1. Kết quả Event Ghost 2016


    Dưới đây là danh sách những thành viên đoạt giải thưởng trong Event Ghost 2016

Sửa lỗi không mở được file .exe, cưỡng bức khôi phục công cụ hệ thống (Regedit, Task Manager,...) bằ

Thảo luận trong 'Thủ Thuật Máy Tính' bắt đầu bởi iamank, 7 Tháng tám 2012.


  1. iamank

    iamank Member Danh Tiếng

    823
    164
    0
    File dùng ngay
    Show Spoiler
    Như các bạn đã biết, có rất nhiều nguy cơ mang lại từ hành động Autorun trên HĐH Windows XP, mà tác nhân là file autorun.inf. Microsoft đã cung cấp cho chúng ta hai thiết lập NoDriveAutoRun và NoDriveTypeAutoRun để vô hiệu tính năng AutoRun (cũng như AutoPlay). Nhưng không, người dùng tiếp tục bị thử thách. Microsoft tự động đặt lại giá trị mặc định của NoDriveTypeAutoRun trên các máy tính chạy Windows Server 2003, Windows XP hay Windows 2000 sau khi chúng gia nhập Active Directory domain (http://support.microsoft.com/kb/895108). Chưa hết, thay vì ngưng mọi hoạt động AutoPlay nếu giá trị NoDriveTypeAutoRun cấm điều đó thì Windows lại âm thầm phân tích tệp Autorun.inf và thực hiện tất cả những gì đọc được trừ thao tác cuối cùng là gọi hộp thoại AutoPlay hay thực thi chương trình ứng dụng, và Microsoft đã phải cung cấp bản vá từ tháng 8/2008. Chính vì sự không nhất quán này, những người dùng chưa cập nhật bản vá cần thiết mà đã chỉnh sửa registry để tắt tính năng AutoRun đã tự “nộp mình cho virus xơi”. Trong 4 kiểu lây lan của virus (1 - Lây ngay lập tức; 2 - Lây qua hộp thoại Autoplay (dễ bị phát hiện); 3 - Lây khi người dùng nhấn đúp vào ổ đĩa; 4 - Lây khi người dùng chọn trình đơn ngữ cảnh của ổ đĩa), việc tắt tính năng AutoRun nửa vời chỉ chặn hai cách lộ liễu nhất. Khi đó, virus không cần phải tự động thi hành khi thiết bị nhớ USB được cắm vào máy hay thêm một mục đánh lừa vào hộp thoại AutoPlay, chúng chỉ cần báo cho Windows các hoạt động cần thực hiện khi người dùng mở ổ đĩa (nhấn đúp hay chọn Open từ trình đơn ngữ cảnh) rồi ung dung “nằm đợi”. Những lời khuyên không nhấn đúp vào biểu tượng ổ đĩa trong Windows Explorer trở nên thừa thãi vì dù bạn có nhấn chuột phải và chọn Open từ trình đơn ngữ cảnh thì cũng vẫn dính virus (trừ một vài loại “nhân đạo”). Hậu quả tệ hại nhất của việc tắt tính năng AutoRun “giả” là người dùng bị nhiễm virus mà vẫn tin rằng mình thông minh, miễn nhiễm với chúng.
    Dù AutoPlay đã được Microsoft cải tiến nhưng vẫn không khắc phục được hết những lỗ hổng bảo mật. Lựa chọn tối ưu cho người dùng là tắt hẳn tính năng AutoRun. Tài liệu How to disable the Autorun functionality in Windows (http://support.microsoft.com/kb/967715/) cho biết để đảm bảo vô hiệu tính năng Autorun, chúng ta cần cài đặt một bản cập nhật (nếu không thể cài đặt bản cập nhật KB967715 thành công, các bạn có thể cài đặt bản KB950582 thay thế) trước khi sửa giá trị NoDriveTypeAutoRun trong Registry hay sử dụng Group Policy (nếu chọn cách sửa NoDriveTypeAutoRun, hãy đặt giá trị 255 cho nó để cấm Autorun trên tất cả các ổ đĩa; các thiết bị nhớ USB U3 đã lừa Windows bằng cách thông báo nó vừa là thiết bị nhớ USB vừa là CD). Hơn thế nữa, tài liệu này còn chỉ cho chúng ta đường dẫn trỏ tới phương pháp cấm hẳn việc sử dụng các thiết bị nhớ USB. Tuy nhiên, đó là một câu chuyện khác.

    Vì cách làm do Microsoft hướng dẫn tương đối phức tạp và mất thời gian, nay xin giới thiệu một cách đơn giản hơn, cách này xuất hiện lần đầu trên blog của Nick Brown và đã được Đội ứng cứu máy tính khẩn cấp của Mỹ - US CERT dẫn lại (Vulnerability Note VU#889747, http://www.kb.cert.org/vuls/id/889747), và trên Windows PowerShell Blog cũng dẫn lại (http://blogs.msdn.com/powershell/arc...torun-inf.aspx), vì thế các bạn có thể an tâm sử dụng. Ngoài ra, Lãng khách đồng thời bổ sung các giá trị trong Registry một cách cưỡng bức, nhằm khôi phục hầu hết các công cụ hệ thống như Regedit, Task Manager, Run command, hiện files và folders ẩn & siêu ẩn, hiện phần mở rộng của file thực thi giả mạo file an toàn (file .exe giả mạo file .txt, file .png, .jpg, file thực thi giả mạo thư mục,...),...
    Đồng thời file Lãng khách cung cấp cũng sẽ giúp khôi phục các lỗi như không thể chạy được các ứng dụng .exe, .bat, .com, .reg, .scr,... là những định dạng file phổ biến để giúp khôi phục tính năng hệ thống (như các bạn đã biết, khi virus tắt Registry, nếu không chạy được file .exe, không chạy được file .reg, thì dĩ nhiên là các bạn khó có cách nào để can thiệp trở lại hệ thống nhằm khắc phục sự cố).

    Vậy các bạn phải làm tất cả những gì? Rất đơn giản. Các bạn có 2 lựa chọn:

    Phương án 1:

    Show Spoiler
    1. Tải file đính kèm LangkhachFIX.inf.zip bên dưới về Desktop, phải chuột chọn Rename, xóa bỏ phần mở rộng .zip đi để tên file chỉ còn lại là LangkhachFIX.inf (do diễn đàn không để đính kèm file có phần mở rộng là .inf nên Lãng khách đổi tên để đính kèm vào bài viết được, đây là cách ngày xưa Lãng khách nghĩ ra và áp dụng để đính kèm file .exe vào G-mail ). (Dưới đây là 2 file giống nhau, một file dành cho trường hợp còn có thể xả nén bình thường, là file .zip ở trên):
    2. Phải chuột file LangkhachFIX.inf trên Desktop và chọn Install. Tất cả các thiết lập đã có tác dụng ngay. Tuy nhiên, bạn sẽ phải bấm F5 để Refresh màn hình làm việc (tại Folder bất kì, sẽ có tác dụng trong Folder đó) để thấy hiệu quả. Nếu bạn không muốn thủ công, trên Windows XP, click Start/Run, gõ tskill EXPLORER (ENTER) hoặc trên Windows Vista/7, click Start, gõ tskill EXPLORER (ENTER) là OK ngay lập tức (đây là thủ thuật Lãng khách vẫn ứng dụng để xác lập Registry có tác dụng ngay lập tức thay vì các lời khuyên các bạn vẫn nhận được là phải Restart máy tính hay phải Log off rồi Log on trở lại mới thấy tác dụng).
    Sau đó, các bạn có thể thoải mái sử dụng công cụ hệ thống hay các công cụ như .exe để tiếp tục khắc phục sự cố.


    Phương án 2:

    Show Spoiler
    Các bạn copy đoạn code dưới đây vào NotePad, Save as... với filename là LangkhachFIX.inf rồi thao tác như từ bước 2 ở Phương án 1. Tuy nhiên, Lãng khách vẫn lưu ý các bạn, trường hợp bị lỗi không mở được file .exe, các bạn sẽ không thể mở được NotePad theo cách thông thường, và lúc này Phương án 1 sẽ phát huy hiệu quả.

    Mã:
    [Version]
    Signature="$Windows NT$"
    Provider=LangkhachBkavForum
    
    [DefaultInstall]
    DelReg=LangkhachDel
    AddReg=LangkhachAdd
    
    [LangkhachDel]
    HKCU, Software\Classes\.exe
    HKCU, Software\Classes\secfile
    HKCR, secfile
    HKCR, .exe\shell\open\command
    
    [LangkhachAdd]
    HKCR, exefile\shell\open\command,,,"""%1"" %*"
    HKCR, .exe,,,"exefile"
    HKCR, .exe,"Content Type",,"application/x-msdownload"
    HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
    HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x10001,0
    HKCU, Software\Policies\Microsoft\Windows\System,DisableCMD,0x10001,0
    HKLM, Software\Microsoft\Windows NT\CurrentVersion\SystemRestore,DisableSR,0x10001,1
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt,0x10001,0
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Hidden,0x10001,1
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x10001,1
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr,0x10001,0
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions,0x10001,0
    HKCU, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserOptions,0x10001,0
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun,0x10001,0
    HKLM, Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf,,,"@SYS:KhongKhongThay"
    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x10001,255
    HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files,*.*,0x0
    HKLM, System\CurrentControlSet\Services\ShellHWDetection,Start,0x10001,4


    Chúc các bạn thành công !

    Nguồn:
     
    aoe1991, root and namvercy like this.
  2. namvercy

    namvercy Member Chính Thức

    72
    24
    8
    Tên thật:
    Dương Đăng Nam
    Đã đọc cái này bên BF lâu rồi :D
     
  3. iamank

    iamank Member Danh Tiếng

    823
    164
    0
    Um nó lâu nhưng sẽ mới với những ai chưa biết :P
    Tại thấy hay + thêm làm nguồn cho diễn đàn mình nên mặc cho cũ, mới miễn hay là đem về :)
     
  4. Nguyen13000

    Nguyen13000 Member Chính Thức

    68
    17
    0
    cưởng bức :)| dùng từ bá đạo ghê
     
  5. iamank

    iamank Member Danh Tiếng

    823
    164
    0
    Từ này nằm trong từ điển Tiếng Việt, là từ hay sử dụng trong ngôn ngữ giao tiếp chỉ do bạn dùng, nghĩ từ này ở 1 phương diện khác thôi. Chứ vật lí học ( sách giáo khoa của Bộ GD-DT ) cũng dùng từ này mà ... ví dụ : dao động cưỡng bức á :D
     
  6. aoe1991

    aoe1991 Quang MK

    2,782
    712
    113
    chiêu trò của bác LK thường là lạ và có phần nguy hiểm ... ;)) vậy nên, down về để xài thôi, k nghịch dại tinh chỉnh "thử" làm gì :-" :))
     
  7. iamank

    iamank Member Danh Tiếng

    823
    164
    0
    Phòng ngừa khi khẩn cấp ấy mà :P
     

Chia sẻ trang này