Cách phát hiện các tiến trình ẩn và rootkit trong Windows

Phát hiện các tiến trình ẩn và rootkit trong Windows Đây không phải là một nhiệm vụ dễ dàng: theo định nghĩa, phần mềm độc hại này ngụy trang sâu bên trong hệ thống để tránh phần mềm diệt vi-rút, ẩn các quy trình, tệp và khóa registry, đồng thời cấp cho kẻ tấn công toàn quyền kiểm soát. Tuy nhiên, với phương pháp tiếp cận có hệ thống, công cụ phù hợp và các biện pháp thực hành tốt, chúng ta có thể xác định dấu hiệu xâm nhập, xác nhận sự lây nhiễm và khử trùng.

Trong hướng dẫn thực tế này bạn sẽ tìm thấy phương pháp đã được chứng minh, công cụ chuyên dụng và các bước cụ thể để xác định hành vi bất thường, quét rootkit trên Windows (và cả trên Linux/macOS), giải thích kết quả và nếu cần, loại bỏ các nhiễm trùng phức tạp, bao gồm cả những nhiễm trùng ảnh hưởng đến khởi động hoặc thậm chí là chương trình cơ sở.

Rootkit: Nó là gì, cách cài đặt và lý do tại sao nó ẩn náu rất tốt

Rootkit là phần mềm độc hại được thiết kế để cấp quyền quản trị viên (root) Một cách bí mật. Nó có thể hoạt động ở chế độ người dùng hoặc chế độ hạt nhân, nằm trong bộ nhớ, bộ nạp khởi động, hoặc thậm chí là firmware/BIOS/UEFI. Mục tiêu của nó là tồn tại dai dẳng, không bị phát hiện và cho phép các hành động như đánh cắp dữ liệu, cài đặt thêm phần mềm độc hại, vô hiệu hóa hệ thống phòng thủ hoặc tích hợp thiết bị vào mạng botnet. DDoS hoặc thư rác.

Cách xác định các tệp độc hại trong Windows

Các loại rootkit phổ biến nhất để phát hiện các tiến trình ẩn

Có một số họ, được phân biệt theo mức độ hoạt động và tính bền bỉ của chúng. Phân loại này giúp chọn kỹ thuật phát hiện và chiến lược loại bỏ hiệu quả nhất.

Phần cứng/Phần sụn

Họ lây nhiễm BIOS/UEFI, bộ định tuyến, đĩa và các thành phần khácChúng không ảnh hưởng trực tiếp đến hệ điều hành: chúng được nhúng vào chương trình cơ sở, khiến chúng cực kỳ khó phát hiện và có khả năng vẫn tồn tại ngay cả sau khi cài đặt lại Windows.

Bộ nạp khởi động (bootkit)

Họ sửa đổi khu vực khởi động (MBR/UEFI) hoặc chúng thay thế trình tải hệ thống hợp lệ. Chúng kích hoạt trước khi hệ điều hành khởi động xong, tạo cho chúng lợi thế để ẩn náu.

Bộ nhớ (nằm trong RAM)

Họ vẫn ở trong RAM và chúng không chèn mã vĩnh viễn vào đĩa. Chúng thường biến mất khi khởi động lại, mặc dù chúng có thể cản trở việc phân tích trực tiếp nếu không được xử lý nhanh chóng.

Ứng dụng (chế độ người dùng)

Thay thế hoặc vá các tập tin ứng dụng chung (Office, Notepad, Paint, v.v.) và thay đổi hành vi của chúng để mở ra "cánh cửa" cho kẻ tấn công mỗi khi chúng được thực thi.

chế độ hạt nhân

Chúng được nhúng vào hạt nhân hệ điều hành, chặn các API gốc và có thể thao túng các cấu trúc hạt nhân (ví dụ: ẩn một quy trình khỏi danh sách các quy trình đang hoạt động). Chúng là đặc biệt nguy hiểm.

Ảo

Chúng được cài đặt bên dưới hệ điều hành, chạy nó trong một máy ảo để chặn các tương tác của chúng với phần cứng mà không cần chạm vào hạt nhân. Chúng rất khó bị phát hiện.

Ví dụ đã biết

Để hiểu tác động của nó, hãy xem xét các trường hợp thực tế: Mạng lưới (phá hoại công nghiệp và thao túng lén lút), Ngọn lửa (gián điệp mạng bằng cách ghi lại âm thanh, màn hình và khóa), thần kinh (rootkit nâng cao liên kết với botnet), không truy cập (chế độ hạt nhân, phần mềm độc hại được tải xuống để kết nối máy tính với mạng botnet) hoặc TDSS/TDL-4 (tải sớm khi khởi động và rất khó gỡ bỏ).

Dấu hiệu cảnh báo: các triệu chứng cần được điều tra

Rootkit được thiết kế để đi không báo trước, nhưng chúng thường để lại dấu vết. Nếu bạn phát hiện nhiều dấu hiệu sau đây, đã đến lúc kiểm tra kỹ lưỡng:

BSOD hoặc lỗi thường xuyên và khởi động lại bất ngờ.
Hiệu suất bất thường: Chậm, sập, sử dụng nhiều CPU/RAM mà không có lý do.
Hành vi lạ của trình duyệt: : chuyển hướng, dấu trang không xác định.
Những thay đổi trái phép trên Windows: nền, thanh tác vụ, ngày/giờ, phần mềm diệt vi-rút bị vô hiệu hóa.
Vấn đề mạng: Mất kết nối liên tục, lưu lượng truy cập cao hoặc kết nối mà bạn không nhận ra.

Windows: Công cụ và phương pháp hiệu quả

Trong Windows không có lệnh gốc nào có thể "phát hiện" rootkit một cách kỳ diệu, nhưng có một tập hợp các tiện ích chuyên dụng và so sánh chế độ xem cao/thấp có hiệu quả rất tốt khi kết hợp với các phương pháp hay.

1) Sysinternals: Process Explorer, Autoruns và Process Monitor

Process Explorer Nó lý tưởng để kiểm tra các quy trình và cây, chữ ký số, mô-đun và hoạt động của chúng. Sử dụng nó để định vị các tiến trình chưa được ký hoặc với các tuyến đường đáng ngờ và xác minh danh tiếng của họ.

với Tự động chạy Bạn kiểm tra tất cả mọi thứ chạy khi khởi động (dịch vụ, tác vụ, tiện ích mở rộng shell, trình điều khiển). Bỏ chọn hoặc xóa các mục nhập không xác định và xem xét các đường dẫn quan trọng như HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Trình giám sát quy trình (ProcMon) Giám sát hoạt động của tệp, sổ đăng ký và quy trình theo thời gian thực. Bộ lọc các quy trình ẩn để phát hiện truy cập bất thường vào đường dẫn hệ thống hoặc phím khởi động tự động.

2) RootkitRevealer (Sysinternals): so sánh cấp độ thấp và cao

RootkitRevealer phát hiện sự khác biệt giữa những gì API Windows nhìn thấy và những gì thực sự có trên đĩa/registry ở cấp độ thấp. Điều này sẽ phát hiện các tính năng ẩn điển hình của rootkit chế độ người dùng và rootkit hạt nhân.

Cách thức hoạt động: So sánh chế độ xem "cấp cao" (API) với chế độ xem "cấp thấp" (nội dung thô của ổ đĩa FAT/NTFS và Registry hive). Nếu rootkit thao túng API để ẩn tệp hoặc khóa, nó sẽ xuất hiện dưới dạng không phù hợp giữa cả hai quan điểm.

Cách sử dụng cơ bản: Để giảm thiểu các kết quả dương tính giả, hãy chạy nó với đặc quyền quản trị viên, với hệ thống không hoạt động càng nhiều càng tốt và nếu cần thiết, hãy khởi chạy tự động quét với các tùy chọn:
rootkitrevealer -a -c -m -r C:\ruta\salida.log

Opciones không hài lòng:
-a (kiểm tra và thoát ra), -c (đầu ra CSV), -m (hiển thị siêu dữ liệu NTFS), -r (không kiểm tra Registry). Cũng hỗ trợ thực thi từ xa với PsExec:
psexec \\equipo-remoto -c rootkitrevealer.exe -a C:\Windows\System32\rootkit.log

Diễn giải kết quả: Bạn nên xem xét từng điểm khác biệt. Một số điểm khác biệt phổ biến là:
Ẩn khỏi API Windows (điển hình của rootkit), Độ dài giá trị sổ đăng ký không nhất quán, không khớp kiểu dữ liệu, tên có nhúng NULL (các khóa có thể nhìn thấy được đối với hệ thống nhưng không thể nhìn thấy đối với các công cụ như Regedit) hoặc sự khác biệt giữa API, MFT và chỉ mục thư mục (các tệp được tạo/xóa trong quá trình quét).

Lưu ý rằng các ổ đĩa NTFS ẩn một cách hợp pháp tập tin siêu dữ liệu (Nếu bạn cho phép hiển thị chúng, đừng lo lắng nếu bạn nhìn thấy chúng.) Bao gồm:
$AttrDef, $BadClus, $BadClus:$Bad, $BitMap, $Boot, $LogFile, $Mft, $MftMirr, $Secure, $UpCase, $Volume, $Extend, $Extend\$Reparse, $Extend\$ObjId, $Extend\$UsnJrnl, $Extend\$UsnJrnl:$Max, $Extend\$Quota.

Hạn chế: không tồn tại một máy quét phổ thôngNhững phần mềm hiệu quả nhất kết hợp so sánh trực tuyến/ngoại tuyến với phần mềm diệt virus. Để có độ tin cậy tối đa, hãy chạy quét từ phương tiện khởi động đáng tin cậy.

phát hiện rootkit bằng RootkitRevealer trên Windows

3) Máy quét chống rootkit chuyên dụng

Kết hợp nhiều công cụ, vì mỗi công cụ bao gồm các gia đình khác nhau và các kỹ thuật cụ thể:

Malwarebytes Chống Rootkit: Tiện lợi cho việc quét toàn bộ. Cho phép bạn tạo điểm khôi phục và chạy Dọn dẹp sau khi phát hiện mối đe dọa.
GMER- Rất mạnh mẽ trong việc phát hiện các luồng/quy trình ẩn và thao tác kernel. Lưu ý: Đã có báo cáo về khả năng tương thích hạn chế với Windows 11.
kaspersky TDSSKiller: chuyên về TDSS/TDL và bộ khởi động.
Windows Defender ngoại tuyến: khởi động bên ngoài Windows để quét trước khi rằng phần mềm độc hại đã được tải.
RogueKiller: Hữu ích cho các tiến trình ẩn, khóa sổ đăng ký bị thay đổi và MBR đáng ngờ.

Hội đồng điều hành: khởi động lại ở Chế độ an toàn trước khi quét (tải ít trình điều khiển và móc hơn) và ưu tiên thực hiện từ USB có thể khởi động khi bạn nghi ngờ có bootkit/phần mềm.

4) Mạng và kết nối: netstat và Wireshark

Phần mềm độc hại ẩn thường giao tiếp với thế giới bên ngoài. Chạy CMD với tư cách quản trị viên. netstat -ano để liệt kê các kết nối và PID liên quan, và tham chiếu chéo PID với Process Explorer.

Để phân tích sâu hơn, Wireshark Cho phép bạn ghi lại lưu lượng truy cập. Chọn giao diện (Wi-Fi/Ethernet), bắt đầu ghi lại, lọc theo ip.addr == TU_IP hoặc bằng các giao thức (ví dụ, http) và kiểm tra IP/cổng Những điều chưa biết. Hãy dừng chụp khi bạn có tài liệu để xem lại khi rảnh rỗi.

5) Ngành sửa chữa và đóng giày

Nếu bạn nghi ngờ có bootkit, hãy khởi động bằng Phương tiện cài đặt Windows, chọn “Sửa chữa máy tính của bạn” và mở bảng điều khiển để chạy: bootrec /fixmbr. Bước này có thể khôi phục MBR đính hôn.

6) Khi không có gì hiệu quả: hãy cài đặt lại sạch sẽ

Đối với các bệnh nhiễm trùng sâu hoặc dai dẳng, giải pháp đáng tin cậy là cài đặt lại sạch sẽ. Sử dụng trình cài đặt bên ngoài và tránh khôi phục các chương trình/cài đặt cũ mà không phân tích chúng. Nếu cuộc tấn công ảnh hưởng đến BIOS/UEFI, điều này là cần thiết. phần mềm flash với tiện ích chính thức của nhà sản xuất.

RootkitRevealer: Yêu cầu, Tùy chọn và Thực tiễn tốt nhất

Để sử dụng an toàn, hãy chạy bằng tài khoản có quyền “Sao lưu tệp và thư mục”, “Tải trình điều khiển” và “Nhiệm vụ bảo trì ổ đĩa” (Người quản trị có các tùy chọn này theo mặc định.) Đóng các ứng dụng và để hệ thống ở chế độ chờ trong quá trình quét để giảm thiểu các kết quả dương tính giả.

Hãy nhớ rằng RootkitRevealer không áp dụng bộ lọc đầu ra (rootkit có thể khai thác chúng). Nếu bạn thấy “Truy cập bị từ chối” là điều bất thường, vì công cụ này sử dụng các cơ chế để đọc bất kỳ khóa tệp/thư mục/Registry nào. Hãy thận trọng khi diễn giải sự khác biệt giữa API, MFT và index: chúng có thể các tập tin đã tạo/xóa trong quá trình phân tích.

Các nền tảng khác: Linux và macOS

Mặc dù hướng dẫn này tập trung vào Windows, nhưng việc làm quen với các công cụ dành cho các hệ thống khác cũng rất hữu ích. Trên Linux và macOS, bạn có thể sử dụng chkrootkit y rkhunter để săn lùng các rootkit, thay đổi nhị phân và cửa hậu đã biết.

Cài đặt thông thường trên Debian/Ubuntu: sudo apt-get install chkrootkit y sudo apt-get install rkhunter. Chạy ./chkrootkit o rkhunter -c và kiểm tra các cảnh báo đỏ. Giữ hệ thống đã vá và cập nhật với sudo apt update && sudo apt upgrade để mở rộng phạm vi bảo vệ chống lại các biến thể mới.

Dịch vụ chuyển dọn và tiện ích

Ngoài các máy quét ở trên, bạn có thể dựa vào các công cụ được công nhận: Trình quét Rootkit của Avast (phân tích chữ ký, bộ nhớ và DLL), Malwarebytes (phát hiện rootkit, phần mềm quảng cáo, phần mềm gián điệp và các bất thường về tính toàn vẹn của hạt nhân), Lynis (kiểm toán bảo mật trên Linux/BSD), Phần mềm độc hạiFox (phát hiện dựa trên đám mây, keylogger và cửa hậu) và Sophos (phân tích hành vi và bảo vệ khóa đăng ký để ngăn ngừa tái nhiễm).

Trong những trường hợp cụ thể, các tiện ích như Công cụ diệt virus Kaspersky/TDSSKiller o Kaspersky Rescue Disk đã chứng minh hiệu quả chống lại các gia đình cụ thể (ví dụ: TDSS). Nếu phù hợp, Windows Defender ngoại tuyến cung cấp ý kiến thứ hai bắt đầu từ bên ngoài hệ điều hành.

Phòng ngừa: Đóng cửa và gia cố bộ khởi động

Cách phòng thủ tốt nhất là ngăn chặn rootkit tiếp cận bạn. Giữ Windows và các ứng dụng của bạn đã được cập nhật, tích cực HỘP BẢO MẬT y TPM trong BIOS/UEFI, giới hạn đặc quyền (PoLP), ngăn chặn các phần mềm bẻ khóa và vi phạm bản quyền, và vô hiệu hóa Tự động chạy USB. Thiết lập các bản sao lưu thường xuyên và nếu có thể, hãy lưu trữ chúng Ngoại tuyến.

Tăng cường khả năng hiển thị: SIEM trong môi trường doanh nghiệp, đánh giá định kỳ với Suite Sysinternals, ảnh chụp nhanh/điểm khôi phục và giám sát hành vi. A giải pháp bảo mật nhiều lớp với chữ ký và phát hiện hành vi, rủi ro sẽ giảm đi đáng kể.

Tín hiệu, xác minh và phản ứng nhanh

Nếu bạn nghi ngờ bị nhiễm trùng: ngắt kết nối khỏi mạng, chạy phân tích ngoại tuyến Sử dụng các biện pháp đáng tin cậy, kết hợp nhiều công cụ chống rootkit, xóa sạch các mục khởi động và kiểm tra MBR/UEFI. Nếu hệ thống bị xâm phạm nghiêm trọng hoặc kẻ tấn công duy trì quyền điều khiển từ xa, định dạng và cài đặt lại tiết kiệm thời gian và ngăn ngừa tái nhiễm.

Trong môi trường quan trọng hoặc nếu phần sụn có vẻ bị xâm phạm, hãy cân nhắc sự can thiệp của hỗ trợ chuyên nghiệpMột số xưởng sửa chữa cung cấp dịch vụ chẩn đoán ban đầu và nếu việc sửa chữa được chấp thuận, họ thường giảm giá vào chi phí cuối cùng (điều kiện có thể khác nhau tùy thuộc vào nhà cung cấp; hãy tìm hiểu trước để tránh bất ngờ).

Ghi chú hoạt động và những sắc thái quan trọng

Một số công cụ (như GMER) có thể cung cấp dương tính giả hoặc không ổn định trên các hệ thống hiện đại; hãy kiểm tra chúng một cách thận trọng. Không chạy nhiều máy quét nặng cùng một lúc; tốt hơn là bí mậtTạo điểm khôi phục trước khi dọn dẹp và ghi lại những thay đổi (danh sách khởi động, trình điều khiển, tác vụ) trong trường hợp bạn cần khôi phục.

Ghi không có viên đạn bạc nào- Kết hợp phân tích hành vi, quét ngoại tuyến và đánh giá mức độ cao/thấp (như RootkitRevealer) mang lại phạm vi bảo vệ tốt nhất. Nếu bạn xác nhận sự hiện diện của rootkit và không có quy trình loại bỏ rõ ràng, hãy cân nhắc lại việc sử dụng thiết bị cứu hộ và cài đặt lại sạch sẽ.

Nhắc nhở về phát hiện hành vi của các quy trình ẩn

Phát hiện dựa trên hành vi tìm kiếm các mẫu rootkit điển hình (API hook, ẩn đối tượng, khởi động đáng ngờ) trước khi có bất kỳ dấu hiệu rõ ràng nào cho người dùng. Đây là một giải pháp bổ sung tốt cho việc quét có mục tiêu khi hệ thống vẫn còn "bình thường".