Ngoài Task Manager của Windows có sẵn thì Process Explorer một trong những công cụ mạnh mẽ để giám sát và phát hiện các tiến trình chạy trong hệ thống Windows Process Explorer là 1 công cụ mạnh mẽ được Microsoft phát hành chính thức năm 2008. Công cụ giúp người dùng và kỹ thuật viên dễ dàng tìm hiểu, khoang vùng, loại bỏ các tiền trình không cần thiết hoặc nguy hiểm.

Process Explorer hiển thị thông tin đầy đủ và chi tiết về từng tiến trình, dịch vụ đang chạy và các tiến trình con của nó. Công cụ còn hiển thị các tiến trình độc hại chạy ẩn khỏi Task Manager để người dùng và kỹ thuật viên có thể ngăn chặn loại bỏ nó kịp thời.Process Explorer cung cấp đầy đủ các tiện ích mà Task Manager mang lại và còn hơn thế nữa.

Một số tính nẵng đáng chú ý có trong công cụ Process Explorer:
-Theo dõi quản lý ứng dụng, tiến trình chạy trong máy tính và hiển thị đầy đủ các thông tin về tiền trình.

-Tắt tiến trình hoặc Suspend tiến trình đang chạy có nghi ngờ

 –Hiển thị các tiến trình theo bản màu

 -Dump tiến trình

-Hiển thị Verify Image Signatures

-Giám sát tài nguyên CPU, Memmory, Network, Disk…

Ngoài ra Process Explorer còn một trong các tính năng quang trọng là quét virus các tiến tình với Virus Total. Giúp chúng ta chuẩn đoán và loại bỏ các tiến trình nguy hại.Các bạn chỉ cần vào tab Options >> Virustotal.com >> check vào 2 phần check virustotal.com và Submit Unknow Executables

Sau đó đợi một lát các file thực thi tiến trình sẽ được đẩy lên virustotal để phân tích và trả về kết quả

Hiện tại theo máy demo các tiến trình này không phải là tiến trình độc hại nên sẽ trả về kết quả 0/7X (kết quả được quét theo các phần mềm Anti-Virus mà Virus Total tích hợp, hiện tại 72 phần mềm Anti-Virus) nếu có tiến trình độc hại được quét thì cột Virus Total sẽ hiện màu đỏ ngay dòng của tiến trình đó và hiển thị số phần mềm diệt Anti-Virus quét được. Nếu các bạn muốn xem chi tiết Virustotal phân tích như thế nào bạn có thể chọn vào phần thông số trên cột virus total của hàng tiến trình đó.

Ngoài ra nếu bạn thấy tiến trình nào khả nghi không check được bạn có thể kiểm tra lại bằng cách click chuột phải vào tiến trình chọn Properties.

Sao đó chọn explore để lấy file bỏ lên Virus Total thủ công hoặc các bạn có thể chọn submit để quét tiến trình lại tại Process Explorer

Như vậy đây là 1 công cụ mạnh mẽ được Microsoft phát hành, Process Explorer được sử dụng để quét virus với virus total và kiểm tra hoạt động các tiến trình rất tốt và tiện lợi dễ sử dụng dành cho người dùng lẫn kỹ thuật viên. Link download Process Explorer

Cảm ơn các bạn đã theo dõi blog của chúng tôi

Nguồn:TEAM-VSM

Categorized in:

Malware Analysis

Tagged in:

,