Cách phát hiện các tiến trình độc hại bằng Process Explorer và VirusTotal

Phát hiện các tiến trình độc hại trong Cửa sổ Nó không phải lúc nào cũng rõ ràng, và thậm chí còn ít rõ ràng hơn khi phần mềm độc hại Chúng ẩn mình bằng các kỹ thuật tiên tiến. Nếu bạn đang tự hỏi làm thế nào để tìm ra chúng mà không bị lạc giữa hàng tá quy trình, Process Explorer và tính năng tích hợp với VirusTotal sẽ là một trợ thủ đắc lực.

Trong hướng dẫn này bạn sẽ tìm thấy một chuyến tham quan thực tế và rất chi tiết để điều tra các tiến trình đáng ngờ bằng Process Explorer, kích hoạt quét bằng VirusTotal, giải thích kết quả và bổ sung cho cuộc điều tra bằng Autoruns, các công cụ chống rootkit, giám sát mạng và các biện pháp dọn dẹp và củng cố khác.

Process Explorer là gì và tại sao nó lại đóng vai trò quan trọng trong việc phát hiện các tiến trình độc hại?

Process Explorer Đây là một tiện ích của Microsoft (bộ sưu tập Sysinternals) được thiết kế để giám sát các tiến trình chuyên sâu trong Windows: Sử dụng CPU/RAM, phân cấp, mô tả, mô-đun đã tải, đường dẫn thực thi, quyền, chữ ký số và nhiều hơn nữa. Phần mềm này có tính di động, chạy mà không cần cài đặt và cho phép bạn đưa ra quyết định sáng suốt chỉ trong vài giây.

Từ năm 2014, nó kết hợp tích hợp với VirusTotal, điều này làm cho nó có thể so sánh hàm băm của mỗi tệp thực thi Với cơ sở dữ liệu gồm nhiều công cụ diệt virus trên nền tảng đám mây, lớp bổ sung này giúp bạn dễ dàng phân biệt các quy trình hợp lệ với các quy trình không hợp lệ mà không cần thoát khỏi công cụ.

Nói một cách đơn giản, quy trình phân tích với VirusTotal từ Process Explorer hoạt động như sau: bạn chọn quy trình, công cụ gửi băm từ tệp thực thi (không phải tệp riêng lẻ) đến VirusTotal, so sánh với cơ sở chữ ký của bạn và sau đó bạn thấy điểm số trong một cột chuyên dụng trong Process Explorer.

1. Lựa chọn quy trình: Bạn chọn quy trình bạn muốn kiểm tra từ danh sách.
2. Gửi băm: Process Explorer tính toán và gửi hàm băm nhị phân tới VirusTotal.
3. Phân tích: Các công cụ VirusTotal so sánh hàm băm đó với kho lưu trữ phần mềm độc hại của chúng.
4. kết quả: Một cột sẽ xuất hiện với phán quyết được thêm vào (tích cực/động cơ).

Trong số những ưu điểm của nó là phát hiện nhanh của các mối đe dọa tiềm ẩn, chi tiết phong phú mà VirusTotal cung cấp về các gia đình hoặc các trận đấu và dễ sử dụng:Mọi thứ đều được tích hợp vào giao diện Process Explorer mà không cần cấu hình phức tạp.

Như những hạn chế, điều đáng ghi nhớ là hiệu quả phụ thuộc vào VirusTotal (nếu phần mềm độc hại rất mới, nó có thể không xuất hiện) và quét thêm tiêu thụ của các tài nguyên trong khi truy vấn các hàm băm, đặc biệt là trên các máy tính khiêm tốn hoặc những máy tính có nhiều quy trình đồng thời.

Cách bật VirusTotal trong Process Explorer và hiểu kết quả

Bắt đầu bằng cách tải công cụ từ Sysinternals, giải nén và chạy. procexp64.exe với tư cách là quản trị viên nếu bạn đang sử dụng Windows 64-bit. Có tính di động, không cần cài đặt, rất thuận tiện cho việc phân tích cụ thể.

Để bật tích hợp với VirusTotal, trên thanh trên cùng, hãy đi tới Tùy chọn > VirusTotal và kích hoạt kiểm tra. Bạn sẽ tự động thấy một cột mới hiển thị thông tin tương tự như 0/70, 1/70, v.v., cho biết có bao nhiêu công cụ báo cáo tệp này là đáng ngờ.

Một 0/n thường ngụ ý rằng không có động cơ nào được phát hiện hoạt động độc hại liên quan đến hàm băm được truy vấn. Nếu bạn thấy một số dương tính riêng lẻ (ví dụ, 1/70 màu đỏ), đừng vội vàng: chúng thường dương tính giảBạn có thể nhấp vào kết quả để mở báo cáo VirusTotal và xem lại thông tin chi tiết.

Nếu chỉ số tăng đột biến (ví dụ: 15/70 hoặc cao hơn), đó là dấu hiệu rõ ràng của rủi ro. Trong trường hợp đó, điều hợp lý cần làm là kết thúc quá trình cẩn thận ngắt máy khỏi nguồn điện nếu cần thiết và vượt qua quét phần mềm độc hại hoàn thành việc xác định và loại bỏ nguồn gốc.

Điều tra thủ công: Thuộc tính quy trình, chữ ký, DEP/ASLR và manh mối tinh tế

Ngoài phán quyết của VirusTotal, Process Explorer tỏa sáng khi bạn mở thuộc tính của một tiến trình (nhấp đúp hoặc nhấp chuột phải > Thuộc tính). Tại đây, bạn có thể xem đường dẫn hình ảnh, người dùng đang chạy, các mô-đun đã tải, mô tả mở, mức sử dụng tài nguyên và các thông tin chi tiết khác.

Một bộ lọc đầu tiên hữu ích là xác nhận đường dẫn mà tệp thực thi được tải. Nếu có thứ gì đó tự nhận là hệ thống đang hoạt động từ một thư mục tạm thời hoặc hồ sơ người dùng, kinh doanh tồi tệ. Bạn cũng có thể muốn sử dụng tùy chọn tìm kiếm tên tập tin trên Internet để xem danh tiếng, hồ sơ và liệu người khác có xác định bạn là mối đe dọa hay không.

Một kiểm tra có giá trị khác là xác minh chữ ký số của tệp nhị phân. Process Explorer cho phép bạn kiểm tra xem tệp thực thi đã được ký chưa và chữ ký đó có hợp lệ hay không. Một tệp từ nhà cung cấp uy tín không được ký hoặc chữ ký không thể được xác minh là một cờ vàngMột ví dụ điển hình là một khách hàng, mặc dù đã tải xuống trình cài đặt đã ký, nhưng vẫn thấy tệp thực thi cuối cùng chưa được ký, có nguy cơ bị thay thế bằng phiên bản Trojan.

Ngược lại, có những sản phẩm xuất hiện với chữ ký đã được xác minh, điều này làm tăng thêm sự tự tin. Lưu ý: hiện nay có những chiến dịch lạm dụng trình điều khiển đã ký từ bên thứ ba hoặc chuỗi cung ứng để lén đưa các tệp nhị phân độc hại vào; do đó, chữ ký không phải là sự đảm bảo tuyệt đối, nhưng nó là một chỉ báo quan trọng trong bối cảnh này.

Cũng lưu ý hành vi bất thường chẳng hạn như các xung CPU không hợp lý, hoạt động đĩa quá mức, ghi vào các vị trí nhạy cảm hoặc thực tế là quá trình này không có các biện pháp giảm thiểu hiện đại như DEP hoặc ASLR hoạt động khi bạn có thể mong đợi điều ngược lại. Chính những tín hiệu nhỏ này, khi kết hợp lại, sẽ giúp phân biệt điều bình thường với điều đáng ngờ.

Một thói quen tốt là biết thuộc lòng Nhóm của bạn thường chạy những quy trình nào, hãy xem xét chúng định kỳ và ghi lại các thay đổi. Bạn càng hiểu rõ hệ thống của mình, bạn sẽ phát hiện ra nó sớm hơn bất kỳ yếu tố nào không đúng chỗ.

Kỹ thuật nâng cao: Autorun, Rootkit, Mạng, MBR và Khi nào cần cài đặt lại

Process Explorer là trung tâm của các hoạt động, nhưng đối với những trường hợp cứng đầu, bạn nên dựa vào các tiện ích Sysinternals khác và công cụ chuyên dụng giúp mở rộng khả năng phát hiện và dọn dẹp các mối đe dọa tiềm ẩn.

Đối với các chương trình chạy tự động khi Windows khởi động, Autoruns là điều cần thiết. Với Tự động chạy Bạn sẽ thấy tất cả các mục nhập của khởi động (ứng dụng, dịch vụ, tiện ích mở rộng, tác vụ theo lịch trình, v.v.). Bạn có thể vô hiệu hóa phần đáng ngờ, mở vị trí hoặc chuyển đến Đăng ký khóa tương ứng với kiểm tra. Các tuyến đường cổ điển để xem xét bao gồm HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run và tương đương cho mỗi người dùng.

Nếu bạn nghi ngờ rootkit (phần mềm độc hại ẩn sâu trong hệ thống), bạn cần một cách tiếp cận khác. Các tiện ích như Malwarebytes Chống Rootkit, TDSSKiller từ Kaspersky hoặc GMER (không tương thích với cửa sổ 11 (ngày nay) giúp phát hiện những gì phần mềm diệt vi-rút thông thường không thấy được.

Để tối đa hóa hiệu quả chống lại rootkit, nên khởi động lại Chế độ an toàn trước khi quét, để phần mềm độc hại có ít cơ hội tải hơn. Trong trình hướng dẫn của một số công cụ, bạn có thể tạo điểm khôi phục, chạy một phân tích sâu và khi hoàn tất, áp dụng làm sạch và khởi động lại khi được yêu cầu.

La hoạt động mạng Nó cũng tiết lộ rất nhiều điều. Với netstat Bạn có thể khám phá các kết nối đang hoạt động và các quy trình liên quan bằng cách chạy trong CMD với các đặc quyền netstat -anoNếu bạn thấy các kết nối liên tục đến các địa chỉ IP không xác định, hãy điều tra PID duy trì phiên đó và so khớp với quy trình trong Process Explorer.

Để có mức độ hiển thị cao hơn, Wireshark cho phép bạn ghi lại và phân tích lưu lượng truy cập. Quy trình thông thường rất đơn giản: chọn giao diện (Wi-Fi hoặc Ethernet), nhấn bắt đầu ghi lại (biểu tượng hình cá mập), xác định IP của bạn bằng ipconfig, áp dụng các bộ lọc như ip.addr == TU_IP hoặc các giao thức cụ thể (ví dụ, http) và dừng chụp khi bạn có đủ tài liệu để phân tích điểm xuất phát/điểm đến và cảng.

1. Chọn giao diện bắt đầu theo dõi và ghi lại.
2. Nhận IP của bạn với ipconfig để lọc chính xác.
3. áp dụng các bộ lọc như ip.addr == TU_IP hoặc theo giao thức.
4. để bắt và kiểm tra chi tiết các gói hàng đáng ngờ.

Khi khởi động có thể bị xâm phạm, đừng quên rằng một số phần mềm độc hại tiên tiến chạm vào MBR (Bản ghi khởi động chính) để chạy trước Windows. Với phương tiện cài đặt Windows, bạn có thể mở Startup Repair và trong bảng điều khiển, sử dụng bootrec /fixmbr để tái thiết lĩnh vực quan trọng này. Đây là một biện pháp đột phá cần được áp dụng một cách thận trọng và có phương án dự phòng.

Nếu, bất chấp mọi cách, tình trạng nhiễm trùng vẫn tiếp diễn hoặc các triệu chứng tái phát, hãy cân nhắc cài đặt lại sạch sẽ hệ thống. Hãy sao lưu tài liệu của bạn, nhưng tránh khôi phục các chương trình hoặc cài đặt cũ một cách mù quáng—chúng có thể tái phát sự cố mà bạn không hề hay biết.

Cuối cùng, hãy nhớ rằng phần mềm độc hại phát triển và có những chiến dịch thậm chí tận dụng các trình điều khiển đã ký để tăng tính bền bỉ. Điều này củng cố ý tưởng kết hợp nhiều tín hiệu: danh tiếng VirusTotal, chữ ký số, vị trí tệp, hành vi, kết nối mạng và mục khởi động.

Tăng cường bảo mật của bạn: bản vá, lớp phòng thủ, bản sao lưu và sự trợ giúp của chuyên gia

Sau khi vệ sinh, điều quan trọng là phải đóng cửa. Áp dụng tất cả bản vá bảo mật Windows và phần mềm đã cài đặt, đặc biệt là trình duyệt, ứng dụng nhắn tin và các công cụ tương tác với Internet. Một hệ thống được cập nhật sẽ giảm thiểu nguy cơ bị tấn công và ngăn chặn các lỗ hổng zero-day đã biết.

Hãy cân nhắc việc áp dụng một giải pháp bảo mật nhiều lớpMột phần mềm diệt virus với tính năng quét theo yêu cầu và phát hiện hành vi, tường lửa được cấu hình tốt và, nếu cần, các tiện ích chống rootkit. Sự đa dạng về lớp bảo mật khiến kẻ tấn công gặp khó khăn và tăng khả năng ngăn chặn xâm nhập kịp thời.

Đừng bỏ qua sao lưu thường xuyên trên phương tiện bên ngoài hoặc trên đám mây. Đảm bảo rằng có ít nhất một bản sao ngoại tuyến hoặc không thay đổi để ngăn chặn ransomware mã hóa dữ liệu của bạn. Hãy kiểm tra định kỳ để đảm bảo bạn khôi phục dữ liệu mà không gặp bất kỳ sự cố nào.

Nếu bạn bị kẹt hoặc cần phải đi nhanh chóng, bạn luôn có tùy chọn tìm kiếm sự hỗ trợ chuyên nghiệpCác dịch vụ chuyên biệt cung cấp dịch vụ chẩn đoán và hướng dẫn loại bỏ với mức giá phải chăng, giúp bạn tiết kiệm thời gian và công sức trong môi trường làm việc quan trọng.

Với tất cả những điều trên, bạn có một lộ trình vững chắc: sử dụng Process Explorer Để chụp X-quang các quy trình và chữ ký, hãy dựa vào VirusTotal Để có sự tương phản ngay lập tức, hãy bổ sung bằng Tự động chạy, công cụ chống rootkit y Phân tích mạngvà kết thúc bằng các biện pháp sửa giày hoặc cài đặt lại nếu cần thiết; từ đó, tăng cường bảo mật bằng các bản vá, lớp phòng thủ và bản sao lưu để bạn không phải lo lắng về việc đã làm sai ở lần sau.