Được xuất bản vào ngày 29 tháng 1 năm 2026, 8:00 sáng EST
Oluwademilade là một người đam mê công nghệ với hơn 5 năm kinh nghiệm viết lách. Anh gia nhập nhóm MUO vào năm 2022 và phụ trách nhiều chủ đề khác nhau, bao gồm công nghệ tiêu dùng, iOS, Android, trí tuệ nhân tạo, phần cứng, phần mềm và an ninh mạng. Ngoài việc viết bài tại MUO, tác phẩm của anh còn xuất hiện trên HowtoGeek, Cryptoknowmics, TechNerdiness và SlashGear.
Oluwademilade theo học tại Đại học Ibadan ở Nigeria, lấy bằng y khoa của Trường Cao đẳng Y khoa. Xuất sắc trong lĩnh vực phục vụ cộng đồng, Oluwademilade được một tổ chức sinh viên liên kết với Liên hợp quốc vinh danh với danh hiệu Đại sứ hành động toàn cầu. Anh nhận được danh hiệu này tại Kuala Lumpur, Malaysia, để ghi nhận những nỗ lực của anh trong việc tạo ra tác động tích cực toàn cầu vào năm 2020
Trong thời gian rảnh rỗi, Oluwademilade thích thử nghiệm các ứng dụng và tính năng AI mới, khắc phục sự cố công nghệ cho gia đình và bạn bè, học ngôn ngữ lập trình mới và đi du lịch đến những địa điểm mới bất cứ khi nào có thể.
Chúng ta có xu hướng hình dung phần mềm độc hại như một khoảnh khắc quan trọng và kịch tính. Một cảnh báo ransomware xuất hiện khắp màn hình. Một màn hình xanh bất ngờ xuất hiện. Trong cuộc sống thực, những thứ thực sự nguy hiểm còn ma quái hơn nhiều. Đó là một quá trình mờ ám dùng CPU của bạn để khai thác tiền điện tử, một ứng dụng nhỏ “hữu ích” gọi điện về nhà theo địa chỉ IP mà bạn chưa từng thấy trước đây hoặc một tập lệnh cứng đầu tự cài đặt lại mỗi khi bạn khởi động lại.
Trình quản lý tác vụ Windows hiếm khi đủ khả năng để xử lý loại hành vi này. Khi có điều gì đó không ổn - hoặc khi tôi chỉ đang kiểm tra tình trạng tổng thể của hệ thống - tôi tìm đến Windows Sysinternals Suite. Được xây dựng bởi Mark Russinovich, hiện là Giám đốc Công nghệ (CTO) của Microsoft và Thành viên Kỹ thuật của Azure, những công cụ này được nhiều người coi là tiêu chuẩn vàng để kiểm tra hệ thống sâu. Chúng nhẹ, di động và chính xác.
Tôi sẽ chia sẻ năm công cụ Sysiternals mà cá nhân tôi sử dụng để tìm kiếm các điểm bất thường trên hệ thống của mình.
Bộ hệ thống
HĐH cửa sổ
Nhà phát triển Mark Russinovich
Mô hình giá miễn phí
Khám phá và khắc phục sự cố Windows như một chuyên gia với Sysinternals Suite. Nó tích hợp các công cụ nâng cao để giám sát quy trình, bảo mật và hiệu suất hệ thống.
Trình khám phá quy trình
Người anh trai thông minh hơn, đáng sợ hơn của Task Manager
Nếu Task Manager là một con dao cắt bơ cùn thì Process Explorer là một con dao mổ. Đó là điều đầu tiên tôi mở ra khi một hệ thống bắt đầu trì trệ hoặc hoạt động kỳ lạ. Nhìn thoáng qua, nó có thể giống với Trình quản lý tác vụ, nhưng khi bạn tìm hiểu sâu hơn, độ sâu sẽ ở một cấp độ khác. Không có gì khác cho bạn thấy toàn bộ cây tiến trình đang chạy giống như thế này.
Tôi dựa vào Process Explorer để bắt những kẻ mạo danh quy trình. Phần mềm độc hại thích mạo danh thứ gì đó nhàm chán và đáng tin cậy, chẳng hạn như svchost.exe hoặc chrome.exe, hy vọng bạn sẽ không xem xét quá kỹ các quy trình thiết yếu của Windows có thể ẩn chứa vi-rút. Process Explorer không phù hợp với điều đó. Nó cho bạn thấy ai đã “sinh ra” cái gì. Nếu tôi phát hiện ra một svchost.exe đến từ explorer.exe thay vì services.exe, tôi sẽ nhướng mày ngay lập tức. Đó thường là một món quà chết người.
Tính năng yêu thích của tôi là tính năng kiểm tra VirusTotal được tích hợp sẵn. Bạn không cần phải chơi trò chơi đoán. Với thao tác chuyển đổi nhanh trong menu Tùy chọn, Process Explorer sẽ kiểm tra hàm băm của mọi tệp thực thi đang chạy dựa trên VirusTotal và thêm điểm phát hiện đơn giản ngay vào danh sách quy trình. Một con số 0 trong số hàng chục là điều yên tâm. Bất cứ điều gì khác nhảy lên đầu câu hỏi “cái này đang làm gì ở đây?” danh sách.
TCPView
Xem máy tính của bạn đang thì thầm với ai trong bóng tối
Ngày nay, phần mềm độc hại gần như bất lực nếu không có kết nối internet. Cho dù đó là một con RAT đang chờ hướng dẫn hay một keylogger đang lấy mật khẩu của bạn, thì một lúc nào đó nó sẽ gọi điện về nhà. Đó là lý do tại sao TCPView là công cụ tôi sử dụng khi muốn ghi lại những cuộc trò chuyện ở hậu trường khi đang hành động.
Thay vì một bức tường văn bản dòng lệnh như lệnh netstat, TCPView trình bày mọi thứ trong một danh sách sống động, rõ ràng, cập nhật theo thời gian thực. Bạn thực sự có thể xem các kết nối xuất hiện và biến mất. Tôi luôn để mắt đến những chương trình không có hoạt động kinh doanh trực tuyến ngay từ đầu. Nếu tôi thấy thứ gì đó giống như Notepad hoặc Máy tính ở đó với liên kết “Đã thiết lập” tới một IP ngẫu nhiên, trực giác của tôi sẽ mách bảo rằng có điều gì đó không ổn.
Cách thông thường của tôi là sắp xếp theo cột Trạng thái sao cho tất cả các kết nối đang hoạt động sẽ nổi lên trên cùng, đây là cách nhanh nhất để kiểm tra các cổng TCP/IP đang mở. Sau đó, tôi quét bất cứ điều gì kỳ lạ, chẳng hạn như lưu lượng truy cập trên các cổng hoặc quy trình kỳ quặc thậm chí không thèm hiển thị tên hoặc biểu tượng thích hợp. Nhấp chuột phải nhanh và tra cứu Whois sẽ cho tôi biết ai sở hữu IP. Nếu nó trỏ đến một máy chủ đám mây cách đó nửa vòng trái đất ở một nơi mà tôi chưa bao giờ xử lý, tôi sẽ không suy nghĩ quá nhiều về nó. Tôi vừa tắt kết nối.
Tự động chạy
Xua đuổi những bóng ma ám ảnh chuỗi khởi động của bạn
Tính kiên trì là toàn bộ tính cách của phần mềm độc hại. Những người đằng sau nó biết sớm hay muộn bạn sẽ khởi động lại, vì vậy họ cài đặt các tập lệnh và tệp thực thi vào các vị trí khởi động để đảm bảo mã của họ xuất hiện lại ngay khi hệ thống trực tuyến trở lại. Windows có hàng tá điểm truy cập như vậy và tab Khởi động trong Trình quản lý tác vụ chỉ hiển thị một phần nhỏ trong số đó.
Liên quan
Công cụ miễn phí này tìm ra chính xác nguyên nhân làm chậm quá trình khởi động Windows của bạn
Một cái nhìn thẳng thắn, thiếu tình cảm về những gì đang kéo thời gian khởi động của bạn xuống bùn
Đó là lý do tại sao tôi dựa vào Autorun. Đó là tọc mạch theo cách tốt nhất có thể. Nó quét Sổ đăng ký, Trình lập lịch tác vụ, WMI và một loạt các ngóc ngách khó hiểu mà có thể bạn thậm chí không biết Windows có. Khi danh sách cuối cùng đã ổn định, mắt tôi nhìn thẳng vào bất cứ thứ gì được tô màu hồng. Màu đó có nghĩa là mã chưa được ký, đó là cờ đỏ. Trên một hệ thống hoạt động tốt, phần lớn các chương trình khởi động mà bạn có thể vô hiệu hóa một cách an toàn phải được ký điện tử bởi Microsoft hoặc một cái tên nổi tiếng như Adobe hay Google.
Để không bị chìm đắm trong tiếng ồn, tôi luôn bật bộ lọc yêu thích của mình. Trong Tùy chọn -> Tùy chọn quét , tôi kích hoạt Xác minh chữ ký mã và sau đó ẩn các mục của Microsoft. Điều này loại bỏ hàng nghìn thành phần Windows hợp pháp và để lại danh sách ngắn gọn về phần mềm của bên thứ ba. Nếu mục nhập màu hồng, không dấu trỏ đến một tệp nằm trong đường dẫn tạm thời — chẳng hạn như AppData\Local\Temp — đây hầu như luôn là dấu hiệu rõ ràng cho thấy phần mềm độc hại đang cố gắng duy trì sự tồn tại lâu dài.
Giám sát quy trình (ProcMon)
Uống vòi cứu hỏa đi tìm kim tiêm
Khi tôi đang đối phó với một loại bệnh nhiễm trùng thực sự lén lút không chịu chết, tôi ngừng lịch sự và tìm đến Trình giám sát quy trình. Đây là pháo hạng nặng. Nó ghi lại hoạt động theo thời gian thực trên hệ thống tệp, Sổ đăng ký và các tiến trình đang chạy, cung cấp cho tôi cái nhìn chi tiết về những gì hệ thống thực sự đang thực hiện.
Tuy nhiên, cảnh báo công bằng:ProcMon ồn ào. Giống như, hàng trăm nghìn sự kiện trong giây ồn ào. Tôi không sử dụng nó để tình cờ duyệt. Tôi sử dụng nó để trả lời những câu hỏi rất cụ thể, gần như nhỏ nhặt, chẳng hạn như “Tập tin chính xác nào đang tạo lại khóa đăng ký sơ sài này mỗi khi tôi xóa nó?”
Công việc “sát thủ” nhỏ của tôi bắt đầu bằng việc tạm dừng việc bắt giữ (Ctrl + E ) ngay khi công cụ khởi chạy để ngăn chặn đợt lũ dữ liệu ban đầu. Sau đó, tôi chọn biểu tượng Target từ thanh công cụ và kéo nó vào cửa sổ hoặc thông báo lỗi đáng ngờ. Trình giám sát quy trình tự động lọc nhật ký sự kiện để chỉ hiển thị hoạt động gắn liền với quy trình đó. Từ đó, tôi có thể theo dõi chính xác những tập tin mà nó đang chạm vào và nơi nó đang cố gắng lưu trữ dữ liệu cấu hình.
Sysmon (Giám sát hệ thống)
Công lý hồi cứu cho phần mềm độc hại lúc nửa đêm
Bốn công cụ đầu tiên tôi đề cập ở trên rất hữu ích để nắm bắt mọi thứ đang diễn ra, nhưng còn những thứ chỉ xảy ra khi bạn không nhìn thì sao? Phần mềm độc hại thường nhận biết ngữ cảnh và được thiết kế để chuyển sang chế độ im lặng ngay khi phát hiện hoạt động của người dùng.
Đó là nơi Sysmon kiếm được tiền. Nó chạy ở chế độ nền và ghi mọi thứ nó nhìn thấy vào Nhật ký sự kiện Windows. Tôi đặt nó trên những chiếc máy mà tôi muốn theo dõi trong thời gian dài. So với tính năng kiểm tra tích hợp sẵn của Windows, Sysmon có độ chi tiết cao đến mức ám ảnh. Nó ghi lại các giá trị băm cho mọi chương trình tải, mọi kết nối mạng được kích hoạt và mọi quy trình được tạo.
Tính năng tôi dựa vào nhiều nhất là ID sự kiện 1, tính năng này ghi nhật ký quá trình tạo. Nó mang lại cho tôi một loại dấu vết giấy kỹ thuật số. Vì vậy, nếu tôi thức dậy và có một tập tin bí ẩn nằm trên màn hình của mình, tôi có thể tua lại màn đêm đó và xem chính xác điều gì đã tạo ra nó, nó xảy ra khi nào và dòng lệnh nào đã được sử dụng.
Đừng đoán mò nữa và bắt đầu săn lùng
Khi sử dụng năm công cụ Sysiternals này, tôi cảm thấy kiểm soát được tính bảo mật của PC Windows của mình nhiều hơn. Họ đã giúp tôi nắm bắt và khắc phục các sự cố mà phần mềm chống vi-rút tiêu chuẩn đôi khi bỏ qua. Điều tuyệt vời nhất là tất cả các tiện ích này đều miễn phí và có thể mang theo được; bạn có thể chạy chúng trên bất kỳ máy Windows nào (và Microsoft luôn cập nhật chúng với các phiên bản hệ điều hành mới nhất). Nếu bạn là người dùng am hiểu công nghệ hoặc tò mò, tôi khuyến khích bạn dùng thử. Bạn không chỉ nâng cao khả năng phát hiện sớm hành vi đáng ngờ mà còn học được rất nhiều điều về cách Windows hoạt động một cách ẩn sâu.
Theo kinh nghiệm của tôi, việc điều tra trực tiếp một chút với các công cụ Sysinternals có thể giúp ích rất nhiều trong việc giữ cho hệ thống của bạn sạch sẽ và đầu óc bạn thoải mái khi có điều gì đó “cảm thấy không ổn” trên PC của bạn. Chúc bạn đi săn vui vẻ!