Rss Feed

Phương pháp phát hiện các tiến trình độc hại đang chạy trên hệ thống

Đăng lúc: Thứ ba - 24/07/2018 22:10 - Người đăng bài viết: Tạp Chí
Bài báo giới thiệu về phương pháp phát hiện các tiến trình độc hại đang chạy trên hệ thống, giúp cho các cán bộ kỹ thuật nhanh chóng tìm và diệt mã độc.
        Một trong những chức năng quan trọng thường có ở các mã độc là khả năng ẩn mình trên hệ thống bị lây nhiễm. Trong đó, các tiến trình của mã độc thường sử dụng các tên gần giống hoặc giống hoàn toàn với tiến trình thật của hệ thống, ví dụ: svchost.exe, explorer.exe. Do đó, người quản trị cần có khả năng phát hiện ra các tiến trình nghi ngờ là tiến trình của mã độc để xác định và phục vụ công tác tháo gỡ.
        Để liệt kê các tiến trình đang chạy trên hệ thống, quản trị viên có thể sử dụng ứng dụng Task Manager có sẵn để thực hiện liệt kê. Tuy nhiên, ứng dụng có sẵn này thường chỉ liệt kê các thông tin cơ bản mà thiếu đi các thông tin quan trọng khác giúp quản trị viên có thể phân biệt được giữa tiến trình độc hại và tiến trình an toàn.

 
Ứng dụng Task Manager thông thường
 
        Để khắc phục các nhược điểm của ứng dụng Task Manager, Microsoft đã phát hành ứng dụng mới mang tên Process Explorer để cung cấp nhiều hơn thông tin cho người sử dụng. Ứng dụng Process Explorer là một phần trong gói ứng dụng Sysinternal Suite có thể tải về từ website của Microsoft theo địa chỉ technet.microsoft.com.
 

Giao diện của ứng dụng Process Explorer

 
        Bằng cách sử dụng Process Explorer, quản trị viên có thể có được nhiều thông tin hơn về một tiến trình đang chạy trên hệ thống. Cụ thể như:
        - Các thư viện dll mà tiến trình sử dụng;
        - Cây tiến trình để xác định tiến trình khởi tạo;
        - Trạng thái của tiến trình;
        - Hiệu năng riêng của tiến trình;
        - Và nhiều thông tin khác.
        Để xác định một tiến trình bất thường, quản trị viên thường phải chú ý đến một số đặc điểm như:
        - Tiến trình không có Description;
        - Tiến trình không có Company Name;
        - Tiến trình có các hoạt động mạng trên nền TCP/IP bất thường;
        - Tiến trình không thể verify theo chữ ký số của nhà sản xuất.

 

Verify một tiến trình thành công
 
        Ngoài ra, Process Explorer còn có cung cấp khả năng tải file của tiến trình lên website VirusTotal để dò quyét trên nhiều ứng dụng phòng chống mã độc.
 
Đưa tiến trình lên VirusTotal
 
        Trong trường hợp kết quả trả về từ VirusTotal cho thấy tiến trình trên là tiến trình của mã độc, quản trị viên có thể loại bỏ tiến trình bằng cách sử dụng chức năng “kill” của ứng dụng để loại bỏ tạm thời tiến trình ra khỏi hệ thống.

 
Kill một tiến trình của hệ thống

Nguồn tin: antoanthongtin.vn
Đánh giá bài viết
Tổng số điểm của bài viết là: 0 trong 0 đánh giá
Click để đánh giá bài viết

Ý kiến bạn đọc

 

Văn bản mới

Số: 991/BGDĐT-QLCL
Tên: (Về việc hướng dẫn thực hiện Quy chế thi THPT quốc gia và xét công nhận tốt nghiệp THPT năm 2018)

Ngày BH: (15/03/2018)

Số: Số: 430/QĐ-BCA-V19
Tên: (Ban hành Kế hoạch thực hiện dân chủ trong Công an nhân dân năm 2018)

Ngày BH: (29/01/2018)

Số: Số: 304/T48
Tên: (V/v khảo sát chất lượng đào tạo của Nhà trường)

Ngày BH: (14/03/2018)

Số: 13/2017/QH14
Tên: (Luật Cảnh vệ)

Ngày BH: (20/06/2017)

Số: Chỉ thị số 13-CT/TW
Tên: (Về tăng cường sự lãnh đạo của đảng đối với công tác quản lý, bảo vệ và phát triển rừng)

Ngày BH: (12/01/2017)

Số: Thông tư 49/2017/TT-BCA
Tên: (Quy định chi tiết chế độ bồi dưỡng giám định tư pháp trong lĩnh vực kỹ thuật hình sự; thành phần, số người thực hiện nhiệm vụ khi giám định đối với trường hợp khám nghiệm tử thi, mổ tử thi và khai quật tử thi)

Ngày BH: (26/10/2017)

Số: Chỉ thị số 14-CT/TW
Tên: (Tăng cường sự lãnh đạo của Đảng đối với công tác người có công với cách mạng)

Ngày BH: (19/07/2017)

Số: 1884/QyĐ-T48
Tên: (Quy định về văn hóa ứng xử của cán bộ, giảng viên, công nhân viên và sinh viên Trường Đại học CSND)

Ngày BH: (13/10/2017)

Số: 27/2017/TT-BCA
Tên: (Quy định về quy tắc ứng xử của Công an nhân dân)

Ngày BH: (22/08/2017)

Số: 124/2015/NĐ-CP
Tên: (NGHỊ ĐỊNH SỐ 185/2013/NĐ-CP NGÀY 15 THÁNG 11 NĂM 2013)

Ngày BH: (15/11/2013)