Sử dụng công cụ Process Monitor để phát hiện những thay đổi do malware potx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (172.77 KB, 9 trang )
Sử dụng công cụ Process Monitor để phát hiện những
thay đổi do malware
Trong phần ba và cũng là phần cuối cùng của loạt bài này, chúng tôi sẽ
giới thiệu cho các bạn cách sử dụng công cụ Process Monitor để phát
hiện những thay đổi do malware đối với registry và hệ thống file.
Trong phần một và phần hai của loạt bài gồm ba phần này, chúng tôi đã giới
thiệu cho các bạn cách sử dụng Process Explorer và Autoruns để nhận dạng
phần mềm mã độc trên hệ thống Windows. Lúc này phiên bản mới của
Process Explorer (v15.01) đã được phát hành trong tháng này, bạn có thể
download để sử dụng phiên bản mới nhất của nó tại đây.
Phiên bản mới này sử dụng ít bộ nhớ hơn, nó hiển thị hiệu quả sử dụng GPU
và cho phép bạn khởi động lại các dịch vụ. Ngoài ra các biểu đồ hiệu suất
cũng có giao diện đẹp mắt hơn.
Cài đặt và sử dụng Process Monitor
Process Monitor thay thế cho công cụ FileMon và RegMon cũ, nó kết hợp
cũng như nâng cấp các chức năng của cả hai công cụ này. Phiên bản hiện
hành của Process Monitor là v2.95 và bạn có thể download nó tại đây.
Vậy bạn có thể thực hiện những gì với Process Monitor? Công cụ này được
sử dụng để capture tất cả dữ liệu thời gian thực về các quá trình (process) trên
máy tính, gồm có đường dẫn ảnh, dòng lệnh, người dùng, session ID và các
mối quan hệ của process. Với tính năng lọc tuyệt vời, bạn sẽ không phải lo
lắng về việc mất thông tin khi thiết lập các bộ lọc. Với các thông tin thu
được, bạn có thể phân tích malware được tìm thấy và xác định nó là loại gì
cũng như loại bỏ nó như thế nào.
Bạn có thể download và cài đặt Process Monitor trên máy tính (khoảng 1.26
MB). Process Monitor sẽ cài đặt một driver thiết bị để capture thông tin, sau
đó hiển thị nó trong giao diện đồ họa thân thiện người dùng. Như những gì
thể hiện trong hình 1, Process Monitor hiển thị một dòng thông tin cho mỗi
hoạt động xảy ra trên hệ thống. Mặc định, các cột hiển thị ở đây gồm có thời
gian, tên quá trình và PID, hoạt động nó chỉ đạo, đường dẫn, kết quả của hoạt
động và các chi tiết về hoạt động (trong hình, chúng tôi đã ẩn thông tin
đường dẫn vì nó chứa các thông tin nhận dạng về tài khoản người dùng, tên
máy tính và tên miền).
Hình 1
Bạn có thể bổ sung thêm nhiều cột khác để có thêm thông tin về ứng dụng, sự
kiện và quá trình, xem thể hiện trong hình 2.
Hình 2
Số lượng thông tin mà Process Monitor cung cấp là rất nhiều vì có quá nhiều
quá trình chạy ở chế độ background trên một hệ thống Windows. Điều đó có
nghĩa rằng chúng ta cần phải lọc nếu muốn capture thông tin có liên quan đến
nhiệm vụ tìm kiếm malware. Một điều thú vị ở đây là, các bộ lọc của Process
Monitor sẽ hạn chế những gì sẽ được hiển thị chứ không phải những gì được
capture. Vì vậy tất cả dữ liệu sẽ vẫn được capture nhưng bạn chỉ thấy những
gì mình cần. Vì vậy bạn có thể hiển thị các entry khớp với tên quá trình,
người dùng, thời gian cụ thể trong ngày,… Nhiều lựa chọn được thể hiện
ngay trong hình 3.
Hình 3
Có thể tạo nhiều bộ lọc để tìm ra các entry, ví dụ như entry được tạo ra bởi
một quá trình cụ thể nào đó tại một thời điểm cụ thể trong ngày hay cũng có
thể chọn thêm các điều kiện khác. Sự năng linh hoạt này nâng cao đáng kể
khả năng phát hiện sự kiện mà không bị phân tâm bởi quá nhiều thông tin
không liên quan khác.
Có nhiều nút hữu dụng trên toolbar cho phép bạn hiển thị hành động của
registry, hành động mạng, hành động của hệ thống file, quá trình và các sự
kiện,… Bạn có thể thực hiện việc ghi chép và thiết lập mốc thời gian cần ghi
để hạn chế tổng số sự kiện được lưu giữ.
Khi một chương trình malware tự động cài đặt vào hệ thống của bạn, nó sẽ
bung các file vào nhiều địa điểm khác nhau trên ổ cứng, copy file driver vào
thư mục hệ thống của Windows, thêm khóa vào Windows registry,… Với
Process Monitor, bạn có thể nhận dạng những gì đang tạo ra các file đó và
những gì xuất hiện trở lại sau khi bạn đã xóa, hoặc những gì đang tạo ra các
entry registry nghi ngờ.
Để tìm ra một quá trình nghi ngờ đang thực hiện những gì, trước tiên bạn cần
thiết lập các bộ lọc để hiển thị các entry cho quá trình có tên đó. Bạn có thể
lọc kỹ hơn các kết quả hoặc có thể xem lại từng dòng kết quả để chỉ ra quá
trình đang thực hiện những gì. Cho ví dụ, có thể chọn để chỉ hiển thị các sự
kiện truy cập registry để có thể xác định những khóa registry gì mà quá trình
đang truy cập, thay đổi hay thêm vào. Sau đó kiểm tra giá trị registry đó để
tìm ra ảnh hưởng của những thay đổi đang diễn ra. Bạn có thể kiểm tra các
entry truy cập hệ thống file để tìm ra những file nào đang bị một quá trình
nào đó lấy thông tin, hoặc những file nào đang bị xóa hoặc được thêm vào hệ
thống.
Có thể sẽ dễ dàng hơn khi xem lại các thông tin trong chương trình khác,
chẳng hạn như Excel hoặc Office. Ngoài ra bạn có thể lưu một copy thông tin
dưới một trong các định dạng đó. Trong trường hợp đó, bạn có thể export dữ
liệu vào file .CSV hoặc .XML bằng cách sử dụng tùy chọn “save to file”
(cũng có thể lưu file dưới định dạng Process Monitor nguyên bản, .PML, nếu
bạn muốn mở lại nó trong Process Monitor).
Process Monitor có thể được sử dụng cùng với Process Explorer và
AutoRuns tạo nên một tập các công cụ mạnh trong giám sát và remove
malware ra khỏi hệ thống.
Điều gì sẽ xảy ra nếu các công cụ Sysinternals không có tác dụng?
Như những gì chúng tôi đã minh chứng trong loạt bài gồm ba phần này, các
công cụ Sysinternals là những trợ giúp tuyệt vời trong việc tìm và diệt
malware, đặc biệt hữu dụng khi sử dụng trong những ngày “zero day”, khi
chưa có các chữ ký mới được cung cấp bởi các hãng anti-malware. Tuy nhiên
đôi khi các công cụ Sysinternals không có tác dụng vì tác giả malware đã
nghiên cứu kỹ lưỡng và biết cách qua mặt được các công cụ phổ biến này
(cũng như các sản phẩm anti-virus và anti-malware thương mại) để xâm nhập
được hệ thống của bạn. Lúc này bạn có thể sử dụng Process Explorer,
Process Monitor hoặc Autoruns để tìm quá trình mã độc.
Kết luận
Trong loạt bài gồm ba phần này chúng tôi đã giới thiệu cho các bạn cách sử
dụng các công cụ như Process Explorer, Autoruns và Process Monitor để tìm
và diệt malware. Bên cạnh đó là các công cụ Sysinternals miễn phí cũng hỗ
trợ khá tốt cho bất cứ ai muốn tìm hiểu sâu về mã độc và muốn loại trừ nó
khỏi hệ thống của mình. Tất cả đều có thể được download cách miễn phí từ
website của Microsoft.
