Cách Xem Các Chương Trình Chạy Ẩn Trên Máy Tính

Công cụ kiểm tra chương trình chạy ẩn trên máy tính

Phân tích và kiểm soát các tiến trình ẩn đang chạy trên hệ thống Windows của bạn để tối ưu hiệu suất và bảo mật

Kết quả phân tích hệ thống

Hướng dẫn toàn tập: Cách xem các chương trình chạy ẩn trên máy tính

Các chương trình chạy ẩn (hidden processes) trên máy tính có thể tiêu tốn tài nguyên hệ thống, gây ra các lỗi bảo mật hoặc thậm chí là dấu hiệu của phần mềm độc hại. Bài viết này sẽ hướng dẫn bạn cách phát hiện và quản lý các tiến trình ẩn trên Windows một cách chuyên nghiệp.

1. Tại sao cần kiểm tra các chương trình chạy ẩn?

  • Tối ưu hiệu suất: Các tiến trình ẩn có thể chiếm dụng CPU, RAM và ổ đĩa mà bạn không hay biết
  • Phát hiện malware: Nhiều loại virus và phần mềm gián điệp hoạt động dưới dạng tiến trình ẩn
  • Quản lý tài nguyên: Hiểu rõ những gì đang chạy giúp bạn điều chỉnh cấu hình hệ thống hợp lý
  • Giải quyết xung đột: Một số chương trình có thể xung đột với nhau khi chạy ngầm

2. 5 phương pháp xem chương trình chạy ẩn trên Windows

2.1. Sử dụng Task Manager (Trình quản lý tác vụ)

  1. Nhấn tổ hợp phím Ctrl + Shift + Esc để mở Task Manager
  2. Chuyển sang tab Details (Chi tiết) để xem tất cả tiến trình
  3. Nhấp chuột phải vào tiêu đề cột và chọn Select columns để hiển thị thêm thông tin như:
    • Command line (Dòng lệnh khởi chạy)
    • Publisher (Nhà phát hành)
    • Process ID (PID)
  4. Sắp xếp theo cột CPU hoặc Memory để phát hiện tiến trình tiêu tốn tài nguyên

Lưu ý: Một số tiến trình hệ thống quan trọng như svchost.exe, lsass.exe hoặc csrss.exe luôn chạy ẩn. Không nên tắt chúng trừ khi bạn chắc chắn đó là malware.

2.2. Sử dụng Resource Monitor (Trình giám sát tài nguyên)

  1. Mở Task Manager như trên, chuyển sang tab Performance (Hiệu suất)
  2. Nhấp vào Open Resource Monitor ở phía dưới
  3. Trong tab CPU, bạn sẽ thấy:
    • Tất cả tiến trình đang chạy
    • Thông tin chi tiết về sử dụng CPU
    • Các module và handle mà tiến trình đang sử dụng
  4. Sử dụng thanh tìm kiếm để lọc các tiến trình nghi ngờ

2.3. Command Prompt với lệnh WMIC

Mở Command Prompt với quyền admin và sử dụng các lệnh sau:

wmic process list brief
wmic process get description,executablepath,commandline

Lệnh đầu tiên liệt kê tất cả tiến trình, lệnh thứ hai hiển thị đường dẫn và dòng lệnh khởi chạy – rất hữu ích để phát hiện chương trình giả mạo.

2.4. Process Explorer – Công cụ nâng cao từ Microsoft

Process Explorer là phiên bản mạnh mẽ hơn của Task Manager, cung cấp:

  • Cây tiến trình phân cấp rõ ràng
  • Thông tin chi tiết về DLLs và handles
  • Khả năng tìm kiếm và lọc mạnh mẽ
  • Hiển thị các tiến trình được che giấu bởi rootkit

Bạn có thể tải về từ trang chính thức của Microsoft: Process Explorer

2.5. Sử dụng PowerShell để quét sâu

Các lệnh PowerShell sau sẽ giúp bạn phát hiện các tiến trình ẩn:

Get-Process | Where-Object {$_.MainWindowTitle -eq ""} | Format-Table Id,Name,CPU,WorkingSet

# Để xem chi tiết một tiến trình cụ thể:
Get-Process -Id [PID] | Format-List *

3. Cách phân biệt tiến trình hợp pháp và độc hại

Đặc điểm Tiến trình hợp pháp Tiến trình độc hại
Đường dẫn Thường nằm trong C:\Windows\System32 hoặc Program Files Nằm trong thư mục lạ như AppData\Roaming hoặc Temp
Tên file Tên rõ ràng như svchost.exe, explorer.exe Tên ngẫu nhiên như sdffg345.exe hoặc giả mạo tên hệ thống
Nhà phát hành Microsoft, nhà sản xuất phần mềm uy tín Không có thông tin hoặc tên lạ
Sử dụng tài nguyên Ổn định, phù hợp với chức năng CPU/RAM cao bất thường, ngay cả khi máy nhàn rỗi
Kết nối mạng Chỉ kết nối khi cần thiết Kết nối liên tục đến địa chỉ lạ

4. Các công cụ chuyên nghiệp để quản lý tiến trình ẩn

Công cụ Đặc điểm nổi bật Link tải Giá
Process Explorer Giao diện chi tiết, hiển thị cây tiến trình, phát hiện rootkit Microsoft Miễn phí
Process Hacker Giao diện hiện đại, quản lý dịch vụ, plugin mở rộng SourceForge Miễn phí
AnVir Task Manager Quét malware tích hợp, quản lý khởi động, tối ưu hệ thống AnVir Freemium
System Explorer Đánh giá nguy hiểm tự động, quản lý mạng, lịch sử tiến trình SystemExplorer Miễn phí
Malwarebytes Chuyên phát hiện và loại bỏ malware ẩn trong tiến trình Malwarebytes Freemium

5. Các bước xử lý khi phát hiện tiến trình đáng ngờ

  1. Không vội tắt tiến trình: Một số tiến trình hệ thống quan trọng có thể làm máy tính crash nếu tắt đột ngột
  2. Tra cứu thông tin: Sử dụng Google hoặc các trang như Process Library để tìm hiểu về tiến trình
  3. Quét bằng phần mềm diệt virus: Sử dụng Malwarebytes hoặc Windows Defender để quét toàn hệ thống
  4. Kiểm tra kết nối mạng: Mở Resource Monitor → tab Network để xem tiến trình có kết nối đáng ngờ không
  5. Xem chi tiết file: Nhấp chuột phải → Properties để kiểm tra thông tin digital signature
  6. Tạo điểm phục hồi hệ thống: Trước khi thực hiện bất kỳ thay đổi nào, hãy tạo restore point
  7. Xử lý:
    • Nếu là malware: Sử dụng công cụ chuyên dụng để loại bỏ
    • Nếu là phần mềm hợp pháp nhưng không cần thiết: Gỡ cài đặt qua Control Panel
    • Nếu là tiến trình hệ thống: Không nên can thiệp trừ khi bạn là chuyên gia

6. Cách ngăn chặn các chương trình chạy ẩn không mong muốn

  • Quản lý chương trình khởi động: Mở Task Manager → tab Startup để vô hiệu hóa các chương trình không cần thiết
  • Cập nhật hệ thống thường xuyên: Các bản vá bảo mật giúp ngăn chặn lỗ hổng bị khai thác để cài đặt malware
  • Sử dụng tài khoản Standard: Tránh sử dụng tài khoản Administrator thường xuyên để hạn chế quyền của malware
  • Cấu hình tường lửa: Chặn các kết nối mạng đáng ngờ từ các chương trình không rõ nguồn gốc
  • Kiểm soát User Account Control (UAC): Đặt ở mức cao để được cảnh báo khi có thay đổi hệ thống
  • Sử dụng phần mềm chống malware: Các giải pháp như Windows Defender + Malwarebytes cung cấp lớp bảo vệ tốt
  • Thận trọng khi cài đặt phần mềm: Luôn chọn Custom Install và bỏ chọn các thành phần không cần thiết

7. Các lệnh nâng cao để quản lý tiến trình

7.1. Liệt kê tất cả tiến trình với thông tin chi tiết

tasklist /v /fo csv > processes.csv
notepad processes.csv

7.2. Kết thúc tiến trình bằng PID

taskkill /PID [ProcessID] /F

7.3. Kết thúc tiến trình bằng tên

taskkill /IM [ProcessName.exe] /F

7.4. Xuất danh sách tiến trình định kỳ

Tạo file monitor.bat với nội dung:

:loop
tasklist /v /fo csv >> process_log_%date%.csv
timeout /t 60 /nobreak
goto loop

Chạy file này với quyền admin để ghi log tiến trình mỗi phút.

8. Phân tích sâu với Windows Event Viewer

Event Viewer lưu trữ nhật ký chi tiết về hoạt động của hệ thống và các tiến trình:

  1. Nhấn Win + R, gõ eventvwr.msc và Enter
  2. Đi đến Windows Logs → System
  3. Lọc các sự kiện với ID:
    • 4688: Tiến trình mới được tạo
    • 4689: Tiến trình bị đóng
    • 4696: Tiêu đề tiến trình mới
  4. Sử dụng chức năng Filter Current Log để lọc theo thời gian hoặc ID sự kiện

Nguồn tham khảo uy tín:

CISA – Understanding Hidden Threats: Rootkits and Botnets NIST – Guide to Malware Incident Prevention and Handling Microsoft TechNet – Windows Internals: Processes and Threads

9. Câu hỏi thường gặp về tiến trình ẩn

9.1. Làm sao để biết một tiến trình có phải là virus không?

Sử dụng kết hợp các phương pháp:

  • Kiểm tra đường dẫn file (nhấp chuột phải → Open file location)
  • Tra cứu tên tiến trình trên Process Library
  • Quét file với VirusTotal
  • Kiểm tra chữ ký số (nhấp chuột phải → Properties → Digital Signatures)

9.2. Tại sao máy tính của tôi có nhiều tiến trình svchost.exe?

Svchost.exe (Service Host) là tiến trình hợp pháp của Windows, được sử dụng để chạy các dịch vụ hệ thống. Mỗi instance svchost.exe có thể chứa nhiều dịch vụ liên quan. Để xem chi tiết:

  1. Mở Command Prompt với quyền admin
  2. Gõ lệnh: tasklist /svc /fi "imagename eq svchost.exe"

9.3. Làm sao để ngăn chương trình tự khởi động?

Có nhiều cách để quản lý chương trình khởi động:

  • Task Manager: Tab Startup → Disable các chương trình không cần thiết
  • MSConfig: Nhấn Win + R → gõ msconfig → tab Services
  • Registry Editor: Chạy regedit → đi đến: 
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Thư mục Startup: Xóa shortcut trong: 
    C:\Users\[YourUsername]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

9.4. Tiến trình nào của Windows không nên tắt?

Một số tiến trình hệ thống quan trọng:

  • csrss.exe – Client Server Runtime Process
  • wininit.exe – Windows Start-Up Application
  • services.exe – Services Control Manager
  • lsass.exe – Local Security Authority Process
  • smss.exe – Session Manager Subsystem
  • winlogon.exe – Windows Logon Process
  • explorer.exe – Windows Explorer

Việc tắt các tiến trình này có thể gây crash hệ thống hoặc làm máy tính không thể sử dụng được.

9.5. Làm sao để giám sát tiến trình từ xa?

Đối với quản trị viên hệ thống, có thể sử dụng:

  • Windows Remote Management (WinRM): Cho phép chạy lệnh từ xa
  • PsExec (Sysinternals): Chạy Process Explorer trên máy từ xa
  • WMI (Windows Management Instrumentation): Truy vấn thông tin hệ thống từ xa
  • Công cụ giám sát chuyên nghiệp: Như PRTG Network Monitor, SolarWinds

Leave a Reply

Your email address will not be published. Required fields are marked *