Sử dụng công cụ Process Monitor để phát hiện những thay đổi do malware Trong phần ba và cũng là phần cuối cùng của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách sử dụng công cụ Process Monitor để phát hiện những thay đổi do malware đối với registry và hệ thống file. Trong phần một và phần hai của loạt bài gồm ba phần này, chúng tôi đã giới thiệu cho các bạn cách sử dụng Process Explorer và Autoruns để nhận dạng phần mềm mã độc trên hệ thống Windows. Lúc này phiên bản mới của Process Explorer (v15.01) đã được phát hành trong tháng này, bạn có thể download để sử dụng phiên bản mới nhất của nó tại đây. Phiên bản mới này sử dụng ít bộ nhớ hơn, nó hiển thị hiệu quả sử dụng GPU và cho phép bạn khởi động lại các dịch vụ. Ngoài ra các biểu đồ hiệu suất cũng có giao diện đẹp mắt hơn. Cài đặt và sử dụng Process Monitor Process Monitor thay thế cho công cụ FileMon và RegMon cũ, nó kết hợp cũng như nâng cấp các chức năng của cả hai công cụ này. Phiên bản hiện hành của Process Monitor là v2.95 và bạn có thể download nó tại đây. Vậy bạn có thể thực hiện những gì với Process Monitor? Công cụ này được sử dụng để capture tất cả dữ liệu thời gian thực về các quá trình (process) trên máy tính, gồm có đường dẫn ảnh, dòng lệnh, người dùng, session ID và các mối quan hệ của process. Với tính năng lọc tuyệt vời, bạn sẽ không phải lo lắng về việc mất thông tin khi thiết lập các bộ lọc. Với các thông tin thu được, bạn có thể phân tích malware được tìm thấy và xác định nó là loại gì cũng như loại bỏ nó như thế nào. Bạn có thể download và cài đặt Process Monitor trên máy tính (khoảng 1.26 MB). Process Monitor sẽ cài đặt một driver thiết bị để capture thông tin, sau đó hiển thị nó trong giao diện đồ họa thân thiện người dùng. Như những gì thể hiện trong hình 1, Process Monitor hiển thị một dòng thông tin cho mỗi hoạt động xảy ra trên hệ thống. Mặc định, các cột hiển thị ở đây gồm có thời gian, tên quá trình và PID, hoạt động nó chỉ đạo, đường dẫn, kết quả của hoạt động và các chi tiết về hoạt động (trong hình, chúng tôi đã ẩn thông tin đường dẫn vì nó chứa các thông tin nhận dạng về tài khoản người dùng, tên máy tính và tên miền). Hình 1 Bạn có thể bổ sung thêm nhiều cột khác để có thêm thông tin về ứng dụng, sự kiện và quá trình, xem thể hiện trong hình 2. Hình 2 Số lượng thông tin mà Process Monitor cung cấp là rất nhiều vì có quá nhiều quá trình chạy ở chế độ background trên một hệ thống Windows. Điều đó có nghĩa rằng chúng ta cần phải lọc nếu muốn capture thông tin có liên quan đến nhiệm vụ tìm kiếm malware. Một điều thú vị ở đây là, các bộ lọc của Process Monitor sẽ hạn chế những gì sẽ được hiển thị chứ không phải những gì được capture. Vì vậy tất cả dữ liệu sẽ vẫn được capture nhưng bạn chỉ thấy những gì mình cần. Vì vậy bạn có thể hiển thị các entry khớp với tên quá trình, người dùng, thời gian cụ thể trong ngày,… Nhiều lựa chọn được thể hiện ngay trong hình 3. Hình 3 Có thể tạo nhiều bộ lọc để tìm ra các entry, ví dụ như entry được tạo ra bởi một quá trình cụ thể nào đó tại một thời điểm cụ thể trong ngày hay cũng có thể chọn thêm các điều kiện khác. Sự năng linh hoạt này nâng cao đáng kể khả năng phát hiện sự kiện mà không bị phân tâm bởi quá nhiều thông tin không liên quan khác. Có nhiều nút hữu dụng trên toolbar cho phép bạn hiển thị hành động của registry, hành động mạng, hành động của hệ thống file, quá trình và các sự kiện,… Bạn có thể thực hiện việc ghi chép và thiết lập mốc thời gian cần ghi để hạn chế tổng số sự kiện được lưu giữ. Khi một chương trình malware tự động cài đặt vào hệ thống của bạn, nó sẽ bung các file vào nhiều địa điểm khác nhau trên ổ cứng, copy file driver vào thư mục hệ thống của Windows, thêm khóa vào Windows registry,… Với Process Monitor, bạn có thể nhận dạng những gì đang tạo ra các file đó và những gì xuất hiện trở lại sau khi bạn đã xóa, hoặc những gì đang tạo ra các entry registry nghi ngờ. Để tìm ra một quá trình nghi ngờ đang thực hiện những gì, trước tiên bạn cần thiết lập các bộ lọc để hiển thị các entry cho quá trình có tên đó. Bạn có thể lọc kỹ hơn các kết quả hoặc có thể xem lại từng dòng kết quả để chỉ ra quá trình đang thực hiện những gì. Cho ví dụ, có thể chọn để chỉ hiển thị các sự kiện truy cập registry để có thể xác định những khóa registry gì mà quá trình đang truy cập, thay đổi hay thêm vào. Sau đó kiểm tra giá trị registry đó để tìm ra ảnh hưởng của những thay đổi đang diễn ra. Bạn có thể kiểm tra các entry truy cập hệ thống file để tìm ra những file nào đang bị một quá trình nào đó lấy thông tin, hoặc những file nào đang bị xóa hoặc được thêm vào hệ thống. Có thể sẽ dễ dàng hơn khi xem lại các thông tin trong chương trình khác, chẳng hạn như Excel hoặc Office. Ngoài ra bạn có thể lưu một copy thông tin dưới một trong các định dạng đó. Trong trường hợp đó, bạn có thể export dữ liệu vào file .CSV hoặc .XML bằng cách sử dụng tùy chọn “save to file” (cũng có thể lưu file dưới định dạng Process Monitor nguyên bản, .PML, nếu bạn muốn mở lại nó trong Process Monitor). Process Monitor có thể được sử dụng cùng với Process Explorer và AutoRuns tạo nên một tập các công cụ mạnh trong giám sát và remove malware ra khỏi hệ thống. Điều gì sẽ xảy ra nếu các công cụ Sysinternals không có tác dụng? Như những gì chúng tôi đã minh chứng trong loạt bài gồm ba phần này, các công cụ Sysinternals là những trợ giúp tuyệt vời trong việc tìm và diệt malware, đặc biệt hữu dụng khi sử dụng trong những ngày “zero day”, khi chưa có các chữ ký mới được cung cấp bởi các hãng anti-malware. Tuy nhiên đôi khi các công cụ Sysinternals không có tác dụng vì tác giả malware đã nghiên cứu kỹ lưỡng và biết cách qua mặt được các công cụ phổ biến này (cũng như các sản phẩm anti-virus và anti-malware thương mại) để xâm nhập được hệ thống của bạn. Lúc này bạn có thể sử dụng Process Explorer, Process Monitor hoặc Autoruns để tìm quá trình mã độc. Kết luận Trong loạt bài gồm ba phần này chúng tôi đã giới thiệu cho các bạn cách sử dụng các công cụ như Process Explorer, Autoruns và Process Monitor để tìm và diệt malware. Bên cạnh đó là các công cụ Sysinternals miễn phí cũng hỗ trợ khá tốt cho bất cứ ai muốn tìm hiểu sâu về mã độc và muốn loại trừ nó khỏi hệ thống của mình. Tất cả đều có thể được download cách miễn phí từ website của Microsoft. . Sử dụng công cụ Process Monitor để phát hiện những thay đổi do malware Trong phần ba và cũng là phần cuối cùng của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách sử dụng công cụ. và sử dụng Process Monitor Process Monitor thay thế cho công cụ FileMon và RegMon cũ, nó kết hợp cũng như nâng cấp các chức năng của cả hai công cụ này. Phiên bản hiện hành của Process Monitor. và bạn có thể download nó tại đây. Vậy bạn có thể thực hiện những gì với Process Monitor? Công cụ này được sử dụng để capture tất cả dữ liệu thời gian thực về các quá trình (process) trên máy