Cách kiểm tra thủ công PC Windows của bạn để tìm dấu hiệu của phần mềm gián điệp hoặc hack

Keylogger, cryptojackers, spyware và rootkit đều là những loại phần mềm độc hại mà tin tặc sử dụng để lây nhiễm thiết bị của nạn nhân. Trong khi một số trường hợp lây nhiễm này cho phép tin tặc kết nối từ xa với máy tính của nạn nhân, những trường hợp khác theo dõi thao tác gõ phím của người đó, sử dụng tài nguyên của hệ thống hoặc đơn giản là theo dõi hoạt động của người bị nhắm mục tiêu.

Nếu bạn nghi ngờ rằng thiết bị Windows của mình có thể đã bị tấn công, đây là một số bước thiết thực mà bạn có thể thực hiện để kiểm tra điều đó.

Trước khi chúng ta bắt đầu…

Trước khi điều tra xem thiết bị của bạn có bị xâm phạm hay không, hãy đóng tất cả các ứng dụng của bên thứ ba và Windows. Điều này sẽ giảm các mục Trình quản lý tác vụ hoặc bất kỳ mục thay thế nào khác cho Trình quản lý tác vụ mà bạn có thể đang sử dụng và cho phép bạn xác định hiệu quả các kết nối đáng ngờ được thiết lập trên máy tính của mình.

Sau đó, hãy quét phần mềm độc hại trên thiết bị của bạn bằng Bộ bảo vệ Microsoft hoặc bất kỳ phần mềm chống vi-rút đáng tin cậy nào của bên thứ ba mà bạn thường sử dụng. Bước này sẽ giúp bạn phát hiện và tự động loại bỏ các trường hợp lây nhiễm nhẹ bên trong thiết bị của mình và chúng sẽ không làm bạn mất tập trung khi tìm kiếm các trường hợp lây nhiễm nghiêm trọng hơn hoặc vi phạm bảo mật.

Khi bạn đã đóng tất cả các quy trình không cần thiết và tiến hành quét phần mềm độc hại, bạn có thể bắt đầu tìm kiếm bất kỳ chương trình độc hại nào đang ẩn nấp trên hệ thống của mình.

Cách kiểm tra thiết bị của bạn để tìm phần mềm gián điệp hoặc hack

Trong thời kỳ hiện đại, việc lây nhiễm phần mềm độc hại thường được lập trình để hoạt động tích cực (nhưng bí mật) trên máy tính của nạn nhân. Chẳng hạn, những kẻ tấn công tiền điện tử sử dụng tài nguyên máy tính của nạn nhân để khai thác tiền điện tử, những kẻ theo dõi thao tác bàn phím thu thập thông tin đăng nhập bằng cách theo dõi các lần nhấn phím và phần mềm gián điệp theo dõi hoạt động của người dùng trong thời gian thực và chia sẻ nó với tin tặc.

Mỗi loại phần mềm độc hại này đều dựa trên kết nối từ xa đến máy chủ của tin tặc nơi dữ liệu được gửi, phần mềm khai thác chạy hoặc bất kỳ mục đích nào khác mà tin tặc đang cố gắng thực hiện. Bằng cách xác định những kết nối đáng ngờ được thiết lập trên thiết bị của mình, chúng tôi có thể xác định xem thiết bị của mình có thực sự bị xâm phạm hay không.

1. Kiểm tra các kết nối đáng ngờ

Bạn có thể kiểm tra các kết nối đáng ngờ trên máy tính của mình theo nhiều cách, nhưng phương pháp mà chúng tôi sẽ chỉ cho bạn sẽ sử dụng một tiện ích tích hợp sẵn trong Windows có tên là Dấu nhắc Lệnh. Đây là cách bạn có thể tìm thấy các kết nối từ xa được thiết lập với thiết bị của mình bằng Dấu nhắc Lệnh:

1. Kiểu “Dấu nhắc lệnh” trong Tìm kiếm của Windows.
2. Nhấp chuột phải vào Dấu nhắc lệnh ứng dụng và nhấp vào Chạy như quản trị viên.
3. Chỉ cần gõ lệnh sau và nhấn Đi vào.

   netstat -ano

Lệnh trên sẽ hiển thị cho bạn tất cả các kết nối TCP mà ứng dụng, chương trình và dịch vụ đã thiết lập với máy chủ từ xa.

Chú ý chủ yếu đến Tình trạng cột, nơi bạn sẽ tìm thấy ba thuật ngữ chính: Thành lập, ngheVà Thời gian chờ đợi. Từ ba kết nối này, hãy tập trung vào các kết nối có trạng thái được xác định là Thành lập. Các “Thành lập” trạng thái cho biết kết nối thời gian thực giữa máy tính của bạn và địa chỉ IP từ xa.

Đừng hoảng sợ nếu bạn thấy nhiều kết nối đã được thiết lập. Hầu hết thời gian, các kết nối này được thực hiện với máy chủ của công ty có các dịch vụ mà bạn sử dụng, chẳng hạn như Google, Microsoft, v.v. Tuy nhiên, bạn cần phân tích riêng từng kết nối này. Điều này sẽ giúp bạn xác định xem có kết nối đáng ngờ nào được thực hiện với máy chủ của tin tặc hay không.

Không đóng Command Prompt; chúng tôi sẽ sử dụng thông tin netstat trong các bước tiếp theo.

2. Phân tích bất kỳ kết nối nào có vẻ đáng ngờ

Đây là cách bạn có thể phân tích các kết nối đáng ngờ:

1. Sao chép địa chỉ IP từ địa chỉ nước ngoài cột trong Dấu nhắc lệnh.
2. Truy cập trang web tra cứu vị trí IP phổ biến, chẳng hạn như IPLocation.net.
3. Dán địa chỉ IP đã sao chép của bạn vào đây và nhấp vào nút Tra cứu IP cái nút.

   

Trang web này sẽ cung cấp cho bạn thông tin về địa chỉ IP. Kiểm tra ISP và tổ chức sử dụng địa chỉ IP này. Nếu địa chỉ IP thuộc về một công ty nổi tiếng có dịch vụ mà bạn sử dụng, chẳng hạn như Google LLC, Microsoft Corporation, v.v., thì không có gì phải lo lắng.

Tuy nhiên, nếu bạn thấy một công ty đáng ngờ được liệt kê ở đây có dịch vụ mà bạn không sử dụng, thì rất có thể ai đó đang theo dõi bạn. Vì vậy, bạn sẽ cần xác định quy trình hoặc dịch vụ sử dụng địa chỉ này cho kết nối từ xa để đảm bảo nó không độc hại.

3. Tìm và phân tích bất kỳ quy trình độc hại nào

Để xác định vị trí của chương trình độc hại mà những kẻ lừa đảo có thể đã sử dụng để theo dõi thiết bị của bạn, bạn phải xác định quy trình liên quan. Đây là cách để tìm thấy nó:

1. Lưu ý PID bên cạnh kẻ khả nghi Thành lập kết nối trong Command Prompt.

   

2. Mở Trình quản lý tác vụ. (Xem các cách khác nhau để mở Trình quản lý tác vụ trong Windows 10 và 11)
3. đi đến Chi tiết chuyển hướng.
4. Nhấn vào cột PID để sắp xếp các quy trình theo PID của chúng.
5. Tìm quá trình với cùng một PID mà bạn đã ghi lại trước đó.

   

Nếu quy trình thuộc về dịch vụ của bên thứ ba mà bạn thường xuyên sử dụng, thì bạn không cần phải đóng quy trình đó. Tuy nhiên, bạn vẫn nên xác minh rằng quy trình này thuộc về công ty mà bạn tin là có, vì tin tặc có thể che giấu các quy trình độc hại của họ dưới chiêu bài độc hại. Vì vậy, nhấp chuột phải vào quy trình đáng ngờ và chọn Của cải.

Sau đó, điều hướng đến Chi tiết để biết thêm thông tin về quy trình.

Nếu có bất kỳ sự khác biệt nào trong chi tiết quy trình hoặc bản thân quy trình có vẻ đáng ngờ, thì tốt nhất là xóa chương trình được liên kết.

4. Xóa mọi chương trình đáng ngờ

Để xác định và xóa các ứng dụng độc hại đằng sau các quy trình đáng ngờ này, hãy làm theo các bước sau:

1. Nhấp chuột phải vào quy trình mờ ám và chọn Mở vị trí file.

   

2. Một lần nữa, đảm bảo tệp không được liên kết với Windows hoặc bất kỳ ứng dụng quan trọng nào khác.
3. Nếu bạn chắc chắn đó là phần mềm độc hại, hãy nhấp chuột phải vào nó và xóa nó.

   

5. Nhận trợ giúp chuyên nghiệp khi cần thiết

Hy vọng với quy trình trên sẽ giúp bạn phát hiện và gỡ bỏ chương trình độc hại, từ đó ngăn chặn tin tặc theo dõi hoặc đánh cắp thông tin cá nhân của bạn.

Tuy nhiên, bạn nên lưu ý rằng tin tặc có thể che giấu phần mềm độc hại của chúng khỏi đầu ra của netstat bằng cách lập trình theo cách đó. Tương tự như vậy, họ có thể viết mã chương trình để chương trình không xuất hiện trong Trình quản lý tác vụ. Không thấy kết nối đáng ngờ nào trong đầu ra netstat hoặc không tìm thấy quy trình đáng ngờ trong Trình quản lý tác vụ không có nghĩa là thiết bị của bạn an toàn.

Do đó, nếu bạn thấy các dấu hiệu của một thiết bị bị tấn công trong hệ thống của mình, chẳng hạn như mức tiêu thụ tài nguyên cao trong Trình quản lý tác vụ, hệ thống chạy chậm, ứng dụng không xác định được cài đặt, Bộ bảo vệ Windows thường xuyên tắt, tạo tài khoản người dùng mới đáng ngờ, v.v., thì bạn nên tham khảo ý kiến ​​​​một chuyên gia. Chỉ khi đó, bạn mới có thể chắc chắn rằng thiết bị của mình hoàn toàn an toàn.

Đừng để tin tặc theo dõi bạn lâu

Microsoft liên tục cập nhật hệ điều hành Windows để bảo mật hơn, nhưng tin tặc vẫn tìm ra sơ hở và xâm nhập vào các thiết bị Windows. Hy vọng rằng hướng dẫn của chúng tôi sẽ giúp bạn xác định xem có tin tặc khả nghi nào đang theo dõi hoạt động của bạn hay không. Nếu làm theo các mẹo một cách chính xác, bạn sẽ có thể xóa ứng dụng đáng ngờ và ngắt kết nối với máy chủ của tin tặc.

Nếu vẫn còn nghi ngờ và không muốn mạo hiểm với dữ liệu quý giá của mình, bạn nên nhờ đến sự trợ giúp của chuyên gia.