1. Kết quả Event Ghost 2016


    Dưới đây là danh sách những thành viên đoạt giải thưởng trong Event Ghost 2016

Autoruns for Windows - Vô hiệu hoá ứng dụng/mã độc tự chạy cùng Win để bảo vệ và tối ưu hệ thống

Thảo luận trong 'Thủ Thuật Máy Tính' bắt đầu bởi mr.trung91, 10 Tháng tám 2012.


  1. mr.trung91

    mr.trung91 Member Tích Cực

    239
    210
    43
    Hệ điều hành Windows nạp tất cả các chương trình và mã thực thi tự động bằng nhiều cách khác nhau. Các bạn có thể nhận biết điều này khi thấy các ứng dụng xuất hiện khi khởi động vào Windows, đặc biệt là tại khay hệ thống trên thanh tác vụ. Để quản lý hay vô hiệu hoá những thành phần này, các bạn có thể sử dụng công cụ được Microsoft tích hợp sẵn trong Windows là MSConfig.

    Khi các bạn muốn tắt bớt các ứng dụng tiêu tốn nhiều tài nguyên gây ra hiện tượng chậm máy, hay loại bỏ những thành phần độc hại khởi động cùng hệ thống, thì MSConfig tỏ ra không hỗ trợ hiệu quả lắm. Mình giới thiệu với các bạn một giải pháp hoàn hảo hơn cả, đó là công cụ Autoruns do Sysinternals phát triển chia sẻ miễn phí và đã được Microsoft mua lại cung cấp cho người dùng của mình. Chính vì được Microsoft hỗ trợ, nên nó có những thế mạnh mà các công cụ khác có thể không có được.

    Các bạn tải công cụ tại đây:

    Autoruns giúp chúng ta nhanh chóng phân tích một hệ thống Windows đang hoạt động hay đang không hoạt động để tìm ra các chương trình được thiết lập để tự động khởi động cùng Windows hay thậm chí các phần mở rộng được nạp trực tiếp vào trong tiến trình của Windows như Internet Explorer (vốn được biết như những cách phổ biến nhất cho những phần mềm độc hại ẩn náu mà rất khó bị phát hiện). Công cụ này cũng giúp giảm số lượng các chương trình tự động khởi động để tăng hiệu suất hệ thống.

    Autoruns cần được chạy với quyền Administrator tối cao để thực hiện các thay đổi cần thiết. Để làm điều này, kích chuột phải vào autoruns.exe và chọn Run as Administrator (hoặc Run as trong Windows XP, chọn một tài khoản với đầy đủ các quyền quản trị - thường là trong nhóm Administrators group).

    Công cụ nhỏ gọn và không cần cài đặt. Khi kích hoạt chương trình, thẻ Everything (mọi thứ) được mở theo mặc định, và bạn sẽ thấy tất cả các mục autorun được liệt kê. Ngoại trừ Winsock, các mục khác các bạn có thể vô hiệu hoá hoặc xoá bỏ tuỳ chọn tự động khởi động tại đây. Nếu không thể tắt hay xoá một cách bình thường, tức là có lý do khác sẽ nói sau.

    [​IMG]

    Vậy các thông tin này đến từ đâu? Sự thật là có rất nhiều địa điểm trong Windows Registry và trong file hệ thống có thể sử dụng để khởi chạy một ứng dụng. Thử ví dụ, thư mục Startup mà các bạn có thể tìm thấy trong Start Menu. Các ứng dụng (hoặc shortcut) trong thư mục này đều khởi động cùng Windows. Tương tự như vậy, các mục được đăng ký trong Windows Registry dưới key:
    Code:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    cũng sẽ được khởi động cùng Windows...

    Như đã nói ở trên, có rất nhiều ứng dụng và phần mở rộng cho tất cả các loại chương trình trong thực tế có thể được cài đặt tự động khởi động theo cách này hay cách khác (thậm chí kết hợp nhiều cách cùng nhau). Autoruns quét thông qua một chỉ số rất toàn diện của các địa điểm này và báo cáo lại kết quả cho người sử dụng.

    Sau đó người dùng có thể quyết định vô hiệu hóa / xóa các ứng dụng, lưu một bản danh sách tự động chạy chuẩn trên hệ thống khi đó và sau đó so sánh nó sau khi bị nhiễm phần mềm độc hại hay cài đặt các ứng dụng sau đó. Rất đơn giản để sử dụng, nhưng nó là một công cụ rất mạnh mẽ. Vì thế, chúng ta hãy cùng xem làm thế nào để khai thác thật tốt nó nhé :)?

    1. Lọc ra các mục tự động khởi động của các sản phẩm thuộc Microsoft & Windows và xác nhận mã chữ ký điện tử:

    Autoruns sẽ hiển thị rất nhiều kết quả chạy tự động liên quan đến Microsoft và Windows. Tất nhiên, điều này có thể rất hữu ích. Tuy nhiên, nếu bạn đang tìm kiếm cho kết quả từ phần mềm của bên thứ ba mà bạn đã cài đặt (hoặc phần mềm độc hại độc hại đã được cài đặt trên hệ thống), bạn có thể muốn lọc ra các mục thuộc về Windows và Microsoft.

    Nhấp vào Options và bạn sẽ thấy một số lựa chọn. Theo mặc định, kết quả với các địa điểm trống không được hiển thị (vì chúng không có tác dụng), thể hiện qua tùy chọn đầu tiên không được đánh dấu. Bây giờ bạn sẽ thấy rằng bạn còn có ba lựa chọn khác tiếp theo:

    • Hide Microsoft and Windows Entries - Tùy chọn này không được chọn theo mặc định. Nếu được chọn, nó sẽ ẩn các mục của cả Windows với các mục khác của Microsoft.
    • Hide Windows Entries - Tùy chọn này được chọn theo mặc định. Tùy chọn này chỉ ẩn đi các mục của HĐH Windows. Nếu bạn bỏ chọn tùy chọn, kết quả sẽ hiển thị đầy đủ và nhiều hơn bình thường. Khi đó, bạn sẽ khó đánh giá hơn.
    • Verify code signatures - Tùy chọn này không được chọn theo mặc định. Nếu được chọn, đây sẽ là một tùy chọn hữu ích hơn giúp bạn nhanh chóng xác định được các tiến trình độc hại. Các tiến trình được xác minh tin cậy qua chữ ký số được đánh dấu Verified dưới tab Publisher. Nếu một tiến trình không được đánh dấu Verified, nó cần được nghi ngờ và xem xét
    Đó là khuyến cáo, nhưng nó hoàn toàn là sự lựa chọn của bạn. Hình dưới đây Mình minh họa với tùy chọn ẩn đi những mục của Windows và Microsoft cũng như đã chọn xác minh chữ ký số của các tiến trình:

    [​IMG]

    2. Vô hiệu hóa/Xóa bỏ các mục nạp tự động và tìm kiếm thông tin tham khảo trực tuyến

    Autoruns cho phép bạn có thể xóa bỏ hoặc vô hiệu hóa các mục nạp tự động. Nếu bạn chọn để xóa, bạn nên biết rằng đây là một thay đổi vĩnh viễn. Nếu bạn chỉ muốn vô hiệu hóa một tùy chọn để ngăn không cho nó tự động khởi động, bạn đơn giản bỏ chọn tùy chọn. Bất kỳ mục mà bạn quyết định vô hiệu hóa có thể được phục hồi bằng cách đơn giản chạy Autoruns và chọn lại ô kiểm tùy chọn trước nó một lần nữa.

    Chú ý rằng trong thực tế có rất nhiều trường hợp tồn tại những mục chạy tự động trỏ tới các ứng dụng/phần mở rộng bị lỗi, đã bị xóa bỏ/gỡ bỏ khiến máy tính trở nên chậm chạp rất đáng kể, thậm chí là gây lỗi ngay trên các phiên làm việc của Windows Explorer. Tương tự, đối với các mục mà bạn chắc chắn không muốn để startup lại nó nữa. Khi đó, lệnh xóa bỏ vĩnh viễn các mục này là hết sức cần thiết. Để xóa bỏ, các bạn click vào mục chọn, bấm phím Delete, hoặc tổ hợp phím Ctrl+D, hoặc phải chuột chọn Delete (Cứ cái nào mà file not found thì delete cho mình :D):

    [​IMG]

    Với một hạng mục nào đó gợi lên sự nghi ngờ, bạn có một tùy chọn Search Online (Tìm kiếm trực tuyến). Tùy chọn này sẽ khởi chạy trình duyệt mặc định của bạn sử dụng cũng với công cụ tìm kiếm mặc định của bạn. Điều này có thể cung cấp cho bạn thêm một số đầu mối và hướng xử lý tốt cho vấn đề (phần mềm độc hại đã được biết đến, lỗi phần mềm có thể được xác định với một bản cập nhật,... được phản ánh bởi người dùng hay cung cấp bởi nhà phát hành).

    3. Nạp tự động khi bạn đăng nhập Windows - tab Log on

    Nhìn vào kết quả dưới tab "Everything" rõ ràng là tổng quát nhất. Nhưng nếu bạn có một ý tưởng cụ thể về những gì bạn đang tìm kiếm, các tab được cung cấp bởi chương trình có thể giúp bạn tiết kiệm một số thời gian.

    Tab đầu tiên chúng ta sẽ xem xét là Logon. Kết quả bạn sẽ thấy ở đây là những chương trình được thiết lập để khởi động tự động khi bạn đăng nhập Windows. Những kết quả này được tập hợp từ các khóa Run trong Registry:
    Mã:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    
    Công cụ cũng kiểm tra các thư mục StartUp và địa điểm khởi chạy ứng dụng tiêu chuẩn.

    [​IMG]

    Nếu bạn đang tìm kiếm để ngăn chặn một chương trình chạy ngay sau khi bạn đăng nhập, thì đây là nơi mà nó có thể sẽ được liệt kê bởi Autoruns. Những mục có thể được khởi động tương tự nhưng không được liệt kê do đang "trống", các bạn có thể xem tham khảo bằng cách click Options, click chọn tùy chọn Include Empty Locations rồi bấm phím F5 để xem lại kết quả:

    [​IMG]

    4. Nâng cao hiệu suất Windows Explorer - tab Explorer

    Khi bạn cài đặt WinRAR, khi phải chuột một file chưa nén bạn sẽ các tùy chọn mà WinRAR cung cấp, ví dụ như Add to archive.... Tương tự đối với các ứng dụng khác. Đối với một ứng dụng không tốt hoặc bị lỗi/bị xóa bỏ, hay thậm chí trường hợp khác khi danh sách menu ngữ cảnh trở nên quá nhiều, mỗi khi click phải chuột tập tin/thư mục bạn lại thấy Explorer treo trong một thời gian dài mới đáp ứng yêu cầu. Khi đó, bạn có thể thử vô hiệu hóa các tùy chọn menu ngữ cảnh trong danh sách này để tìm ra nguồn gốc phát sinh vấn đề.

    [​IMG]

    5. Kiểm soát phần mở rộng của Internet Explorer - tab Internet Explorer

    Trong khi giảm thị phần đáng kể trong những năm gần đây, Internet Explorer của Microsoft vẫn là trình duyệt Internet được sử dụng rộng rãi nhất. Cũng giống như các trình duyệt khác, Internet Explorer có thể sử dụng phần mở rộng. Có những phần mở rộng được cung cấp với nhiều tính năng hỗ trợ cho trình duyệt khi cài đặt các ứng dụng. Bên cạnh đó cũng có những phần mở rộng gây phiền nhiễu, khó chịu cho người dùng mà có thể được cài đặt cho Internet Explorer và thiết lập để tự động được sử dụng.

    Điều tương tự cũng áp dụng đối với đối tượng trợ giúp trình duyệt (BHOs), và tất nhiên, các thanh công cụ. Phổ biến các thanh công cụ bao gồm Thanh công cụ của Yahoo, Thanh công cụ Google và Thanh công cụ Bing. Rất nhiều trường hợp, thanh công cụ được cài đặt do sơ ý, hoặc tất nhiên, bởi phần mềm độc hại. Và điều này cũng không phải là luôn luôn rõ ràng để người dùng biết cách mau chóng ngăn chặn các hiển thị/hoạt động không mong muốn này.

    Autoruns kiểm tra hệ thống cho BHOs, Thanh công cụ và Tiện ích mở rộng và thể hiện ra kết quả. Một lần nữa, bạn có thể vô hiệu hóa hoặc xóa bất kỳ kết quả nào mà bạn muốn. Điều này thậm chí có thể giúp bạn tìm ra nguyên nhân khiến Internet Explorer gặp bất ổn nếu bạn vô hiệu hóa lần lượt từng mục một và khởi động lại trình duyệt để xác nhận vấn đề đã được xử lý hay chưa?

    Trong hình minh họa dưới đây, UWeb.exe là một vấn đề. Thậm chí ngay cả tiến trình của Windows Messenger cũng không nhất thiết phải để chạy tự động nếu không cần tới để tiết kiệm tài nguyên máy. Và các bạn có thể kiểm tra lại máy của mình, rất có thể danh sách này đang dài hơn ví dụ của Mình khá nhiều:

    [​IMG]

    Các chức năng còn lại các bạn có thể tự tìm hiểu, hoặc mình sẽ viết thêm vào 1 thời gian khác
     

Chia sẻ trang này