Tìm hiểu bộ công cụ sysinternal, cách sử dụng bộ công cụ sysinternal nhằm phát hiện mã độc

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN MÔN CƠ SỞ AN TOÀN THÔNG TIN ĐỀ TÀI TÌM HIỂU VỀ BỘ CÔNG CỤ SYSINTERNAL, CÁCH THỨC SỬ DỤNG NHẰM PHÁT HIỆN CÁC MÃ ĐỘC HẠI Giảng viên hướng dẫn: CHƯƠNG 1. TỔNG QUAN VỀ BỘ CÔNG CỤ SYSINTERNALS 1.1. Định nghĩa bộ công cụ Sysinternals Có rất nhiều công cụ quản trị khác được tích hợp trong Windows, có sẵn miễn phí trên web hoặc thậm chí thông qua các nguồn thương mại, nhưng không có công cụ nào trong số chúng hoàn toàn không thể thiếu được như bộ công cụ SysInternals. SysInternals là một bộ công cụ cực kỳ hữu dụng với cả người dùng và các quản trị viên công nghệ thông tin. SysInternals Tools được Microsoft cung cấp miễn phí và nó có các công cụ giúp bạn thực hiện hầu hết mọi nhiệm cụ của quản trị viên, từ giám sát hoặc bắt đầu một quy trình tới len lỏi sâu vào hệ thống để xem ứng dụng của bạn đang truy cập các tệp và khóa registry nào. Bộ công cụ SysIternals chỉ đơn giản là một bộ ứng dụng Windows có thể được tải xuống miễn phí từ phần của trang web Microsoft Technet. Chúng đều là thiết bị cầm tay, điều đó có nghĩa là không chỉ bạn không phải cài đặt chúng, bạn có thể dán chúng vào ổ đĩa flash và sử dụng chúng từ bất kỳ PC nào. Trên thực tế, bạn thực sự có thể chạy chúng mà không cần cài đặt thông qua SysIternals Live. Cách tải về bộ công cụ Sysinternals • Bạn có thể tải các công cụ Sysinternals tại trang web của Microsoft. Tải xuống tệp ZIP với tất cả các tiện ích hoặc chỉ lấy tệp ZIP cho ứng dụng riêng lẻ mà bạn muốn sử dụng. • Sau khi tải về, chỉ cần giải nén file ZIP và dùng luôn, không cần cài đặt.

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN

*******************

MÔN: CƠ SỞ AN TOÀN THÔNG TIN

ĐỀ TÀI: TÌM HIỂU VỀ BỘ CÔNG CỤ SYSINTERNAL, CÁCH THỨC SỬ DỤNG NHẰM PHÁT

Hà Nội – Năm 2022

MỤC LỤC

CHƯƠNG 1 TỔNG QUAN VỀ BỘ CÔNG CỤ SYSINTERNALS1.1 Định nghĩa bộ công cụ Sysinternals

Có rất nhiều công cụ quản trị khác được tích hợp trong Windows, có sẵn miễn phí trên web hoặc thậm chí thông qua các nguồn thương mại, nhưng không có công cụ nào trong số chúng hoàn toàn không thể thiếu được như bộ công cụ SysInternals

SysInternals là một bộ công cụ cực kỳ hữu dụng với cả người dùng và các quản trị viên công nghệ thông tin SysInternals Tools được Microsoft cung cấp miễn phí và nó

có các công cụ giúp bạn thực hiện hầu hết mọi nhiệm cụ của quản trị viên, từ giám sát hoặc bắt đầu một quy trình tới len lỏi sâu vào hệ thống để xem ứng dụng của bạn đang truy cập các tệp và khóa registry nào

Bộ công cụ SysIternals chỉ đơn giản là một bộ ứng dụng Windows có thể được tải xuống miễn phí từ phần của trang web Microsoft Technet Chúng đều là thiết bị cầm tay,điều đó có nghĩa là không chỉ bạn không phải cài đặt chúng, bạn có thể dán chúng vào ổđĩa flash và sử dụng chúng từ bất kỳ PC nào Trên thực tế, bạn thực sự có thể chạy chúng mà không cần cài đặt thông qua SysIternals Live

Cách tải về bộ công cụ Sysinternals

• Bạn có thể tải các công cụ Sysinternals tại trang web của Microsoft Tải xuống tệp ZIP với tất cả các tiện ích hoặc chỉ lấy tệp ZIP cho ứng dụng riêng

lẻ mà bạn muốn sử dụng

• Sau khi tải về, chỉ cần giải nén file ZIP và dùng luôn, không cần cài đặt

1.2 Cách chạy công cụ từ Sysinternals Live

Nếu không muốn tải về, bạn có thể dùng các công cụ qua hệ thống Sysinternals Live Về cơ bản, được truy cập vào thư mục chứa mọi công cụ Sysinternals do chính Microsoft chia sẻ từ bất cứ máy tính nào có kết nối Internet chỉ bằng một câu lệnh

•Nhấn Win + R để mở Run

•Nhập \\live.sysinternals.com\tools vào Run rồi nhấn Enter

•Chờ một chút thư mục chứ các công cụ sẽ hiện ra và có thể nhấn đúp vào bất cứ công cụ nào để chạy ngay lập tức

•Bạn cũng có thể chạy một công cụ bằng cách nhập câu lệnh

\\live.sysinternals.com\tools\<toolname>

•Thay <toolname> bằng tên công cụ bạn muốn chạy ví dụ procexp.exe để chạy Process Explorer hoặc procmon.exe để chạy Process Monitor

Các công cụ mới được cập nhật

Mới đây, Microsoft đã tung ra bản cập nhật cho 17 công cụ của SysInternals.Những công cụ được cập nhật bao gồm AccessEnum, Autoruns, CacheSet, Contig,Process Monitor, PsShutdown, TCPView

Ngoài ra, Microsoft còn bổ sung thêm một công cụ mới mang tên Desktop Công

cụ này cho phép bạn tạo tới 4 màn hình ảo và sử dụng một khay giao diện hoặc phím tắt

để xem trước những gì diễn ra trên màn hình và chuyển đổi dễ dàng giữa chúng

1.3 Các tiện ích của bộ công cụ Sysinternals

1.3.1 Process Explorer

Process Explorer là một trong những tiện ích Sysinternals tốt nhất và được sử dụngnhiều nhất Như tên của nó, công cụ đơn giản nhưng nâng cao cho phép bạn biết mọi

thứ về mọi bộ xử lý và DLL được mở và hoạt động trong hệ thống của bạn Bạn có thểcoi Process Explorer là Trình quản lý tác vụ trên steroid.

Một số điều Process Explorer có thể làm bao gồm nhưng không giới hạn để xemtất cả các quy trình và DLL, xem quy trình nào có khóa đối với tệp hoặc thư mục nào,hủy hoặc tạm dừng các quy trình, đặt mức độ ưu tiên của quy trình, kiểm tra các quytrình bằng Virustotal, thống kê đồ họa chính xác về Việc sử dụng CPU, bộ nhớ và I / O,chế độ xem dạng cây để hiển thị các quy trình và sự phụ thuộc của chúng, v.v

Sau một thời gian sử dụng công cụ này, bạn thực sự có thể thay thế Windows TaskManager bằng Process Explorer (Options> Replace Task Manager) chỉ bằng một hoặchai cú nhấp chuột nếu muốn Tất nhiên, bạn càng sử dụng nhiều ứng dụng, nó càng trởnên tốt hơn

Màn hình Process Explorer bao gồm hai cửa sổ phụ Cửa sổ trên cùng luôn hiển thị

danh sách các quy trình hiện đang hoạt động, bao gồm tên của tài khoản sở hữu chúng,trong khi thông tin được hiển thị trong cửa sổ dưới cùng phụ thuộc vào chế độ

mà Process Explorer đang ở: nếu nó ở chế độ xử lý, bạn sẽ thấy xử lý quá trình được chọn trong cửa sổ trên cùng đã mở ra; nếu Process Explorer ở chế độ DLL, bạn sẽ thấy các tệp DLL và tệp ánh xạ bộ nhớ mà quy trình đã tải Process Explorer cũng có một

khả năng tìm kiếm mạnh mẽ sẽ nhanh chóng hiển thị cho bạn những tiến trình nào cócác xử lý cụ thể được mở hoặc các tệp DLL được tải

Các khả năng độc đáo của Process Explorer giúp nó hữu ích trong việc theo dõi

các sự cố phiên bản DLL hoặc xử lý các rò rỉ, đồng thời cung cấp thông tin chi tiết vềcách hoạt động của Windows và các ứng dụng

Ví dụ: Giả sử bạn có một PC thực sự chậm để khắc phục sự cố và bạn muốn kiểm tra tất

cả các luồng cho một ứng dụng cụ thể, và sau đó bạn muốn xem toàn bộ ngăn xếp chomột trong các luồng đó để xem chính xác các DLL và chức năng Process Explorer làm

cho việc này trở nên tầm thường - bạn có thể chỉ cần nhấp đúp vào quy trình, lật qua tabChủ đề và sau đó nhấp vào nút Ngăn xếp.

Ngăn xếp này chưa tràn

Cách sử dụng:

•Chỉ cần tải xuống tệp, giải nén và thực thi “procexp.exe” Là một ứng dụng di động, không cần cài đặt

•Để hủy một quy trình, chỉ cần chọn quy trình và nhấn phím “Delete”

•Để quét một quy trình, hãy chọn quy trình, điều hướng đến “Tùy chọn>

Virustotal.com” và sau đó chọn “Kiểm tra Virustotal.com”

Yêu cầu tải xuống

•Máy khách: Windows 8.1 đổ lên

•Máy chủ: Windows Server 2012 đổ lên

1.3.2 Autoruns

Tiện ích này, có kiến thức toàn diện nhất về các vị trí tự động khởi động của bất kỳ trình giám sát khởi động nào, cho bạn biết chương trình nào được cấu hình để chạy trong quá trình khởi động hoặc đăng nhập hệ thống và khi bạn khởi động các ứng dụng Windows tích hợp sẵn khác nhau như Internet Explorer, Explorer và media người chơi Các chương trình và trình điều khiển này bao gồm các chương trình và trình điều khiển trong thư mục khởi động của bạn, Run, RunOnce và các khóa Registry khác

Autoruns báo cáo các tiện ích mở rộng shell Explorer, thanh công cụ, đối tượng trình trợgiúp trình duyệt, thông báo Winlogon, dịch vụ tự động khởi động và hơn thế

nữa Autoruns vượt xa các tiện ích tự khởi động khác

Tùy chọn Ẩn các mục nhập Microsoft đã ký của Autoruns giúp bạn phóng to các hình ảnh tự động khởi động của bên thứ ba đã được thêm vào hệ thống của bạn và nó hỗtrợ xem các hình ảnh tự động khởi động được định cấu hình cho các tài khoản khác được định cấu hình trên hệ thống Cũng bao gồm trong gói tải xuống là một dòng lệnh tương đương có thể xuất ra ở định dạng CSV, Autorunsc

Cách chạy:

•Cũng giống như Process Explorer, Autoruns cũng có tính di động Vì vậy, tải

xuống, giải nén và thực thi ứng dụng “autoruns.exe”

•Sau khi mở, bạn có thể tắt bất kỳ mục nhập tự động chạy nào bằng cách bỏ chọn hộp kiểm

•Tệp “autorunsc.exe” mà bạn thấy trong tệp zip là phiên bản dòng lệnh

•Đơn giản chỉ cần chạy Autoruns và nó hiển thị cho bạn các ứng dụng tự động khởi động hiện được cấu hình cũng như danh sách đầy đủ các vị trí hệ thống tệp và đăng ký có sẵn để cấu hình tự động khởi động Các vị trí tự động khởi động được Autoruns hiển thị bao gồm các mục đăng nhập, tiện ích bổ sung Explorer, tiện ích

bổ sung Internet Explorer bao gồm Đối tượng trình trợ giúp trình duyệt (BHO), Appinit DLL, xâm nhập hình ảnh, hình ảnh thực thi khởi động, DLL thông báo Winlogon, Dịch vụ Windows và Nhà cung cấp dịch vụ phân lớp Winsock,

phương tiện codec và hơn thế nữa Chuyển các tab để xem tự động khởi động từ các danh mục khác nhau

•Để xem các thuộc tính của tệp thực thi được cấu hình để chạy tự động, hãy chọn tệp đó và sử dụng mục menu Thuộc tính hoặc nút trên thanh công cụ Nếu

Process Explorer đang chạy và có một tiến trình đang hoạt động thực thi tệp thực thi đã chọn thì mục menu Process Explorer trong menu Entry sẽ mở hộp thoại thuộc tính quy trình cho tiến trình đang thực hiện hình ảnh đã chọn

•Điều hướng đến Registry hoặc vị trí hệ thống tệp được hiển thị hoặc cấu hình của một mục tự động khởi động bằng cách chọn mục đó và sử dụng mục menu Jump

to Entry hoặc nút trên thanh công cụ, và điều hướng đến vị trí của hình ảnh tự khởi động

•Để tắt một mục nhập tự động bắt đầu, hãy bỏ chọn hộp kiểm của nó Để xóa mục nhập cấu hình tự động bắt đầu, hãy sử dụng nút Xóa mục menu hoặc nút trên thanh công cụ

•Menu Tùy chọn bao gồm một số tùy chọn lọc hiển thị, chẳng hạn như chỉ hiển thị các mục nhập không phải Windows, cũng như quyền truy cập vào hộp thoại tùy chọn quét mà từ đó bạn có thể bật xác minh chữ ký, băm Virus Total và gửi tệp.

•Chọn các mục nhập trong menu Người dùng để xem hình ảnh tự động khởi động cho các tài khoản người dùng khác nhau

•Thông tin thêm về các tùy chọn hiển thị và thông tin bổ sung có sẵn trong trợ giúp trực tuyến

Sử dụng Autorunsc

Autorunsc là phiên bản dòng lệnh của Autoruns Cú pháp sử dụng của nó là:

Usage: autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[-z] | [user]]]

3 b Khởi động thực thi 19 -c In đầu ra dưới dạng CSV

giá trị được phân cách bằng tab

Microsoft

8 i Tiện ích bổ sung 24 -t Hiển thị dấu thời gian

trong UTC chuẩn hóa

9 k Các tệp DLL đã biết 25 -u Hiển thị các tệp chưa

được đánh dấu

10 l Đăng nhập khởi động 26 -x In đầu ra dưới dạng

XML

phần mềm độc hại dựa trên tệp băm

12 n Các nhà cung cấp giao

thức và mạng Winsock

28 -vt Chấp nhận các điều

khoản dịch vụ của VirusTotal

15 r Các nhà cung cấp bảo

mật LSA

16 s Dịch vụ tự khởi động

và trình điều khiển không bị vô hiệu hóa

1.3.3 TCPview

TCPview là một ứng dụng đơn giản liệt kê tất cả các quy trình được kết nối vớiinternet Mọi quy trình được kết nối với internet sẽ được gắn nhãn là “Đã thiết lập” Nếumuốn, bạn có thể đóng kết nối từ menu chuột phải Điều tốt về TCPview là nó hiển thịcho bạn nguồn cấp dữ liệu trực tiếp của tất cả các quy trình với độ trễ một giây Nếumuốn, bạn có thể thay đổi tốc độ cập nhật từ menu Xem

Hơn nữa, các kết nối được mã hóa màu, tức là các điểm cuối mới được hiển thịbằng màu xanh lá cây, các cập nhật cho điểm cuối được hiển thị bằng màu vàng và cácđiểm cuối đã xóa được hiển thị bằng màu đỏ.

Cách sử dụng:

•Tải xuống, giải nén và thực thi tệp “tcpview.exe”

•Ngay sau khi mở ứng dụng, bạn sẽ thấy tất cả quá trình với các kết nối đang hoạt động Tệp “tcpvcon.exe” mà bạn thấy trong kho lưu trữ là một công cụ dòng lệnh hoạt động giống như tiện ích netstat trong Windows

•Khi bạn khởi động TCPView, nó sẽ liệt kê tất cả các điểm cuối TCP và UDP đang hoạt động, phân giải tất cả các địa chỉ IP thành các phiên bản tên miền của chúng.Bạn có thể sử dụng nút thanh công cụ hoặc mục menu để chuyển đổi hiển thị các tên đã phân giải TCPView hiển thị tên của tiến trình sở hữu mỗi điểm cuối, bao gồm cả tên dịch vụ (nếu có)

•Theo mặc định, TCPView cập nhật mỗi giây, nhưng bạn có thể sử dụng mục menu Tùy chọn | Tốc độ làm mới để thay đổi tốc độ Các điểm cuối thay đổi trạng thái

từ bản cập nhật này sang bản cập nhật tiếp theo được đánh dấu bằng màu vàng; những điểm bị xóa được hiển thị bằng màu đỏ và các điểm cuối mới được hiển thịbằng màu xanh lục

•Bạn có thể đóng các kết nối TCP / IP đã thiết lập (những kết nối có nhãn trạng thái

ĐÃ ĐƯỢC THIẾT LẬP) bằng cách chọn Tệp | Đóng Kết nối hoặc bằng cách nhấp chuột phải vào kết nối và chọn Đóng Kết nối từ menu ngữ cảnh kết quả

•Bạn có thể lưu cửa sổ đầu ra của TCPView vào một tệp bằng cách sử dụng mục menu Lưu

-a Hiển thị tất cả các điểm cuối (mặc định

là hiển thị các kết nối TCP đã thiết lập)

Yêu cầu tải xuống

•Máy khách: Windows 8.1 đổ lên

•Máy chủ: Windows Server 2012 đổ lên

CHƯƠNG 2 CÁCH THỨC SỬ DỤNG BỘ CÔNG CỤ SYSINTERNALS ĐỂ PHÁT HIỆN CÁC MÃ ĐỘC HẠI2.1 Phần mềm sử dụng để xử lý và ra quét mã độc

Thông thường, khi nghi ngờ máy tính bị nhiễm mã độc người dùng thường sử dụngphần mềm Anti-virus để rà quét và xử lý mã độc Anti-virus hay còn gọi là phần mềm diệt virus là một dạng phần mềm có khả năng bảo vệ, phát hiện, cảnh báo và loại bỏ các virus máy tính xâm nhập và tấn công máy tính của người dùng, từ đó khắc phục một phần hoặc hoàn toàn các hậu quả do virus gây ra

Ngoài ra, ngày nay các phần mềm Anti-virus còn có khả năng cập nhật qua Internet

để nhận diện và phòng chống các phần mềm độc hại, virus, phần mềm gián điệp, mã độc tống tiền mới nhất đang ngày càng tinh vi và nguy hiểm

Hình minh họa

Hiện nay có nhiều sản phẩm phần mềm Anti-virus của các hãng bảo mật nổi tiếng đang được sử dụng rộng rãi như: Microsoft, Trend Micro, Symantec, Sophos… Nhìn

chung, các phần mềm Anti-virus đều sử dụng cơ chế, kỹ thuật phát hiện và diệt virus

cơ bản giống nhau bao gồm so sánh cơ sở dữ liệu virus đã nhận dạng trước đó nhằm kịp thời phát hiện, tiêu diệt các virus độc hại, phát hiện và kiểm tra các hoạt động bất thường trên máy tính nhằm tìm ra các phần mềm độc hại hoạt động ẩn trên máy tính của người dùng, đồng thời kết hợp với dữ liệu mạng toàn cầu nhằm kiểm soát, cập nhậtliên tục các mã độc và biến thể mã độc mới, tận dụng nhiều công cụ hỗ trợ bảo vệ người dùng mới nhằm ngăn chặn các mã độc nhiều chủng loại, từ keylogger đến lừa đảo, mã độc tống tiền…

Tuy nhiên, với thủ đoạn ngày càng tinh vi, nguy hiểm hacker đã liên tục tạo ra các dạng mã độc có khả năng che giấu, vượt qua dễ dàng các hệ thống phòng thủ, an toàn bảo mật, không thể được phát hiện và tiêu diệt bởi phần mềm Anti-virus

Ví dụ: Mã độc dưới dạng fileless hoạt động trực tiếp trên bộ nhớ memory, không ghi

vào ổ đĩa cứng, do đó không để lại bất kỳ dấu vết nào, gây khó khăn trong quá trình phát hiện, gỡ bỏ, điều tra hành vi của mã độc Do vậy, để phát hiện và bóc gỡ mã độc, ngoài việc sử dụng phần mềm Anti-virus đơn thuần, người dùng có thể kết hợp thêm một số biện pháp bên dưới đây để phân tích và kiểm tra trong trường hợp nghi ngờ máy tính bị nhiễm mã độc

2.2 Sử dụng Process Explorer để phát hiện mã độc hại

Process Explorer là một phần mềm nằm trong bộ công cụ Windows Sysinternals được phát triển bởi Microsoft, sử dụng để theo dõi và quản lý các tiến trình đang hoạt động trên máy tính, cho phép phát hiện và gỡ bỏ những tiến trình độc hại được sử dụngbởi các loại mã độc như spyware, adware, virus,

Giống Windows Task Manager, công cụ Process Explorer cũng cung cấp khả năng theo dõi các tiến trình, hiệu suất hoạt động của máy tính Tuy nhiên, Process Explorer

có nhiều tính năng nâng cao hữu ích, đặc biệt là trong việc phát hiện và bóc gỡ mã độc.2.2.1 Tính năng Virus Total

Process Explorer sử dụng VirusTotal, một dự án của Google cho phép kiểm tra các tiến trình đang chạy trên máy tính có phải là tiến trình độc hại hay không dựa trên cơ

sở dữ liệu của hầu hết các hãng cung cấp phần mềm Anti-virus nổi tiếng trên thế giới

• Bước 1: Mở phần mềm Process Explorer

• Bước 2: Chọn Options → Chọn VirusTotal.com → Check

VirusTotal.com

• Bước 3: Tại cột VirusTotal, chú ý đến các tiến trình có số lượng lớn các

phần mềm Antivirus xác định là độc hại

Như hình vẽ minh họa, tiến trình KMS-R@1n.exe có 24/68 phần mềm Antivirus xác

định là độc hại.

• Bước 4: Kích chuột phải các tiến trình đó và chọn:

- Search online: Tìm kiếm thông tin của ứng dụng, phần mềm đã khởi

chạy tiến trình đó trên Internet

- Properties: Xem các thuộc tính của tiến trình.

- Kill Process hoặc Kill Process Tree: Tắt tiến trình nếu xác định đó là

tiến trình độc hại