùy chọn “save to file” (cũng có thể lưu
file dưới định dạng Process Monitor nguyên bản, .PML, nếu bạn muốn mở
lại nó trong Process Monitor).
Process Monitor có thể được sử dụng cùng
với Process Explorer và AutoRuns tạo nên một tập các công cụ mạnh
trong giám sát và remove malware ra khỏi hệ thống.
Điều gì sẽ xảy ra nếu các công cụ Sysinternals không có tác dụng?
Như những gì chúng tôi đã minh chứng
trong loạt bài gồm ba phần này, các công cụ Sysinternals là những trợ
giúp tuyệt vời trong việc tìm và diệt malware, đặc biệt hữu dụng khi sử
dụng trong những ngày “zero day”, khi chưa có các chữ ký mới được cung
cấp bởi các hãng anti-malware. Tuy nhiên đôi khi các công cụ
Sysinternals không có tác dụng vì tác giả malware đã nghiên cứu kỹ
lưỡng và biết cách qua mặt được các công cụ phổ biến này (cũng như các
sản phẩm anti-virus và anti-malware thương mại) để xâm nhập được hệ
thống của bạn. Lúc này bạn có thể sử dụng Process Explorer, Process
Monitor hoặc Autoruns để tìm quá trình mã độc.
Kết luận
Trong loạt bài gồm ba phần này chúng
tôi đã giới thiệu cho các bạn cách sử dụng các công cụ như Process
Explorer, Autoruns và Process Monitor để tìm và diệt malware. Bên cạnh
đó là các công cụ Sysinternals miễn phí cũng hỗ trợ khá tốt cho bất cứ
ai muốn tìm hiểu sâu về mã độc và muốn loại trừ nó khỏi hệ thống của
mình. Tất cả đều có thể được download cách miễn phí từ website của
Microsoft.