Nhận diện phần mềm gián điệp trong Windows

Nhận diện phần mềm gián điệp trong Windows Nếu chỉ đơn thuần sử dụng công cụ Task Manager trong Windows thì chúng ta không thể nào biết được tất cả chương trình đang chạy trong hệ thống. Tương tự, với từng chương trình cụ thể, chúng ta cũng không có đủ thông tin để đánh giá xem chương trình đó có thực sự cần thiết hay không. Và càng nguy hiểm hơn nếu chương trình đó có ý gây hại đến máy tính của bạn. Trong Windows, một ứng dụng đang chạy thường “kéo theo” nhiều chương trình phụ trợ...
Nội dung trích xuất từ tài liệu:
Nhận diện phần mềm gián điệp trong WindowsNhận diện phần mềm gián điệp trong WindowsNếu chỉ đơn thuần sử dụng công cụ Task Managertrong Windows thì chúng ta không thể nào biết đượctất cả chương trình đang chạy trong hệ thống. Tươngtự, với từng chương trình cụ thể, chúng ta cũngkhông có đủ thông tin để đánh giá xem chương trìnhđó có thực sự cần thiết hay không. Và càng nguyhiểm hơn nếu chương trình đó có ý gây hại đến máytính của bạn.Trong Windows, một ứng dụng đang chạy thường“kéo theo” nhiều chương trình phụ trợ làm cho sựviệc vốn dĩ đã phức tạp càng thêm “rối”. Bài viết sẽgiới thiệu đến bạn thông tin cần thiết để có thể xácđịnh danh sách các chương trình đang chạy trên hệthống Windows, đồng thời xem đâu là chương trìnhhợp lệ, phần mềm gián điệp hay vi-rút máy tính...Ngoài ra, bạn cũng sẽ được hướng dẫn cách “theovết” mọi ứng dụng đang thực thi trên máy tính, kể cảmối hiểm họa mới nhất là rootkits.“Nhân vô thập toàn” nên không ai dám chắc hệ thốngcủa mình thực sự an toàn hay ổn định 100% trướcmọi sự tấn công của vi rút máy tính. Cho dù đã sửdụng các công cụ bảo vệ cần thiết như tường lửa,phần mềm diệt vi rút, qui định nghiêm ngặt trong vấnđề tải ứng dụng ... nhưng hệ thống của bạn cũng đànhthúc thủ trước sự lây nhiễm của những dạng tấn côngmới. Yếu tố cơ bản để bảo vệ hệ thống là phải nhanhchóng phát hiện lỗ hổng bảo mật, cập nhật danh sáchvi rút máy tính mới cho các công cụ trên. Nếu có mộtvi rút hay lổ hổng bảo mật mới xuất hiện mà hệ thốngchưa được cập nhật thì chắc chắn hệ thống của bạn sẽbị tin tặc tấn công. Vì vậy, cách phòng chống tốt nhấtlà sớm phát hiện những chương trình “ác ý” nàytrong hệ thống và loại bỏ chúng ngay lập tức.AN TOÀN LÀ TRÊN HẾTVì các thao tác giới thiệu trong bài viết này có liênquan trực tiếp đến sự ổn định của hệ thống Windowsnên chúng ta phải tuân thủ một số nguyên tắc đảmbảo an toàn hệ thống như sau:Trước hết, không được tùy tiện xóa bỏ hay sửa đổinội dung của bất cứ một tập tin nào khi chưa biết rõvề chức năng, vai trò của nó đối với hệ thống. Tiếnhành sao lưu hệ thống để đề phòng trục trặc. Với cáchệ thống sử dụng Windows XP/Me thì nên sử dụngchức năng System Restore, thủ tục thực hiện như sau:nhấn Start.Programs.Accessories.SystemTools.System Restore, tiếp đến chọn Create a restorepoint, rồi thực hiện theo các hướng dẫn. Hãy tiếnhành thực hiện công việc này trước khi tác động trựctiếp vào hệ thống Windows.Bạn cũng có thể loại bỏ chế độ không hiển thị các thưmục và tập tin hệ thống với thuộc tính “ẩn” củaWindows. Mở tiện ích Windows Explorer hay bất cứcửa sổ thư mục nào, chọn trình đơn Tools.FolderOptions, tiếp đến chọn nhãn View. Tại mục Hiddenfiles and folders, đánh dấu tuỳ chọn “Show hiddenfiles and folders”, ngoài ra bỏ đánh dấu chọn tại cácmục “Hide extensions for known file types” và “Hideprotected operating system files (Recommended)”.Chọn Yes nếu xuất hiện cửa sổ cảnh báo củaWindows. Ngoài ra, để giảm bớt khối lượng côngviệc trong quá trình thực hiện nên chạy các chươngtrình diệt vi rút máy tính và chống phần mềm giánđiệp mà bạn đang sử dụng trong hệ thống.Cuối cùng, nếu đã hoàn toàn tin chắc rằng tập tin đólà dấu hiệu của sự lây nhiễm một phần mềm xấu tính,hãy xóa chúng. Tuy nhiên, bạn không thể sử dụngcách này để loại bỏ các tập tin có phần mở rộng là.dll trong thư mục hệ thống Windows.KIỂM TRA BỘ NHỚBây giờ là lúc chuyển sang tìm hiểu xem các chươngtrình và dịch vụ nào đang hoạt động. Do công cụTask Manager của Windows cung cấp không đủthông tin cần thiết nên chúng ta sẽ sử dụng tiện íchmiễn phí Process Explorer của Sysinternal(www.pcworld.com.vn, ID: 47569). Theo mặc định,tiện ích Process Explorer chưa hiển thị ngay thông tincần thiết của một chương trình nên bạn cần thực hiệnthêm những thủ tục sau: khởi động Process Explorer,nhấn phải chuột lên tiêu đề một cột nào đó trong mànhình, chọn Select Columns. Tiếp đến, đánh dấu 4 tùychọn là Process Name, Description, Company Name,Command Line. Trong màn hình Select Columnschọn nhãn DLL, đánh dấu chọn mục Path rồi nhấnOK. Sau đó, bạn nhấn View và kiểm tra xem tùychọn Show Lower Pane đã được đánh dấu chưa. Cuốicùng, chọn trình đơn View.Lower Pane View.DLLs(hình 1).Với cấu hình khai như trên, mỗi khi chọn mộtchương trình trong danh sách các ứng dụng đangchạy thì Process Explorer sẽ cho chúng ta biết tất cảcác tập tin DLL được chương trình cần đến khi đangchạy. Cột Command Line chỉ ra tên thư mục và ổ đĩalưu trữ chương trình. Với các chương trình hoạt độngở dạng service (do tiện ích hệ thống svchost.exe điềukhiển) thì tiện ích sẽ chỉ rõ số thứ tự của dịch vụ đó.Các chương trình chạy trên bộ nhớ mà nơi lưu trữ làthư mục Temp (thư mục chứa các tập tin tạm thời củaWindows trong quá trình hoạt động) sẽ được đánhdấu đỏ bên cạnh để chúng ta lưu ý xem xét kỹhơn.Thường thì các chương trình gián điệp hay vi rútmáy tính hay thực hiện cài đặt hoặc ẩn nấp tại thưmục này. Tuy n ...