เผยแพร่เมื่อวันที่ 29 มกราคม 2026 เวลา 8:00 น. EST
Oluwademilade เป็นผู้ชื่นชอบเทคโนโลยีและมีประสบการณ์ในการเขียนมากกว่าห้าปี เขาเข้าร่วมทีม MUO ในปี 2022 และครอบคลุมหัวข้อต่างๆ รวมถึงเทคโนโลยีสำหรับผู้บริโภค, iOS, Android, ปัญญาประดิษฐ์, ฮาร์ดแวร์, ซอฟต์แวร์ และความปลอดภัยทางไซเบอร์ นอกจากงานเขียนที่ MUO แล้ว งานของเขายังปรากฏใน HowtoGeek, Cryptoknowmics, TechNerdiness และ SlashGear
Oluwademilade เข้าเรียนที่มหาวิทยาลัย Ibadan ในประเทศไนจีเรีย โดยได้รับปริญญาทางการแพทย์จากวิทยาลัยแพทยศาสตร์ Oluwademilade เป็นเลิศในด้านการบริการสาธารณะ ได้รับเกียรติจากตำแหน่ง Global Action Ambassador จากองค์กรนักศึกษาในเครือสหประชาชาติ เขาได้รับตำแหน่งนี้ในกรุงกัวลาลัมเปอร์ ประเทศมาเลเซีย เพื่อเป็นการยกย่องความพยายามของเขาในการสร้างผลกระทบเชิงบวกระดับโลกในปี 2020
ในเวลาว่าง Oluwademilade สนุกกับการทดสอบแอปและฟีเจอร์ AI ใหม่ แก้ไขปัญหาเทคโนโลยีสำหรับครอบครัวและเพื่อนฝูง การเรียนรู้ภาษาการเขียนโค้ดใหม่ๆ และการเดินทางไปยังสถานที่ใหม่ๆ ทุกครั้งที่เป็นไปได้
เรามักจะมองว่ามัลแวร์เป็นช่วงเวลาที่ยิ่งใหญ่และน่าทึ่ง คำเตือนแรนซัมแวร์กระจายไปทั่วหน้าจอ หน้าจอสีน้ำเงินฉับพลันที่ไม่เป็นพิธีการ ในชีวิตจริง สิ่งที่อันตรายจริงๆ นั้นน่ากลัวกว่ามาก มันเป็นกระบวนการที่ซ่อนเร้นโดยจิบ CPU ของคุณเพื่อขุด crypto แอพเล็กๆ “ที่เป็นประโยชน์” โทรกลับบ้านไปยังที่อยู่ IP ที่คุณไม่เคยเห็นมาก่อน หรือสคริปต์ที่ดื้อรั้นที่จะติดตั้งตัวเองใหม่ทุกครั้งที่คุณรีบูต
ตัวจัดการงานของ Windows แทบจะไม่เพียงพอที่จะแสดงลักษณะการทำงานประเภทนี้ เมื่อรู้สึกไม่สบายใจ — หรือเมื่อฉันเพียงแค่ตรวจสอบสภาพโดยรวมของระบบ — ฉันเข้าถึง Windows Sysinternals Suite สร้างโดย Mark Russinovich ซึ่งปัจจุบันเป็นประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี (CTO) ของ Microsoft และนักวิชาการด้านเทคนิคของ Azure เครื่องมือเหล่านี้ได้รับการยกย่องอย่างกว้างขวางว่าเป็นมาตรฐานทองคำสำหรับการตรวจสอบระบบเชิงลึก มีน้ำหนักเบา พกพาสะดวก และแม่นยำ
ฉันจะแบ่งปันเครื่องมือ Sysinternals ห้ารายการที่ฉันใช้เป็นการส่วนตัวเพื่อค้นหาความผิดปกติในระบบของฉัน
ชุด Sysinternals
ระบบปฏิบัติการ หน้าต่าง
นักพัฒนาซอฟต์แวร์ มาร์ก รุสซิโนวิช
รูปแบบราคา ฟรี
สำรวจและแก้ไขปัญหา Windows อย่างมืออาชีพด้วย Sysinternals Suite มีเครื่องมือขั้นสูงสำหรับการตรวจสอบกระบวนการ ความปลอดภัย และประสิทธิภาพของระบบ
ดำเนินการสำรวจ
พี่ชายที่ฉลาดกว่าและน่ากลัวกว่าของ Task Manager
หาก Task Manager เป็นมีดเนยทื่อ Process Explorer ก็คือมีดผ่าตัด นี่เป็นสิ่งแรกสุดที่ฉันเปิดเมื่อระบบเริ่มลากเท้าหรือแสดงพฤติกรรมแปลกๆ เมื่อดูเผินๆ อาจมีลักษณะคล้ายกับ Task Manager แต่เมื่อคุณเจาะลึกลงไปแล้ว ความลึกจะแตกต่างออกไป ไม่มีอะไรอื่นใดที่จะแสดงแผนผังลำดับวงศ์ตระกูลของกระบวนการที่ทำงานอยู่ทั้งหมดเช่นนี้
ฉันพึ่ง Process Explorer เพื่อจับผู้แอบอ้างกระบวนการ มัลแวร์ชอบแต่งกายให้เป็นสิ่งที่น่าเบื่อและน่าเชื่อถือ เช่น svchost.exe หรือ chrome.exe โดยหวังว่าคุณจะไม่ดูกระบวนการสำคัญของ Windows ที่อาจซ่อนไวรัสอย่างใกล้ชิดจนเกินไป Process Explorer ไม่เหมาะกับสิ่งนั้น มันแสดงให้คุณเห็นว่าใคร “ให้กำเนิด” อะไร หากฉันพบ svchost.exe ที่มาจาก explorer.exe แทนที่จะเป็น services.exe คิ้วของฉันก็เลิกขึ้นทันที นั่นมักจะเป็นของแถมที่ตายแล้ว
ฟีเจอร์โปรดของฉันคือการตรวจสอบ VirusTotal ในตัว คุณไม่จำเป็นต้องเล่นเกมเดา ด้วยการสลับอย่างรวดเร็วในเมนูตัวเลือก Process Explorer จะตรวจสอบแฮชของทุกไฟล์ที่เรียกใช้งานกับ VirusTotal และเพิ่มคะแนนการตรวจจับอย่างง่ายลงในรายการกระบวนการ คะแนนที่สะอาด 0 จากหลายสิบทำให้มั่นใจได้ มีอะไรอีกที่กระโดดขึ้นไปบนสุดของฉัน "นี่มาทำอะไรที่นี่" รายการ
TCPView
ดูว่าคอมพิวเตอร์ของคุณกระซิบกับใครในความมืด
ทุกวันนี้ มัลแวร์ค่อนข้างทำอะไรไม่ถูกหากไม่มีการเชื่อมต่ออินเทอร์เน็ต ไม่ว่าจะเป็น RAT ที่รอคำสั่งหรือคีย์ล็อกเกอร์ส่งรหัสผ่านของคุณ มันก็จะต้องโทรศัพท์กลับบ้านในบางครั้ง นั่นคือเหตุผลที่ TCPView เป็นเครื่องมือที่ฉันเข้าถึงเมื่อฉันต้องการติดตามการสนทนาเบื้องหลังขณะดำเนินการ
แทนที่จะเป็นกำแพงข้อความบรรทัดคำสั่งเช่นคำสั่ง netstat TCPView จะจัดวางทุกอย่างไว้ในรายการที่สะอาดตาและอัปเดตแบบเรียลไทม์ คุณสามารถรับชมการเชื่อมต่อปรากฏขึ้นและหายไปได้จริง ฉันคอยสังเกตโปรแกรมที่ไม่มีธุรกิจออนไลน์ตั้งแต่แรก หากฉันเคยเห็นบางอย่างเช่น Notepad หรือ Calculator พร้อมลิงก์ "Established" ไปยัง IP แบบสุ่ม สัญชาตญาณของฉันก็บอกว่ามีบางอย่างผิดปกติทันที
การย้ายตามปกติของฉันคือการจัดเรียงตามคอลัมน์สถานะ เพื่อให้การเชื่อมต่อที่ใช้งานอยู่ทั้งหมดลอยไปด้านบน ซึ่งเป็นวิธีที่เร็วที่สุดในการตรวจสอบพอร์ต TCP/IP ที่เปิดอยู่ จากนั้นฉันจะสแกนหาสิ่งแปลก ๆ เช่นการรับส่งข้อมูลบนพอร์ตคี่บอลหรือกระบวนการที่ไม่ต้องการแสดงชื่อหรือไอคอนที่ถูกต้องด้วยซ้ำ คลิกขวาอย่างรวดเร็วและการค้นหา Whois จะบอกฉันว่าใครเป็นเจ้าของ IP ถ้ามันชี้ไปที่เซิร์ฟเวอร์คลาวด์ที่อยู่อีกซีกโลกหนึ่งในสถานที่ที่ฉันไม่เคยติดต่อด้วย ฉันก็ไม่คิดมาก ฉันเพิ่งปิดการเชื่อมต่อ
การทำงานอัตโนมัติ
ขับไล่ผีที่หลอกหลอนลำดับการบูตของคุณ
ความคงอยู่คือบุคลิกภาพทั้งหมดของมัลแวร์ ผู้ที่อยู่เบื้องหลังรู้ว่าคุณกำลังจะรีบูทไม่ช้าก็เร็ว ดังนั้นพวกเขาจึงวางสคริปต์และโปรแกรมปฏิบัติการไว้ในตำแหน่งเริ่มต้นเพื่อให้แน่ใจว่าโค้ดของพวกเขาจะปรากฏขึ้นอีกครั้งทันทีที่ระบบกลับมาออนไลน์ Windows มีจุดเริ่มต้นเหล่านี้หลายสิบจุด และแท็บเริ่มต้นในตัวจัดการงานจะแสดงจุดเหล่านี้เพียงส่วนเล็กๆ เท่านั้น
ที่เกี่ยวข้อง
เครื่องมือฟรีนี้จะค้นหาสิ่งที่ทำให้การบูต Windows ของคุณช้าลง
การมองอย่างตรงไปตรงมาและไร้ความรู้สึกเกี่ยวกับสิ่งที่ลากเวลาบูตของคุณผ่านโคลน
นั่นคือเหตุผลที่ฉันพึ่งพาการทำงานอัตโนมัติ มันน่ารำคาญในวิธีที่ดีที่สุดเท่าที่จะเป็นไปได้ มันกวาดล้าง Registry, Task Scheduler, WMI และมุมที่ไม่ชัดเจนมากมายที่คุณอาจไม่รู้ด้วยซ้ำว่า Windows มี เมื่อรายการจบลงในที่สุด ดวงตาของฉันก็มุ่งตรงไปยังทุกสิ่งที่เน้นด้วยสีชมพู สีนั้นหมายความว่ารหัสไม่ได้ลงนามซึ่งเป็นธงสีแดง ในระบบที่ดี โปรแกรมสตาร์ทอัพส่วนใหญ่ที่คุณสามารถปิดใช้งานได้อย่างปลอดภัยควรได้รับการลงนามแบบดิจิทัลโดย Microsoft หรือชื่อที่รู้จักกันดี เช่น Adobe หรือ Google
เพื่อไม่ให้จมอยู่ในเสียงรบกวน ฉันมักจะเปิดฟิลเตอร์ตัวโปรดเสมอ ในตัวเลือก -> ตัวเลือกการสแกน ฉันเปิดใช้งาน ยืนยันลายเซ็นรหัส แล้วซ่อนรายการ Microsoft การดำเนินการนี้จะตัดส่วนประกอบ Windows ที่ถูกต้องตามกฎหมายหลายพันรายการออกไป และทิ้งรายการซอฟต์แวร์ของบริษัทอื่นโดยย่อไว้ หากรายการสีชมพูที่ไม่ได้ลงนามชี้ไปยังไฟล์ที่อยู่ในเส้นทางชั่วคราว เช่น AppData\Local\Temp — เกือบทุกครั้งมันเป็นตัวบ่งชี้ที่ชัดเจนของมัลแวร์ที่พยายามรักษาความคงอยู่
การตรวจสอบกระบวนการ (ProcMon)
ดื่มจากท่อดับเพลิงเพื่อหาเข็ม
เมื่อฉันต้องรับมือกับการติดเชื้อที่ซ่อนเร้นซึ่งไม่ยอมตาย ฉันจะเลิกสุภาพและติดต่อ Process Monitor นี่คือปืนใหญ่หนัก โดยจะบันทึกกิจกรรมแบบเรียลไทม์ทั่วทั้งระบบไฟล์ รีจิสทรี และกระบวนการที่ทำงานอยู่ ทำให้ฉันเห็นภาพแบบละเอียดว่าจริงๆ แล้วระบบกำลังทำอะไรภายใต้ประทุน
คำเตือนที่เป็นธรรม:ProcMon มีเสียงดัง เช่น เหตุการณ์นับแสนในวินาทีที่มีเสียงดัง ฉันไม่ได้ใช้มันเพื่อเรียกดูแบบไม่ได้ตั้งใจ ฉันใช้มันเพื่อตอบคำถามที่เจาะจงและเกือบจะเป็นคำถามเล็กๆ น้อยๆ เช่น “ไฟล์อะไรกันแน่ที่สร้างคีย์รีจิสทรีแบบร่างนี้ขึ้นใหม่ทุกครั้งที่ฉันลบมัน”
กิจวัตร "นักฆ่า" เล็กๆ ของฉันเริ่มต้นด้วยการหยุดจับภาพชั่วคราว (Ctrl + E ) ทันทีที่เครื่องมือเปิดตัวเพื่อหยุดการฟลัดข้อมูลเริ่มต้น จากนั้น ฉันเลือกไอคอนเป้าหมายจากแถบเครื่องมือแล้วลากไปยังหน้าต่างที่น่าสงสัยหรือข้อความแสดงข้อผิดพลาด การตรวจสอบกระบวนการกรองบันทึกเหตุการณ์โดยอัตโนมัติเพื่อแสดงเฉพาะกิจกรรมที่เชื่อมโยงกับกระบวนการนั้น จากนั้น ฉันสามารถติดตามได้อย่างแม่นยำว่าไฟล์ใดแตะอยู่และที่ใดที่มันพยายามเก็บข้อมูลการกำหนดค่า
Sysmon (การตรวจสอบระบบ)
ความยุติธรรมย้อนหลังสำหรับมัลแวร์เที่ยงคืน
เครื่องมือสี่อย่างแรกที่ฉันกล่าวถึงข้างต้นนั้นยอดเยี่ยมในการจับสิ่งต่าง ๆ ในระหว่างการแสดง แต่สิ่งที่จะเกิดขึ้นเมื่อคุณไม่ได้มองหาล่ะ มัลแวร์มักจะรับรู้บริบท ซึ่งออกแบบมาเพื่อปิดเสียงทันทีที่ตรวจพบกิจกรรมของผู้ใช้
นั่นคือจุดที่ Sysmon ได้รับการเก็บรักษา มันทำงานในพื้นหลังและเขียนทุกอย่างที่เห็นลงในบันทึกเหตุการณ์ของ Windows ฉันใส่มันลงบนเครื่องจักรที่ฉันต้องการจับตาดูในระยะยาว เมื่อเปรียบเทียบกับการตรวจสอบในตัวของ Windows แล้ว Sysmon ก็มีรายละเอียดที่หนักแน่น มันบันทึกแฮชสำหรับทุกโปรแกรมที่โหลด ทุกการเชื่อมต่อเครือข่ายที่เริ่มทำงาน และทุกกระบวนการที่ถูกสร้างขึ้น
คุณลักษณะที่ฉันพึ่งพามากที่สุดคือ Event ID 1 ซึ่งบันทึกการสร้างกระบวนการ มันทำให้ฉันมีเส้นทางกระดาษดิจิทัล ดังนั้นหากฉันตื่นขึ้นมาและมีไฟล์ปริศนาวางอยู่บนเดสก์ท็อป ฉันสามารถย้อนกลับคืนและดูว่าอะไรเป็นสาเหตุ เกิดขึ้นเมื่อใด และใช้บรรทัดคำสั่งใด
หยุดคาดเดาและเริ่มการล่าสัตว์
การใช้เครื่องมือ Sysinternals ทั้งห้านี้ ฉันรู้สึกควบคุมความปลอดภัยของพีซี Windows ของฉันได้มากขึ้น พวกเขาช่วยฉันตรวจจับและแก้ไขปัญหาที่ซอฟต์แวร์แอนตี้ไวรัสมาตรฐานบางครั้งมองข้ามไป ส่วนที่ดีที่สุดก็คือยูทิลิตี้ทั้งหมดนี้ฟรีและพกพาได้ คุณสามารถเรียกใช้บนเครื่อง Windows ใดก็ได้ (และ Microsoft จะคอยอัปเดตระบบปฏิบัติการเวอร์ชันล่าสุดอยู่เสมอ) หากคุณเป็นผู้ใช้ที่เชี่ยวชาญด้านเทคโนโลยีหรืออยากรู้อยากเห็น ฉันขอแนะนำให้คุณลองใช้พวกเขาดู ไม่เพียงแต่คุณจะปรับปรุงความสามารถในการตรวจจับพฤติกรรมที่น่าสงสัยตั้งแต่เนิ่นๆ แต่คุณยังจะได้เรียนรู้มากมายเกี่ยวกับวิธีการทำงานของ Windows ภายใต้ประทุน
จากประสบการณ์ของฉัน การค้นหาเครื่องมือ Sysinternals โดยตรงสามารถช่วยได้มากในการรักษาระบบของคุณให้สะอาดและสบายใจเมื่อมีบางสิ่ง “รู้สึกผิดปกติ” บนพีซีของคุณ ขอให้มีความสุขกับการล่าสัตว์!
