Nhận diện phần mềm gián điệp trong Windows
Nếu chỉ đơn thuần sử dụng công cụ Task Manager
trong Windows thì chúng ta không thể nào biết được
tất cả chương trình đang chạy trong hệ thống. Tương
tự, với từng chương trình cụ thể, chúng ta cũng
không có đủ thông tin để đánh giá xem chương trình
đó có thực sự cần thiết hay không. Và càng nguy
hiểm hơn nếu chương trình đó có ý gây hại đến máy
tính của bạn.
Trong Windows, một ứng dụng đang chạy thường
“kéo theo” nhiều chương trình phụ trợ làm cho sự
việc vốn dĩ đã phức tạp càng thêm “rối”. Bài viết sẽ
giới thiệu đến bạn thông tin cần thiết để có thể xác
định danh sách các chương trình đang chạy trên hệ
thống Windows, đồng thời xem đâu là chương trình
hợp lệ, phần mềm gián điệp hay vi-rút máy tính
Ngoài ra, bạn cũng sẽ được hướng dẫn cách “theo
vết” mọi ứng dụng đang thực thi trên máy tính, kể cả
mối hiểm họa mới nhất là rootkits.

“Nhân vô thập toàn” nên không ai dám chắc hệ thống
của mình thực sự an toàn hay ổn định 100% trước
mọi sự tấn công của vi rút máy tính. Cho dù đã sử
dụng các công cụ bảo vệ cần thiết như tường lửa,
phần mềm diệt vi rút, qui định nghiêm ngặt trong vấn
đề tải ứng dụng nhưng hệ thống của bạn cũng đành
thúc thủ trước sự lây nhiễm của những dạng tấn công
mới. Yếu tố cơ bản để bảo vệ hệ thống là phải nhanh
chóng phát hiện lỗ hổng bảo mật, cập nhật danh sách
vi rút máy tính mới cho các công cụ trên. Nếu có một
vi rút hay lổ hổng bảo mật mới xuất hiện mà hệ thống

chưa được cập nhật thì chắc chắn hệ thống của bạn sẽ
bị tin tặc tấn công. Vì vậy, cách phòng chống tốt nhất
là sớm phát hiện những chương trình “ác ý” này
trong hệ thống và loại bỏ chúng ngay lập tức.

AN TOÀN LÀ TRÊN HẾT

Vì các thao tác giới thiệu trong bài viết này có liên
quan trực tiếp đến sự ổn định của hệ thống Windows
nên chúng ta phải tuân thủ một số nguyên tắc đảm
bảo an toàn hệ thống như sau:

Trước hết, không được tùy tiện xóa bỏ hay sửa đổi
nội dung của bất cứ một tập tin nào khi chưa biết rõ
về chức năng, vai trò của nó đối với hệ thống. Tiến
hành sao lưu hệ thống để đề phòng trục trặc. Với các
hệ thống sử dụng Windows XP/Me thì nên sử dụng
chức năng System Restore, thủ tục thực hiện như sau:
nhấn Start.Programs.Accessories.System
Tools.System Restore, tiếp đến chọn Create a restore
point, rồi thực hiện theo các hướng dẫn. Hãy tiến
hành thực hiện công việc này trước khi tác động trực
tiếp vào hệ thống Windows.

Bạn cũng có thể loại bỏ chế độ không hiển thị các thư
mục và tập tin hệ thống với thuộc tính “ẩn” của
Windows. Mở tiện ích Windows Explorer hay bất cứ
cửa sổ thư mục nào, chọn trình đơn Tools.Folder
Options, tiếp đến chọn nhãn View. Tại mục Hidden
files and folders, đánh dấu tuỳ chọn “Show hidden

files and folders”, ngoài ra bỏ đánh dấu chọn tại các
mục “Hide extensions for known file types” và “Hide
protected operating system files (Recommended)”.
Chọn Yes nếu xuất hiện cửa sổ cảnh báo của
Windows. Ngoài ra, để giảm bớt khối lượng công
việc trong quá trình thực hiện nên chạy các chương
trình diệt vi rút máy tính và chống phần mềm gián
điệp mà bạn đang sử dụng trong hệ thống.

Cuối cùng, nếu đã hoàn toàn tin chắc rằng tập tin đó
là dấu hiệu của sự lây nhiễm một phần mềm xấu tính,
hãy xóa chúng. Tuy nhiên, bạn không thể sử dụng
cách này để loại bỏ các tập tin có phần mở rộng là
.dll trong thư mục hệ thống Windows.

KIỂM TRA BỘ NHỚ

Bây giờ là lúc chuyển sang tìm hiểu xem các chương
trình và dịch vụ nào đang hoạt động. Do công cụ
Task Manager của Windows cung cấp không đủ
thông tin cần thiết nên chúng ta sẽ sử dụng tiện ích
miễn phí Process Explorer của Sysinternal
(www.pcworld.com.vn, ID: 47569). Theo mặc định,
tiện ích Process Explorer chưa hiển thị ngay thông tin
cần thiết của một chương trình nên bạn cần thực hiện
thêm những thủ tục sau: khởi động Process Explorer,
nhấn phải chuột lên tiêu đề một cột nào đó trong màn
hình, chọn Select Columns. Tiếp đến, đánh dấu 4 tùy
chọn là Process Name, Description, Company Name,
Command Line. Trong màn hình Select Columns

chọn nhãn DLL, đánh dấu chọn mục Path rồi nhấn
OK. Sau đó, bạn nhấn View và kiểm tra xem tùy
chọn Show Lower Pane đã được đánh dấu chưa. Cuối
cùng, chọn trình đơn View.Lower Pane View.DLLs
(hình 1).

Với cấu hình khai như trên, mỗi khi chọn một
chương trình trong danh sách các ứng dụng đang
chạy thì Process Explorer sẽ cho chúng ta biết tất cả
các tập tin DLL được chương trình cần đến khi đang
chạy. Cột Command Line chỉ ra tên thư mục và ổ đĩa
lưu trữ chương trình. Với các chương trình hoạt động
ở dạng service (do tiện ích hệ thống svchost.exe điều
khiển) thì tiện ích sẽ chỉ rõ số thứ tự của dịch vụ đó.

Các chương trình chạy trên bộ nhớ mà nơi lưu trữ là
thư mục Temp (thư mục chứa các tập tin tạm thời của
Windows trong quá trình hoạt động) sẽ được đánh
dấu đỏ bên cạnh để chúng ta lưu ý xem xét kỹ
hơn.Thường thì các chương trình gián điệp hay vi rút
máy tính hay thực hiện cài đặt hoặc ẩn nấp tại thư
mục này. Tuy nhiên cũng phải cẩn thận, nếu bạn
đang cài đặt một phần mềm nào đó thì thư mục Temp
của Windows cũng là nơi chứa các tập tin cần thiết
cho trình cài đặt ứng dụng ví dụ như InstallShield.
Bạn cũng cần lưu ý rằng trong Windows XP, khi
chương trình Explorer.exe hoạt động thì các dịch vụ
như smss.exe, winlogon.exe, services.exe, alg.exe và
lsass.exe cũng sẽ được chạy trong bộ nhớ của máy
tính. Vì thế hãy tránh đụng đến những chương trình

quan trọng này.

Tuy vậy, cần lưu ý đến chương trình rundll32.exe
xuất hiện trong bộ nhớ của hệ thống. Rất nhiều phần
mềm gián điệp hay vi rút máy tính ẩn nấp dưới dạng
tập tin .dll, sử dụng chương trình này làm bàn đạp để
xâm nhập vào bộ nhớ của hệ thống. Đây chính là cơ
chế mà Windows khởi động các chương trình điều
khiển thiết bị nên trước khi loại bỏ chương trình nào,
bạn cần xem xét kỹ liệu chúng có phải là chương
trình của Windows hay không. Thông thường tên thư
mục lưu giữ tập tin chương trình trên đĩa cứng sẽ
chứng tỏ đó có phải là một chương trình hợp pháp
không.

XÁC ĐỊNH CHƯƠNG TRÌNH CHƯA RÕ DANH
TÍNH

Khi Windows hoạt động, một chức năng chủ chốt của
hệ điều hành chạy sẽ khởi động rất nhiều tập tin phụ
trợ (thường là hoạt động ở chế độ nền), ví dụ như các
chương trình điều khiển thiết bị phần cứng, điều
khiển cổng kết nối máy tính, kết nối mạng Khi
khảo sát một chương trình đang hoạt động trong bộ
nhớ bằng tiện ích Process Explorer, thông tin trên các
cột Description, Company Name, Command Line
sẽ giúp chúng ta biết được các tập tin này dùng để
làm gì, do ai sản xuất và được lưu giữ ở đâu

Nếu một chương trình nào đó không có một hay tất

cả 4 thông tin vừa đề cập thì thực hiện thủ tục sau:
Trong màn hình của Process Explorer nhấn phải
chuột lên chương trình cần xem, chọn Properties.
Nếu thông tin trong nhãn Image vẫn chưa đủ thì nhấn
nhãn Services. Những thủ tục hợp lệ được liệt kê ở
cột hơi thụt vào một chút dưới dòng “service.exe” sẽ
xuất hiện dưới nhãn này.

Ví dụ trong hình 2 cho thấy hiện có hai dịch vụ đang
hoạt động trong máy tính nhưng không có thông tin
gì trong cột Description và Company Name. Thứ
nhất là dịch vụ “slee81.exe”, với nhãn Sevices chúng
ta biết đây là phần mềm Steganos Live Encryption
Engine. Lý do là trước đây hệ thống đã được cài ứng
dụng Steganos. Đây không phải là lỗi bảo mật tuy
nhiên nếu không còn sử dụng tiện ích này để mã hóa
tập tin, hãy tắt dịch vụ này để tiết kiệm bộ nhớ. Dịch
vụ thứ hai là WLTRYSVC, thông tin tại nhãn Sevices
cho chúng ta biết chương trình này khi chạy đã khởi
động chương trình BCMWLTRY.EXE, đây là
chương trình của phần mềm Broadcom Wireless
Network Tray Applet giúp người sử dụng theo dõi
chất lượng tín hiệu Wi-Fi. Như vậy đây cũng là một
chương trình hợp lệ.

Hãy làm theo các hướng dẫn ở trên để kiểm tra tất cả
chương trình và dịch vụ hoạt động ở chế độ nền.
Trường hợp một chương trình đang hoạt động nhưng
không có thông tin gì thì bạn phải xử lý chúng như
thế nào? Đây chính là lúc chúng ta tiến hành tìm

kiếm thông tin về chương trình này bằng Internet.

TẬN DỤNG INTERNET

Nếu cần tìm thông tin về một tập tin DLL nào đó thì
bạn có thể tham khảo ở cơ sở dữ liệu DLL Help
Database của Microsoft tại địa chỉ
(hình 3). Nếu
nghi ngờ một tập tin là phần mềm gián điệp thì tra
cứu tại cơ sở dữ liệu Spyware Information Center
( hay Pest
Encyclopedia ( lưu trữ
thông tin của 27.000 phần mềm gián điệp. Trang web
Task List Programs tại địa chỉ AnswerThatWork.com
(hình 4) sẽ cho chúng ta biết thông tin phần mềm ứng
dụng cũng như là vi rút máy tính và spyware. Ngoài
ra các tiện ích như WinPatrol (www.pcworld.com.vn,
ID: 47582) hay WinTask 5 Professional (49,95 USD,
find.pcworld.com/47584) của Uniblue cũng cho biết
một tiện ích hay tập tin .dll có phải là chương trình
nguy hiểm hay không. Hai tiện ích này còn có một cơ
sở dữ liệu trực tuyến về hàng ngàn tập tin chương
trình hay DLL. Riêng tiện ích WinTask còn có chức
năng lập được “danh sách đen” các chương trình cấm
không cho chạy trên hệ thống.

Nếu chỉ có mục đích tìm kiếm các chương trình nguy
hiểm thì bạn nên xem xét sử dụng công cụ có tên là
Security Task Manager của Neuber Software (bản
dùng thử có tại find.pcworld.com/48062). Giống như

một phần mềm diệt vi rút máy tính, công cụ này cho
phép kiểm tra và đánh giá tất cả các tập tin chương
trình trong hệ thống của bạn (tập tin thực thi, trình
điều kiển thiết bị, tập tin .dll) có phải là chương trình
gián điệp hay không cho dù chúng được chưa khởi
động.

Dù sao đi nữa, bạn cũng đừng quá tin vào những kết
quả trên internet. Cho dù hàng ngàn website trên thế
giới đều nói rằng một tập tin có tên nào đó là nguy
hiểm nhưng chỉ cần Microsoft nói rằng đó là một
chương trình ứng dụng “an toàn” thì tất cả thông tin
của hàng ngàn website trên đều trở nên vô nghĩa.
Càng có nhiều thông tin, nguy cơ bạn xóa nhầm các
tập tin đó càng thấp.