Dùng Task Manager để tìm kiếm và phát hiện các tiến trình lạ đang chạy trên PC thật chán và mệt mỏi, đặc biệt là người sử dụng ít kinh nghiệm thì lại càng khó khăn hơn. Trong trường hợp không chắc chắn lắm, bạn tự hỏi tiến trình này có phải là malware không mà không biết phải phải làm gì? Hoặc tệ hơn, máy tính có thể bị treo và buộc bạn phải khởi động lại.

Thật không may, rất ít người sử dụng mới có thể biết được thực sự chương trình nào cần các tiến trình nào và các tiến trình khác cùng hoạt động với chương trình. Bài viết này sẽ giúp bạn xác định hầu hết các tập tin hệ thống Windows, và qua đó giúp bạn xác định tiến trình nào nguy hiểm. Không những thế, bạn sẽ biết cách lần vết các chương trình đang chạy trong PC gồm cả các loại tấn công mới nguy hiểm nhất là rootkit.

Tuy nhiên, bạn cũng không thể biết nơi nào, lúc nào chúng sẽ tấn công hệ thống bảo mật cùng những dữ liệu quan trọng của bạn. Thậm chí khi bạn sử dụng tường lửa (firewall), cập nhật các chương trình diệt virus, diệt spyware (phần mềm gián điệp) thường xuyên, và giới hạn quy tắc khi tải tập tin ở mức tối đa, thì nguy cơ bạn bị mắc phải những virus, sâu mới nhất là khó tránh khỏi.

Các chương trình chống virus và các công cụ bảo mật cần phải cập nhật thường xuyên và chi tiết về các loại sâu, virus mới thì mới có thể hoạt động hiệu quả. Các phần mềm chống virus không thể tiêu diệt được các malware khi chưa biết chúng. Hậu quả là những phần mềm  này luôn  có những lỗ hổng dễ bị tấn công trong khoảng thời gian mà các lập trình viên đang phải tìm cách đối phó với sâu mới. Khoảng thời gian này có thể chỉ là vài phút nhưng có khi kéo dài tới vài ngày. Do đó, khả năng các sâu, virus mới hoành hành và "tàn phá" dữ liệu của bạn là rất lớn

Thật là may mắn, mỗi khi xác định được malware thì "xử lý" chúng cũng không phải là quá khó khăn. Dưới đây là những quy tắc cơ bản để tiêu diệt malware hiệu quả:

An toàn là số 1

Trước hết, điều quan trọng nhất là các tập tin hệ thống, đừng bao giờ xóa chúng, rất có thể bạn sẽ gặp rắc rối lớn. Thậm chí bạn không thể khởi động được Windows, phải cài lại Windows là khó tránh khỏi.

Tiếp đó, hãy bảo vệ từng bước đi của bạn. Hãy sử dụng System Restore (trong Windows XP và Me) để yểm trợ trước khi bạn "mắc nạn". Hãy nhấn Start -> Programs (All Programs in XP)-> Accessories-> System Tools-> System Restore ->và chọn Create a restore point, hãy thực hiện từng bước theo đồ thuật hướng dẫn. Bạn nên tạo mỗi điểm phục hồi (restore point) sau mỗi lần thay đổi.

Có thể bạn cần phải làm hiển thị các tập tin hệ thống. Hãy mở Windows Explorer, nhấn chuột vào Tools ->Folder Options -> View, chọn Show hidden files and folders, và đảm bảo là đã bỏ đánh dấu chọn vào cả hai tùy chọn 'Hide extensions for known file types' và 'Hide protected operating system files (Recommended)'. Hãy chọn Yes khi gặp hộp thoại cảnh báo của Windows.

Cập nhật các phần mềm diệt virus, spyware và quét lại, loại bỏ các tập tin mà các chương trình này phát hiện được. Cuối cùng, hãy xóa những tập tin mà bạn tin chắc rằng đó là malware.

Phát hiện chương trình đang chạy

Bây giờ, bạn đã sẵn sàng để khám phá những chương trình và dịch vụ nào đang chạy trên PC. Task Manager không thể xác thực được các chương trình bạn đang chạy, vì vậy bạn hãy tải phiên bản miễn phí phần mềm  Process Explorer của Sysinternals. Hãy giải nén tập tin vừa tải xuống và chạy procexp.exe.

Một trong những tính năng hay nhất của Process Explorer thì lại bị ẩn. Bạn hãy nhấn phải chuột vào cột tên và chọn Select Columns. 'Process Name' và 'Description' đều đã được chọn, bạn hãy đánh dấu chọn vào Company Name và Command Line.Tiếp theo, chọn thẻ DLL, chọn Path , nhấn nút OK. Hãy đảm bảo là đã chọn View và 'Show Lower Pane' và chọn View ->Lower Pane View -> DLLs đã được chọn.

Với Process Explorer, bạn có thể chọn bất cứ tiến trình (process) trong danh sách và các DLLs mà chương trình sử dụng ở bên dưới. Cột Command Line chỉ ra địa chỉ tất cả địa chỉ các chương trình đang chạy trong ổ cứng. Ví dụ: trường hợp svchost.exe có những tiến trình nào đang chạy cùng với dịch vụ này.

Tất cả các tiến trình nào chạy từ thư mục tạm (Temp) sẽ được đánh dấu đỏ. Các spyware có xu hướng tự cài đặt và chạy ở trong các thư mục tạm. Chương trình sẽ chỉ ra thư mục tạm mà DLL đang dùng. Khi chạy Explorer.exe, người sử dụng Windows có thể tìm thấy các tập tin cũng chạy đồng thời như: smss.exe, winlogon.exe, services.exe, alg.exe, và lsass.exe. Đây là những tập tin thiết yếu của Windows. Vì vậy, bạn không nên dừng các tiến trình này hoặc xóa chúng.

Một tập tin hợp pháp khác của Windows mà cũng dễ gây ra hiểu nhầm là rundll32.exe. Một vài dạng malware, phân phối các tập tin DLL và ẩn chúng đi bằng cách sử dụng runddll32.exe. Task Manager cũng chỉ ra rundll32 là một chương trình đang chạy, nhưng Command Line của Process Explorer sẽ chỉ ra các tập tin DLL đi cùng chương trình này. Do đó, bạn sẽ dễ dàng phát hiện các DLL "mạo danh" hơn.

Xác định các tiến trình lạ

Nếu bạn có vài chương trình chạy kèm với các tập tin hệ thống, có thể là một ứng dụng hoặc dịch vụ nào đó hoạt động ở chế độ nền, hoặc trình điều khiển phần cứng nào đó. Tất cả những tập tin đó đều được khởi động cùng với Windows. Hãy xem xét các mô tả (description), tên công ty (Company Name), và thông tin Command Line ở mỗi tiến trình. Bạn cần phải biết chính xác những chương trình nào thuộc tiến trình nào, phần mềm bạn đã cài đặt hoặc đã được cài đặt trước khi mua PC.

Khi một phần mềm nào đó không có thông tin mô tả và tên công ty, thì bạn phải tìm hiểu sâu hơn chương trình đó. Rất có thể đây là các malware. Hãy nhấn phải chuột vào vào chương trình đó (trong Process Explorer), chọn Properties. Nếu các thông tin trong tab Image vẫn làm bạn "nhức đầu", thì hãy nhấn tab Services. Một số dịch vụ hợp pháp sẽ được liệt kê trong danh sách dưới "services.exe".

Ví dụ: Process Explorer chỉ ra  tiến trình đang chạy mà không có mô tả thông tin cũng như tên công ty. Như tiến trình "slee81.exe" khi nhìn vào thông tin trong tab Services thì cho biết đó là Steganos Live Encryption Engine. Chương trình Steganos là phần mềm được cài đặt và chạy ở chế độ nền. Bởi vậy, nó không phải là malware, tuy nhiên nếu tắt dịch vụ này và mở khi nào cần thiết thì có thể tiết kiệm tài nguyên hơn. Bằng cách đó bạn hãy kiểm tra lại toàn bộ các dịch vụ và chương trình chạy ở chế độ nền.

Truy tìm trên Internet

Nếu nghi ngờ một tập tin DLL nào đó, nơi đầu tiên bạn cần ghé thăm là cơ sở dữ liệu về các tập tin DLL của Microsoft. Cơ sở dữ liệu này cho phép tìm kiếm thông tin theo các tên tập tin DLL. Một địa điểm khác để kiểm tra một tập tin có phải là spyware không, hãy vào Pest Encyclopedia của PestPatrol Center for Pest Research. Trang Web này cung cấp thông tin hơn 27 000 các loại malware.

Nếu các địa điểm trên vẫn không tìm được thông tin cần thiết, bạn hãy thử vào AnswersThatWork.com để xem thông tin về các phần mềm hợp pháp cũng như các spyware và virus. Các công cụ như WinPatrol và WinTasks 5 Pro của Unibule giúp bạn kiểm tra chính xác những chương trình, tập tin có phải là malware.

Nếu chỉ cần tìm malware ở mức cơ bản, Security Task Manager của Neuber Software cho phép bạn đánh giá các tập tin thực thi, các trình điều khiển, tập tin DLL đang chạy.

Chú ý: Bạn cũng không nên tin tưởng vào một số các nghiên cứu không chính thống từ các trang Web lạ. Thậm chí hàng trăm các trang Web khác khẳng định một tập tin nào đó là malware nhưng Microsoft thì cho rằng tập tin đó là hợp pháp thì coi như kết luận của những trang Web khác là vô nghĩa. Càng tìm hiểu kĩ những tập tin này trên Internet, bạn càng có cơ hội thành công lớn hơn.

Tiêu diệt rootkit

Một kĩ thuật mới xuất hiện đã làm cho các malware trở nên nguy hiểm hơn lúc nào hết, đó chính là rootkit. Các rootkit cho phép các malware ẩn nấp mà không bị phát hiện bởi các chương trình như:  Task Manager, Process Explorer.

Để tìm hiểu sâu hơn về rootkit cũng như các phần mềm tiêu diệt rootkit mời bạn tham khảo bài Rootkit - mối nguy hiểm tiềm tàng

Minh Phúc (Theo PCWorld)