Cara mendeteksi proses berbahaya dengan Process Explorer dan VirusTotal

Mendeteksi proses berbahaya di Windows Hal ini tidak selalu terlihat jelas, dan bahkan kurang terlihat ketika malware Mereka bersembunyi menggunakan teknik canggih. Jika Anda ingin tahu cara menemukannya tanpa tersesat di antara puluhan proses, Process Explorer dan integrasinya dengan VirusTotal sangat membantu.

Dalam panduan ini Anda akan menemukannya tur praktis dan sangat detail untuk menyelidiki proses mencurigakan dengan Process Explorer, mengaktifkan pemindaian dengan VirusTotal, menafsirkan hasilnya, dan melengkapi penyelidikan dengan Autoruns, alat anti-rootkit, pemantauan jaringan, dan tindakan pembersihan serta penguatan lainnya.

Apa itu Process Explorer dan mengapa ia penting untuk memburu proses berbahaya?

Process Explorer Ini adalah utilitas Microsoft (koleksi Sysinternals) yang dirancang untuk memantau proses secara mendalam di WindowsPenggunaan CPU/RAM, hierarki, deskriptor, modul yang dimuat, jalur eksekusi, izin, tanda tangan digital, dan banyak lagi. Portabel, berjalan tanpa instalasi, dan memungkinkan Anda membuat keputusan yang tepat dalam hitungan detik.

Sejak tahun 2014, ia menggabungkan integrasi dengan VirusTotal, yang memungkinkan hal itu bandingkan hash dari setiap executable Dengan basis data beberapa mesin antivirus di cloud. Lapisan tambahan ini memudahkan untuk membedakan proses yang sah dari yang tampak tidak sah tanpa perlu keluar dari alat.

Secara sederhana, alur analisis dengan VirusTotal dari Process Explorer bekerja seperti ini: Anda memilih prosesnya, alatnya kirim hashnya dari yang dapat dieksekusi (bukan file itu sendiri) ke VirusTotal, bandingkan dengan basis tanda tangan Anda dan kemudian kamu melihat skornya dalam kolom khusus dalam Process Explorer.

1. Pemilihan proses: Anda memilih proses yang ingin Anda periksa dari daftar.
2. Mengirim hash:Process Explorer menghitung dan mengirimkan hash biner ke VirusTotal.
3. Analisa:Mesin VirusTotal membandingkan hash tersebut dengan repositori malware mereka.
4. Hasil:Kolom muncul dengan keputusan tambahan (positif/mesin).

Keunggulannya antara lain adalah deteksi cepat dari potensi ancaman, detail yang diperkaya yang VirusTotal berikan tentang keluarga atau kecocokan dan kemudahan penggunaan: Semuanya terintegrasi ke dalam antarmuka Process Explorer, tanpa konfigurasi yang rumit.

Sebagai batasan, perlu diingat bahwa efektivitasnya tergantung pada VirusTotal (jika malware tersebut sangat baru, malware tersebut mungkin tidak muncul) dan pemindaian menambah konsumsi sumber daya saat melakukan kueri hash, terutama pada komputer sederhana atau komputer dengan banyak proses simultan.

Cara mengaktifkan VirusTotal di Process Explorer dan memahami hasilnya

Mulailah dengan mengunduh alat dari Sysinternals, ekstrak zipnya dan jalankan. prosesexp64.exe sebagai administrator jika Anda menggunakan Windows 64-bit. Karena portabel, tidak diperlukan instalasi, yang sangat berguna untuk analisis spesifik.

Untuk mengaktifkan integrasi dengan VirusTotal, di bilah atas buka Opsi > VirusTotal dan aktifkan ceknya. Anda akan secara otomatis melihat kolom baru yang menampilkan sesuatu seperti 0/70, 1/70, dst., yang menunjukkan berapa banyak mesin yang melaporkan berkas tersebut sebagai mencurigakan.

0/n biasanya menyiratkan bahwa tidak ada mesin yang terdeteksi aktivitas berbahaya yang terkait dengan hash yang ditanyakan. Jika Anda melihat beberapa positif terisolasi (misalnya, 1/70 berwarna merah), jangan terburu-buru: mereka sering positif palsuAnda dapat mengeklik hasil untuk membuka laporan VirusTotal dan meninjau detailnya.

Jika penghitung melonjak (misalnya, 15/70 atau lebih tinggi), itu adalah tanda risiko yang jelas. Dalam hal ini, hal yang bijaksana untuk dilakukan adalah selesaikan prosesnya isolasi mesin dengan hati-hati dari listrik jika perlu dan lulus pemindaian antimalware lengkap untuk mengidentifikasi dan menghilangkan sumbernya.

Investigasi Manual: Properti Proses, Tanda Tangan, DEP/ASLR, dan Petunjuk Halus

Di luar putusan VirusTotal, Process Explorer bersinar ketika Anda membuka properti suatu proses (klik dua kali atau klik kanan > Properti). Di sini Anda dapat melihat jalur gambar, pengguna yang menjalankannya, modul yang dimuat, deskriptor yang terbuka, penggunaan sumber daya, dan informasi detail lainnya.

Filter pertama yang berguna adalah untuk mengonfirmasi jalur tempat eksekusi dimuatJika sesuatu yang mengklaim sebagai sistem beroperasi dari folder sementara atau profil pengguna, bisnis yang burukAnda mungkin juga ingin menggunakan opsi mencari nama file di Internet untuk melihat reputasi, dokumentasi, dan apakah orang lain telah mengidentifikasi Anda sebagai ancaman.

Pemeriksaan berharga lainnya adalah verifikasi tanda tangan digital dari biner. Process Explorer memungkinkan Anda memeriksa apakah file yang dapat dieksekusi telah ditandatangani dan apakah tanda tangan tersebut valid. Berkas dari penyedia tepercaya tidak ditandatangani atau tanda tangan tidak dapat diverifikasi adalah bendera kuningContoh klasiknya adalah seorang pelanggan yang, meskipun mengunduh penginstal yang sudah ditandatangani, melihat file yang dapat dieksekusi finalnya tidak ditandatangani, sehingga berisiko digantikan oleh versi yang terinfeksi Trojan.

Sebaliknya, ada produk yang muncul dengan tanda tangan terverifikasi, yang menambah kepercayaan diri. Catatan: saat ini ada kampanye yang melecehkan driver tertanda dari pihak ketiga atau rantai pasokan untuk menyelundupkan biner berbahaya; oleh karena itu, tanda tangan bukanlah jaminan mutlak, tetapi merupakan indikator penting dalam konteksnya.

Juga mencatat perilaku tidak normal seperti lonjakan CPU yang tidak dapat dibenarkan, aktivitas disk yang berlebihan, penulisan ke lokasi sensitif, atau fakta bahwa proses tersebut tidak memiliki mitigasi modern seperti DEP atau ASLR aktif ketika Anda mungkin menduga sebaliknya. Sinyal-sinyal kecil inilah yang, jika digabungkan, membantu membedakan yang normal dari yang mencurigakan.

Kebiasaan yang baik adalah hafal Proses apa yang biasanya dijalankan tim Anda, tinjau secara berkala, dan dokumentasikan perubahannya. Semakin baik Anda memahami sistem Anda, Anda akan mendeteksinya lebih cepat elemen apa pun yang tidak pada tempatnya.

Teknik Lanjutan: Autorun, Rootkit, Jaringan, MBR, dan Kapan Harus Menginstal Ulang

Process Explorer adalah pusat operasi, tetapi untuk kasus yang membandel disarankan untuk mengandalkan utilitas Sysinternals lainnya dan alat khusus yang memperluas kemampuan deteksi dan pembersihan Anda terhadap ancaman tersembunyi.

Untuk program yang berjalan secara otomatis saat Windows dimulai, Autorun sangat penting. Dengan Autoruns Anda akan melihat semua entri boot (apps, layanan, ekstensi, tugas terjadwal, dll.). Anda dapat menonaktifkan yang meragukan, membuka lokasi atau melompat ke kunci pendaftaran sesuai dengan inspeksi. Rute klasik untuk meninjau meliputi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run dan ekuivalennya per pengguna.

Jika Anda mencurigai rootkit (malware yang bersembunyi jauh di dalam sistem), Anda memerlukan pendekatan yang berbeda. Utilitas seperti Anti-Rootkit Malwarebytes, Pembunuh TDSSK dari Kaspersky atau GMER (tidak kompatibel dengan Windows 11 (hari ini) membantu mengungkap apa yang tidak terlihat oleh perangkat lunak antivirus konvensional.

Untuk memaksimalkan efektivitas terhadap rootkit, disarankan memulai kembali Mode aman sebelum pemindaian, sehingga malware memiliki lebih sedikit peluang untuk dimuat. Dalam panduan beberapa alat, Anda dapat buat titik pemulihan, jalankan analisis mendalam dan, setelah selesai, terapkan pembersihan dan mulai ulang saat diminta.

La aktivitas jaringan Ini juga memberikan banyak hal. Dengan netstat Anda dapat menemukan koneksi aktif dan proses terkait dengan menjalankannya CMD dengan hak istimewa netstat -anoJika Anda melihat koneksi persisten ke alamat IP yang tidak dikenal, selidiki PID yang memelihara sesi tersebut dan cocokkan dengan proses di Process Explorer.

Untuk tingkat visibilitas yang lebih tinggi, Wireshark memungkinkan Anda untuk menangkap dan menganalisis lalu lintas. Alur umumnya sederhana: pilih antarmuka (Wi-Fi atau Ethernet), tekan mulai tangkap (ikon hiu), identifikasi IP Anda dengan ipconfig, terapkan filter seperti ip.addr == TU_IP atau protokol tertentu (misalnya, http) dan berhenti menangkap ketika Anda memiliki cukup materi untuk dianalisis asal/tujuan dan pelabuhan.

1. Pilih antarmuka untuk memantau dan menangkap dimulai.
2. Dapatkan IP Anda dengan ipconfig untuk menyaring secara akurat.
3. menerapkan filter sebagai ip.addr == TU_IP atau berdasarkan protokol.
4. untuk menangkap dan memeriksa paket yang mencurigakan secara rinci.

Ketika boot mungkin terganggu, jangan lupa bahwa beberapa malware canggih menyentuhnya MBR (Catatan Booting Utama) untuk dijalankan sebelum Windows. Dengan media instalasi Windows, Anda dapat membuka Perbaikan Startup dan, di konsol, menggunakan bootrec /fixmbr untuk membangun kembali sektor penting ini. Ini adalah langkah bedah yang harus diterapkan dengan bijaksana dan dengan dukungan.

Jika, meskipun demikian, infeksi masih berlanjut atau gejala muncul kembali, pertimbangkan bersihkan ulang sistem. Cadangkan dokumen Anda, tetapi hindari memulihkan program atau pengaturan lama secara membabi buta—hal tersebut dapat menimbulkan kembali masalah tanpa Anda sadari.

Terakhir, ingatlah bahwa malware berevolusi dan ada kampanye yang bahkan manfaatkan pengemudi yang sudah menandatangani kontrak untuk mendapatkan persistensi. Hal ini memperkuat gagasan menggabungkan beberapa sinyal: reputasi VirusTotal, tanda tangan digital, lokasi berkas, perilaku, koneksi jaringan, dan entri startup.

Perkuat keamanan Anda: patch, lapisan pertahanan, cadangan, dan bantuan ahli

Setelah membersihkan, kuncinya adalah menutup pintu. Terapkan semua patch keamanan Windows dan perangkat lunak yang terinstal, terutama peramban, klien perpesanan, dan perangkat yang berinteraksi dengan internet. Sistem yang diperbarui mengurangi permukaan serangan dan mencegah eksploitasi zero-day yang diketahui.

Pertimbangkan untuk mengadopsi satu solusi keamanan berlapisAntivirus dengan pemindaian sesuai permintaan dan deteksi perilaku, firewall yang terkonfigurasi dengan baik, dan, jika diperlukan, utilitas anti-rootkit. Keragaman lapisan menyulitkan penyerang dan meningkatkan peluang Anda untuk menghentikan intrusi tepat waktu.

Jangan abaikan backup reguler di media eksternal atau di cloud. Pastikan setidaknya satu salinan offline atau tidak dapat diubah untuk mencegah ransomware mengenkripsi data Anda. Periksa secara berkala untuk memastikan Anda memulihkan data tanpa masalah.

Jika Anda mengalami kendala atau perlu segera memulai, Anda selalu memiliki pilihan untuk mencari bantuan profesionalLayanan khusus menawarkan diagnostik dan pelepasan terpandu dengan harga terjangkau, yang dapat menghemat waktu Anda dan mengurangi sakit kepala di lingkungan kerja kritis.

Dengan semua hal di atas, Anda memiliki peta jalan yang solid: gunakan Process Explorer Untuk proses dan tanda tangan sinar-X, mengandalkan VirusTotal Untuk kontras langsung, lengkapi dengan Autoruns, alat anti-rootkit y analisis jaringan, dan diakhiri dengan ukuran perbaikan sepatu bot atau instal ulang jika perlu; dari sana, perkuat keamanan Anda dengan patch, lapisan pertahanan, dan cadangan sehingga Anda tidak perlu repot menyelesaikan pekerjaan rumah di lain waktu.