Công cụ kiểm tra phần mềm đang chạy trên máy tính

Kết quả kiểm tra phần mềm đang chạy

Hướng dẫn chi tiết: Làm sao để biết phần mềm máy tính đang chạy

Việc kiểm tra các phần mềm đang chạy trên máy tính không chỉ giúp bạn quản lý tài nguyên hệ thống hiệu quả mà còn giúp phát hiện các chương trình đáng ngờ có thể ảnh hưởng đến hiệu suất hoặc bảo mật. Dưới đây là hướng dẫn toàn diện từ cơ bản đến nâng cao.

1. Sử dụng công cụ tích hợp sẵn của hệ điều hành

1.1. Trên Windows (Task Manager)

  1. Mở Task Manager: Nhấn tổ hợp phím Ctrl + Shift + Esc hoặc Ctrl + Alt + Del rồi chọn “Task Manager”.
  2. Tab Processes: Tại đây bạn sẽ thấy tất cả các process đang chạy, bao gồm:
    • Tên ứng dụng/process
    • Sử dụng CPU (%)
    • Sử dụng bộ nhớ (RAM)
    • Tên người dùng đang chạy process
  3. Sắp xếp: Nhấn vào tiêu đề cột (CPU, Memory) để sắp xếp theo thứ tự giảm dần, giúp phát hiện các process tiêu tốn nhiều tài nguyên.
  4. Chi tiết nâng cao: Tab “Details” cung cấp thông tin kỹ thuật hơn như PID (Process ID) và đường dẫn file thực thi.
Nguồn tham khảo chính thức:

Microsoft Docs về Tasklist Command (Microsoft.com)

1.2. Trên macOS (Activity Monitor)

  1. Mở Activity Monitor: Vào Applications → Utilities → Activity Monitor hoặc sử dụng Spotlight (Command + Space) và tìm kiếm “Activity Monitor”.
  2. Các tab chính:
    • CPU: Hiển thị các process theo mức sử dụng CPU.
    • Memory: Hiển thị sử dụng RAM (cột “Memory” và “Memory Pressure” ở đáy cửa sổ).
    • Energy: Ảnh hưởng đến tuổi thọ pin (quan trọng cho laptop).
    • Disk: Hoạt động đọc/ghi đĩa.
    • Network: Sử dụng băng thông mạng.
  3. Phân tích: Các process có màu đỏ trong cột “Impact” đang tiêu tốn nhiều tài nguyên.

1.3. Trên Linux (System Monitor / Command Line)

Linux cung cấp nhiều công cụ mạnh mẽ:

  • System Monitor (GUI): Tương tự Task Manager, mở bằng lệnh gnome-system-monitor (Ubuntu) hoặc tìm trong menu ứng dụng.
  • Top: Mở terminal và gõ top để xem các process theo thời gian thực. Nhấn q để thoát.
  • htop: Phiên bản nâng cao của top (cài đặt bằng sudo apt install htop). Hiển thị đồ họa màu sắc và cho phép tương tác bằng chuột.
  • ps: Lệnh ps aux liệt kê tất cả process với chi tiết như PID, %CPU, %MEM.

2. Sử dụng Command Line (Nâng cao)

2.1. Trên Windows

  • tasklist: Liệt kê tất cả process đang chạy. 
    tasklist /v
    Tham số /v hiển thị thông tin chi tiết như đường dẫn thực thi.
  • wmic: Công cụ quản lý Windows mạnh mẽ. 
    wmic process get name,executablepath,commandline

2.2. Trên macOS/Linux

  • ps: Kết hợp với grep để lọc. 
    ps aux | grep "chrome"
  • pgrep: Tìm PID của process theo tên. 
    pgrep -l "firefox"
  • lsof: Liệt kê các file được mở bởi process (hữu ích để phát hiện phần mềm gián điệp). 
    lsof -i :8080  # Kiểm tra process sử dụng port 8080

3. Phần mềm bên thứ 3 chuyên nghiệp

Các công cụ sau cung cấp tính năng nâng cao hơn so với công cụ tích hợp sẵn:

Phần mềm Hệ điều hành Tính năng nổi bật Giá
Process Explorer Windows
  • Hiển thị cây process (parent-child)
  • Kiểm tra DLL được load bởi mỗi process
  • Tìm process mở file/handle cụ thể
 Miễn phí (Microsoft)
Process Hacker Windows
  • Giao diện hiện đại
  • Quản lý dịch vụ (services)
  • Kiểm tra mạng và đĩa
 Miễn phí
iStat Menus macOS
  • Hiển thị trên thanh menu
  • Theo dõi CPU, GPU, RAM, đĩa, mạng
  • Cảnh báo khi tài nguyên vượt ngưỡng
 $9.99
Glances Linux/macOS/Windows
  • Giao diện terminal thân thiện
  • Theo dõi đa nền tảng
  • Hỗ trợ client/server
 Miễn phí

4. Phát hiện phần mềm độc hại ẩn mình

Một số phần mềm độc hại (malware) có thể ngụy trang thành process hệ thống. Dưới đây là dấu hiệu cảnh báo:

  • Tên process lạ: Ví dụ svchost.exe chạy bởi user không phải “SYSTEM” hoặc “LOCAL SERVICE”.
  • Đường dẫn đáng ngờ: Process nằm trong thư mục như C:\Users\YourName\AppData\Roaming\random_folder\.
  • Sử dụng tài nguyên bất thường: Một process không rõ ràng nhưng sử dụng 50% CPU liên tục.
  • Kết nối mạng lạ: Sử dụng netstat -ano (Windows) hoặc lsof -i (macOS/Linux) để kiểm tra.
Cảnh báo từ CISA (Cybersecurity & Infrastructure Security Agency):

CISA khuyến cáo người dùng thường xuyên kiểm tra các process bất thường, đặc biệt là những process:

  • Không có chữ ký số (unsigned).
  • Chạy từ thư mục tạm (Temp).
  • Có tên giống process hệ thống nhưng chữ hoa/thường khác biệt (ví dụ: svch0st.exe thay vì svchost.exe).
Hướng dẫn phát hiện malware của CISA

5. Kỹ thuật nâng cao cho chuyên gia

5.1. Kiểm tra Process Hollowing

Kỹ thuật này thường được malware sử dụng để che giấu hoạt động:

  1. Mở Process Explorer (Windows).
  2. Nhấn chuột phải vào tiêu đề cột → chọn “Select Columns”.
  3. Thêm cột “Image Path” và “Command Line”.
  4. So sánh đường dẫn thực tế với tên process hiển thị. Ví dụ: một process tên explorer.exe nhưng đường dẫn trỏ đến C:\Temp\malware.exe.

5.2. Phân tích với VirusTotal

  1. Tải file thực thi của process đáng ngờ (thông qua đường dẫn trong Task Manager).
  2. Truy cập VirusTotal và upload file để quét.
  3. Kiểm tra kết quả từ các engine antivirus.

5.3. Sử dụng Sysinternals Suite (Windows)

Bộ công cụ miễn phí từ Microsoft bao gồm:

  • Process Explorer: Phiên bản nâng cao của Task Manager.
  • Autoruns: Kiểm tra các chương trình khởi động cùng hệ thống.
  • TCPView: Hiển thị tất cả kết nối mạng và process liên quan.

Tải về tại: Microsoft Sysinternals.

6. Câu hỏi thường gặp

6.1. Làm sao để biết một process có phải là virus không?

Dấu hiệu phổ biến:

  • Tên process lạ hoặc giống process hệ thống nhưng có sai lệch nhỏ (ví dụ: csrsss.exe thay vì csrss.exe).
  • Đường dẫn không phải từ C:\Windows\System32\ hoặc thư mục cài đặt phần mềm hợp pháp.
  • Process không có mô tả (right-click → Properties trong Task Manager).
  • Sử dụng tài nguyên cao nhưng không có giao diện người dùng.

6.2. Có nên tắt process không rõ nguồn gốc?

Không nên tắt ngẫu nhiên vì có thể gây treo hệ thống. Thay vào đó:

  1. Tra cứu tên process trên Google với từ khóa “is [process name] safe“.
  2. Sử dụng VirusTotal để quét file thực thi.
  3. Nếu nghi ngờ, chạy quét toàn hệ thống bằng phần mềm diệt virus (Malwarebytes, Windows Defender).

6.3. Làm sao để xuất danh sách process ra file?

Trên Windows, sử dụng lệnh:

tasklist /v > C:\process_list.txt

Trên Linux/macOS:

ps aux > process_list.txt

7. So sánh phương pháp kiểm tra trên các hệ điều hành

Tiêu chí Windows macOS Linux
Công cụ tích hợp Task Manager Activity Monitor System Monitor / top
Command Line cơ bản tasklist top, ps top, htop, ps
Hiển thị cây process Process Explorer (bên thứ 3) Không tích hợp sẵn pstree
Kiểm tra kết nối mạng netstat -ano lsof -i ss -tulnp, netstat -tulnp
Phát hiện malware Windows Defender, Process Explorer XProtect (tích hợp), Malwarebytes ClamAV, rkhunter
Quản lý dịch vụ Services.msc launchctl systemctl, service

8. Lời khuyên từ chuyên gia

  • Thường xuyên cập nhật hệ điều hành: Các bản vá bảo mật giúp ngăn chặn lỗ hổng bị khai thác để cài đặt malware.
  • Sử dụng tài khoản Standard: Tránh sử dụng tài khoản Administrator hàng ngày để giới hạn quyền của malware.
  • Kích hoạt tường lửa: Giúp chặn các kết nối mạng đáng ngờ từ process lạ.
  • Sa lưu định kỳ: Giúp phục hồi hệ thống nếu bị nhiễm malware nghiêm trọng.
  • Giám sát định kỳ: Dành 5 phút mỗi tuần để kiểm tra Task Manager/Activity Monitor.
Khuyến nghị từ NIST (National Institute of Standards and Technology):

NIST khuyến nghị người dùng:

  1. Thiết lập baseline (trạng thái bình thường) của hệ thống để phát hiện bất thường.
  2. Sử dụng công cụ giám sát tài nguyên như NIST Small Business Cybersecurity Corner.
  3. Áp dụng nguyên tắc “least privilege” (quyền tối thiểu cần thiết) cho tất cả tài khoản người dùng.

Leave a Reply

Your email address will not be published. Required fields are marked *