Sử dụng công cụ Process Monitor để phát hiện những
thay đổi do malware
Trong phần ba và cũng là phần cuối cùng của loạt bài này, chúng tôi sẽ
giới thiệu cho các bạn cách sử dụng công cụ Process Monitor để phát
hiện những thay đổi do malware đối với registry và hệ thống file.
Trong phần một và phần hai của loạt bài gồm ba phần này, chúng tôi đã giới
thiệu cho các bạn cách sử dụng Process Explorer và Autoruns để nhận dạng
phần mềm mã độc trên hệ thống Windows. Lúc này phiên bản mới của
Process Explorer (v15.01) đã được phát hành trong tháng này, bạn có thể
download để sử dụng phiên bản mới nhất của nó tại đây.
Phiên bản mới này sử dụng ít bộ nhớ hơn, nó hiển thị hiệu quả sử dụng GPU
và cho phép bạn khởi động lại các dịch vụ. Ngoài ra các biểu đồ hiệu suất
cũng có giao diện đẹp mắt hơn.
Cài đặt và sử dụng Process Monitor
Process Monitor thay thế cho công cụ FileMon và RegMon cũ, nó kết hợp
cũng như nâng cấp các chức năng của cả hai công cụ này. Phiên bản hiện
hành của Process Monitor là v2.95 và bạn có thể download nó tại đây.
Vậy bạn có thể thực hiện những gì với Process Monitor? Công cụ này được
sử dụng để capture tất cả dữ liệu thời gian thực về các quá trình (process) trên
máy tính, gồm có đường dẫn ảnh, dòng lệnh, người dùng, session ID và các
mối quan hệ của process. Với tính năng lọc tuyệt vời, bạn sẽ không phải lo
lắng về việc mất thông tin khi thiết lập các bộ lọc. Với các thông tin thu
được, bạn có thể phân tích malware được tìm thấy và xác định nó là loại gì
cũng như loại bỏ nó như thế nào.
Bạn có thể download và cài đặt Process Monitor trên máy tính (khoảng 1.26
MB). Process Monitor sẽ cài đặt một driver thiết bị để capture thông tin, sau
đó hiển thị nó trong giao diện đồ họa thân thiện người dùng. Như những gì
thể hiện trong hình 1, Process Monitor hiển thị một dòng thông tin cho mỗi
hoạt động xảy ra trên hệ thống. Mặc định, các cột hiển thị ở đây gồm có thời
gian, tên quá trình và PID, hoạt động nó chỉ đạo, đường dẫn, kết quả của hoạt
động và các chi tiết về hoạt động (trong hình, chúng tôi đã ẩn thông tin
đường dẫn vì nó chứa các thông tin nhận dạng về tài khoản người dùng, tên
máy tính và tên miền).
Hình 1
Bạn có thể bổ sung thêm nhiều cột khác để có thêm thông tin về ứng dụng, sự
kiện và quá trình, xem thể hiện trong hình 2.
Hình 2
Số lượng thông tin mà Process Monitor cung cấp là rất nhiều vì có quá nhiều
quá trình chạy ở chế độ background trên một hệ thống Windows. Điều đó có
nghĩa rằng chúng ta cần phải lọc nếu muốn capture thông tin có liên quan đến
nhiệm vụ tìm kiếm malware. Một điều thú vị ở đây là, các bộ lọc của Process
Monitor sẽ hạn chế những gì sẽ được hiển thị chứ không phải những gì được
capture. Vì vậy tất cả dữ liệu sẽ vẫn được capture nhưng bạn chỉ thấy những
gì mình cần. Vì vậy bạn có thể hiển thị các entry khớp với tên quá trình,
người dùng, thời gian cụ thể trong ngày,… Nhiều lựa chọn được thể hiện
ngay trong hình 3.
![Câu hỏi ôn tập An toàn mạng [năm hiện tại]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250702/kimphuong555/135x160/56191751442800.jpg)
![Cẩm nang phòng chống, giảm thiểu rủi ro từ tấn công Ransomware [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250627/vijiraiya/135x160/48331751010876.jpg)
