TRƯỜNG HƯỚNG DẪN
- Công cụ SysInternals là gì và bạn sử dụng chúng như thế nào?
- Tìm hiểu về Process Explorer
- Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán
- Hiểu quy trình giám sát
- Sử dụng Process Monitor để khắc phục sự cố và tìm Registry Hacks
- Sử dụng Autoruns để xử lý các quá trình khởi động và phần mềm độc hại
- Sử dụng BgInfo để hiển thị thông tin hệ thống trên màn hình nền
- Sử dụng PsTools để điều khiển các PC khác từ dòng lệnh
- Phân tích và quản lý tệp, thư mục và ổ đĩa của bạn
- Kết hợp và sử dụng các công cụ cùng nhau
Trong những ngày trước, phần mềm sẽ tự động bắt đầu bằng cách thêm một mục vào thư mục Startup trong Start Menu, hoặc thêm một giá trị vào khóa Run trong registry, nhưng khi mọi người và phần mềm trở nên hiểu biết hơn về việc tìm kiếm các mục không mong muốn và xóa chúng, các nhà sản xuất phần mềm có vấn đề bắt đầu tìm cách để ngày càng lén lút hơn.
Các công ty crapware râm bắt đầu tìm cách tự động tải phần mềm của họ thông qua các đối tượng trợ giúp trình duyệt, dịch vụ, trình điều khiển, nhiệm vụ theo lịch và thậm chí thông qua một số kỹ thuật cực kỳ tiên tiến như tấn công ảnh và AppInit_dll.
Việc kiểm tra từng điều kiện theo cách thủ công sẽ không chỉ tốn thời gian, mà gần như không thể làm cho người trung bình.
Đó là nơi Autoruns đến và tiết kiệm trong ngày. Chắc chắn, bạn có thể sử dụng Process Explorer để xem qua danh sách quy trình và tìm hiểu sâu về các chủ đề và xử lý, và Process Monitor có thể tìm ra chính xác các khóa registry nào đang được mở theo quy trình nào và hiển thị cho bạn lượng thông tin đáng kinh ngạc. Nhưng không ai ngăn chặn crapware hoặc phần mềm độc hại được tải lại vào lần sau khi bạn khởi động máy tính của mình.
Of course, a smart strategy would be to use all three together. Process Explorer sees what is currently running and using up your CPU and memory, Process Monitor sees what the application is doing under the hood, and then Autoruns comes in to clean things up so they don’t come back.
Autoruns cho phép bạn xem gần như mọi thứ đơn lẻ được tải tự động trên máy tính của bạn và vô hiệu hóa nó dễ dàng như việc nhấp vào hộp kiểm. Nó cực kỳ dễ sử dụng và gần như tự giải thích, ngoại trừ một số điều phức tạp thực sự bạn cần biết để hiểu ý nghĩa của một số tab thực sự. Đó là những gì bài học này sẽ dạy.
Làm việc với giao diện Autoruns
Bạn có thể lấy công cụ Autoruns từ trang web SysInternals giống như tất cả các phần còn lại và chạy nó mà không cần cài đặt. Bạn sẽ muốn làm điều đó trước khi tiếp tục.
Chú thích: Tự động chạy không yêu cầu chạy với tư cách là quản trị viên, nhưng thực tế là có ý nghĩa nhất khi thực hiện điều đó, vì cũng có một số tính năng không hoạt động và cũng có khả năng phần mềm độc hại của bạn cũng đang chạy với tư cách là quản trị viên.
Khi bạn khởi chạy giao diện lần đầu tiên, bạn sẽ thấy rất nhiều tab và danh sách những thứ đang được bắt đầu tự động trên máy tính của bạn. Tab Mọi thứ mặc định hiển thị mọi thứ từ mọi tab nhưng có thể hơi khó hiểu và kéo dài, vì vậy chúng tôi khuyên bạn chỉ nên xem qua từng tab riêng biệt.
Vô hiệu hóa mục
Để vô hiệu hóa bất kỳ mục nào trong danh sách, bạn chỉ có thể xóa hộp kiểm. Đó là tất cả những gì bạn phải làm, chỉ cần đi qua danh sách và xóa mọi thứ bạn không cần, khởi động lại máy tính của bạn và sau đó chạy lại để đảm bảo mọi thứ đều tốt.
Chú thích:một số phần mềm độc hại sẽ liên tục theo dõi các vị trí nơi chúng kích hoạt tính năng tự khởi động và sẽ ngay lập tức đặt giá trị trở lại. Bạn có thể sử dụng phím F5 để quét lại và xem có bất kỳ mục nhập nào đã trở lại sau khi vô hiệu hóa chúng hay không. Nếu một trong số chúng xuất hiện trở lại, bạn nên sử dụng Process Explorer để tạm dừng hoặc tiêu diệt phần mềm độc hại đó trước khi vô hiệu hóa nó ở đây.
Màu sắc
Giống như hầu hết các công cụ SysInternals, các mục trong danh sách có thể có các màu khác nhau và dưới đây là ý nghĩa của chúng:
- Hồng - điều này có nghĩa là không tìm thấy thông tin nhà xuất bản hoặc nếu xác minh mã được bật, nghĩa là chữ ký điện tử không tồn tại hoặc không khớp hoặc không có thông tin nhà xuất bản.
- màu xanh lá - màu này được sử dụng khi so sánh với tập dữ liệu Tự động phát trước đó để cho biết một mục không có thời gian qua.
- Màu vàng - mục khởi động ở đó, nhưng tệp hoặc công việc mà nó trỏ đến không tồn tại nữa.
Cũng giống như hầu hết các công cụ SysInternals, bạn có thể nhấp chuột phải vào bất kỳ mục nhập nào và thực hiện một số thao tác, bao gồm cả nhảy tới mục nhập hoặc hình ảnh (tệp thực tế trong Explorer). Bạn có thể tìm kiếm trực tuyến tên của quá trình hoặc dữ liệu trong cột, xem các thuộc tính chi tiết hoặc xem mục nhập đó có đang chạy hay không bằng cách thực hiện tìm kiếm nhanh thông qua Process Explorer - mặc dù nhiều quy trình có trình tải rồi khởi chạy cái gì khác trước thoát ra, vì vậy chỉ vì tính năng đó cho thấy không có kết quả nào không có nghĩa gì cả.
Xác minh chữ ký mã
Mục trình đơn Tùy chọn Bộ lọc sẽ đưa bạn đến một bảng điều khiển tùy chọn, nơi bạn có thể chọn một tùy chọn rất hữu ích: Xác minh Mã số Chữ ký. Điều này sẽ kiểm tra để đảm bảo rằng mỗi chữ ký kỹ thuật số được phân tích và xác minh, và hiển thị các kết quả ngay trong cửa sổ. Bạn sẽ nhận thấy rằng tất cả các mục có màu hồng trong ảnh chụp màn hình bên dưới không được xác minh hoặc thông tin nhà xuất bản không tồn tại.
Và để có thêm tín dụng, bạn có thể nhận thấy rằng ảnh chụp màn hình dưới đây gần giống với ảnh chụp gần đầu, ngoại trừ trong đó một số mục trong danh sách không được đánh dấu màu hồng. Sự khác biệt là mặc định không bật tùy chọn Verify Code Signatures, Autoruns sẽ chỉ cảnh báo bạn với hàng màu hồng nếu không có thông tin nhà xuất bản nào tồn tại.
Phân tích một hệ thống ngoại tuyến (như trong việc gắn một ổ đĩa cứng cho một máy tính khác)
Hãy tưởng tượng rằng máy tính của bạn bè của bạn hoàn toàn bị rối loạn và sẽ không khởi động hoặc chỉ khởi động chậm đến nỗi bạn không thể thực sự sử dụng nó. Bạn đã thử các tùy chọn khôi phục và chế độ an toàn như Khôi phục Hệ thống, nhưng nó không quan trọng vì nó không sử dụng được.
Thay vì kéo thẻ “cài đặt lại”, thường chỉ là thẻ “Tôi từ bỏ”, bạn có thể rút ổ cứng ra và nối nó vào máy tính hoặc máy tính xách tay với ổ cắm USB cứng tiện dụng. Bạn có một, phải không? Sau đó, bạn chỉ cần tải lên Autoruns và vào File -> Analyze Offline System.
So sánh với máy tính khác (hoặc cài đặt sạch trước đó)
Tùy chọn File -> Compare dường như không có gì khác, nhưng nó có thể là một trong những cách mạnh mẽ nhất để phân tích PC và xem những gì đã được thêm vào kể từ lần cuối bạn quét hoặc so sánh với PC đã biết.
Để sử dụng tính năng này, chỉ cần tải lên Autoruns trên PC bạn đang cố gắng kiểm tra, hoặc sử dụng chế độ Offline chúng tôi đã mô tả trước đó, sau đó đi đến File -> Compare. Mọi thứ đã được thêm vào kể từ phiên bản tệp được so sánh sẽ hiển thị bằng màu xanh lá cây tươi sáng. Nó đơn giản như vậy. Để lưu phiên bản mới, bạn sẽ sử dụng tùy chọn Lưu tệp ->.
Nhìn vào các tab
Như bạn đã thấy cho đến nay, Autoruns là một tiện ích rất đơn giản nhưng mạnh mẽ mà hầu như có thể được sử dụng bởi hầu hết mọi người. Ý tôi là, tất cả những gì bạn phải làm là bỏ chọn một hộp, đúng không? Tuy nhiên, hữu ích khi có thêm một số thông tin về ý nghĩa của tất cả các tab này, vì vậy chúng tôi sẽ cố gắng và giáo dục bạn tại đây.
Trang tiếp theo: Đăng nhập, Tác vụ theo lịch và tấn công hình ảnh
