Malware Analysis
Nếu phát hiện máy tính Windows có những dấu hiệu bị nhiễm malware như đã đề cập ở bài viết trước, chúng ta có thể dễ dàng kiểm tra rà soát như sau:
Tôi sử dụng hai công cụ đơn giản, dễ sử dụng của Microsoft: Process Explorer và AutoRuns.
Về Process Explorer tool (công cụ quản lý tiến trình cho hệ điều hành Windows), để kiểm tra xem malware có đang chạy trên máy hay không, các bạn mở Process Explorer chạy với quyền Administrator và bật hai tính năng trong menu Options: “Verify Image Signatures” và VirusTotal.com -> Check VirusTotal.com”, một tính năng trong menu view: “Lower Pane View -> DLLs”.
Sau đó chúng ta sẽ kiểm tra lần lượt từng tiến trình với thông tin từ hai cột: “Verified Signer”, “Virustotal”.
Cột Verified Signer: Tiến trình có được xác thực hay không.
- Verified nghĩa là đã xác thực.
- No signature was present in the subject nghĩa là không có chữ ký số, chưa xác thực (Malware thường thuộc loại này).
Cột VirusTotal: kết quả kiểm tra virus trên trang Virustotal.com
- 0/76: Không phát hiện virus.
- x/76: Có “x” phần mềm phát hiện đây là virus.
Tiếp theo, vì không phải lúc nào malware cũng sẽ chạy trên máy, nên cần kiểm tra rà soát bằng tool AutoRuns (công cụ quản lý các ứng dụng và dịch vụ được khởi động cùng hệ điều hành Windows). Tương tự như Process Explorer, để kiểm tra các bạn mở AutoRuns với quyền Administrator và bật 2 tính năng trong menu Options -> Scan Options: “Verify Image Signatures” và “Check VirusTotal.com”.
Thông tin cần chú ý kiểm tra ở 2 cột: “Publisher” và “Virus Total”
Cột Publisher: Tiến trình có được xác thực hay không.
- Verified nghĩa là đã xác thực.
- Not Verified nghĩa là không có chữ ký số, hoặc chưa xác thực.
Cột Virus Total: kết quả kiểm tra virus trên trang Virustotal.com
- 0/76: Không phát hiện virus.
- x/76: Có “x” phần mềm phát hiện đây là virus.
Trên đây là quá trình sử dụng 2 tool để rà soát máy rất đơn giản, hi vọng có thể hữu ích với các bạn.
Cảm ơn và hẹn gặp lại.
(dt97_Malware_Analysis)
