Một trong những chức năng quan trọng thường có ở các mã độc là khả năng ẩn mình trên hệ thống bị lây nhiễm. Trong đó, các tiến trình của mã độc thường sử dụng các tên gần giống hoặc giống hoàn toàn với tiến trình thật của hệ thống, ví dụ: svchost.exe, explorer.exe. Do đó, người quản trị cần có khả năng phát hiện ra các tiến trình nghi ngờ là tiến trình của mã độc để xác định và phục vụ công tác tháo gỡ.
Để liệt kê các tiến trình đang chạy trên hệ thống, quản trị viên có thể sử dụng ứng dụng Task Manager có sẵn để thực hiện liệt kê. Tuy nhiên, ứng dụng có sẵn này thường chỉ liệt kê các thông tin cơ bản mà thiếu đi các thông tin quan trọng khác giúp quản trị viên có thể phân biệt được giữa tiến trình độc hại và tiến trình an toàn.
Ứng dụng Task Manager thông thường
Để khắc phục các nhược điểm của ứng dụng Task Manager, Microsoft đã phát hành ứng dụng mới mang tên Process Explorer để cung cấp nhiều hơn thông tin cho người sử dụng. Process Explorer là một phần trong gói ứng dụng Sysinternal Suite có thể tải về từ website của Microsoft theo địa chỉ technet.microsoft.com.
Giao diện của ứng dụng Process Explorer
Bằng cách sử dụng Process Explorer, quản trị viên có thể có được nhiều thông tin hơn về một tiến trình đang chạy trên hệ thống. Cụ thể như:
- Các thư viện dll mà tiến trình sử dụng;
- Cây tiến trình để xác định tiến trình khởi tạo;
- Trạng thái của tiến trình;
- Hiệu năng riêng của tiến trình;
- Và nhiều thông tin khác.
Để xác định một tiến trình bất thường, quản trị viên thường phải chú ý đến một số đặc điểm như:
- Tiến trình không có Description;
- Tiến trình không có Company Name;
- Tiến trình có các hoạt động mạng trên nền TCP/IP bất thường;
- Tiến trình không thể verify theo chữ ký số của nhà sản xuất.
Verify một tiến trình thành công
Ngoài ra, Process Explorer còn có cung cấp khả năng tải file của tiến trình lên website VirusTotal để dò quyét trên nhiều ứng dụng phòng chống mã độc.
Đưa tiến trình lên VirusTotal
Trong trường hợp kết quả trả về từ VirusTotal cho thấy tiến trình trên là tiến trình của mã độc, quản trị viên có thể loại bỏ tiến trình bằng cách sử dụng chức năng “kill” của ứng dụng để loại bỏ tạm thời tiến trình ra khỏi hệ thống.
Kill một tiến trình của hệ thống