Win8.1PEx64 Full IDM - ESET, AVG, ... Avast, Bkav Pro, Antirvirut Full - Office Full - Flash Player Full Web với Firefox, Cốc cốc, Chrome - BB Flash Pro edit chuẩn - Driver Auto Full dùng chung cho tất cả các bản WinPE mới nhất hiện nay - English 80% :)
Sau đây mình xin trình bày những ưu khuyết điểm mà thủ thuật hổ trợ các bạn trong quá trình test virut về sau:
I. Về Ưu Điểm:
1. Bạn test virus trên môi trường winpe là điều kiện lý tưởng, vì khả năng miễn nhiễm virut rất cao, dữ liệu của bạn được đảm bảo an toàn. Cụ thể mình lỡ chạy con Win32 Sality 3 khi mình xem task manager bị khóa mình liền khởi động lại winpe là các file.exe mình đã an toàn nó không hề bị lây lan và làm hỏng các file thực thi trên hdd của mình. 2. WinPE test và xóa các dòng autorun khá chuẩn. Khi bạn phát hiện trên hệ điều hành windows gốc bị khóa task manager, chậm máy, thỉnh thoảng mất kết nối internet, blue screen (dump xanh màn hình) ... việc đơn giản bạn boot vào winpe tìm file autorun.inf và mở lên với notepad bạn xem code bên trong nó. Mình ví dụ:
Nhìn sơ qua code chắc các bạn đã biết file ffhsp.exe chính là virut việc còn lại bạn chỉ cần tìm đúng tên nó trên các ổ đĩa và xóa cùng với file autorun.inf là xong nhé! Các bạn có thể nén nó lại hay đóng gói theo cách mình để lưu mẫu gửi bkav hay làm bộ sưu tập cho riêng bạn nhé!
Tùy vào dòng virut mà chức năng phá hoại nó ít hay nhiều nếu sau khi xóa
các file virut trên mà máy bạn vẫn có những triệu chứng bất thường thì
bạn nên cài lại windows. Sau khi cài win xong các bạn có thể quét virus
sau cũng chưa muộn. Nếu là kỹ thuật mình khuyên nên cài lại win là nhanh
nhất. Về lỗi dump xanh màn hình có rất nhiều nguyên nhân các bạn nhé
thường là do ổ cứng bad, lỗi mbr, do virut, ram hở hay rỉ sét, card màn
hình hỏng ... Cách nào mất thời gian ít thì bạn nên kiểm tra trước nha!
Bạn đủ kinh nghiệm và chắc chắn thì tùy bạn quyết định vậy.
3. Đối với những dòng virut cực kỳ nguy hiểm như hiện nay là ransomware wannacry, petya, cerber3 ... thì việc bạn test trên winpe là giải pháp an toàn nhất, sau đây mình xin đi vào chi tiết:
Sau khi vào winpe bạn nên tiến hành copy các file virus và các file mẫu
cần test sang ổ đĩa X, hay ổ Ram Disk mà tùy ở mỗi bản winpe có hổ trợ.
Bạn cũng có thể dùng usb hay box hdd riêng để tiện việc sao chép file
trước khi chạy virut nhé!
H3. Sau khi copy các file xong bạn chạy bootice trên ổ đĩa X hay ổ RamDisk, tại mục Destination Disk bạn chọn ổ hdd/usb cần ẩn để bảo vệ dữ liệu và click Parts Manage. Bạn cũng có thể thoát box hdd/usb an toàn như bình thường nếu không muốn ẩn vẫn được nhé!
H4. Bạn chọn phân vùng cần ẩn để bảo vệ click Hide và OK.
H5, H6 ổ đĩa E và F của mình đã được ẩn.
Sau khi ẩn hay thoát tất cả ổ đĩa dữ liệu quan trọng của bạn. Bạn tiến
hành click virut và chạy. Ảnh mình ví dụ con wannacry.exe đang hoạt
động. H7, H8.
H9 mình kiểm tra khả năng mã hóa file của ransomware wannacry và
hậu quả là hầu hết file mình đều bị mã hóa. Ngoại trừ file.exe và vài
file khác.
H10, H11 mình chuyển đổi thứ tự phân vùng thành ổ A và ổ B nên wannacry không thể mã hóa file. 4(*)
H12. Sau khi test virut xong các bạn có thể đóng gói file virus
lại, upload lên internet và gửi mẫu sang bkav hay làm bộ sưu tập riêng
tùy ý bạn nhé!
* Về việc mã hóa file của wannacry cũng còn giới hạn ở những định dạng khác nhau, các bạn có thể tải những định dạng file sau đây
để lưu trữ an toàn trước wannacry nhé! Đặc biệt mình xin gợi ý để bảo
vệ mọi định dạng file bạn an toàn trước hầu hết các loại virut là bạn
nên xóa mất tên đuôi file luôn nha! Mình ví dụ tên này: Wannacry là ransomware cực kỳ nguy hiểm
Hay mình vd cách này để bạn dễ tìm kiếm file mình cần: Wannacry là ransomware cực kỳ nguy hiểm.docxdocx
Định đạng .docxdocx lặp lại nhiều lần gì đấy tùy bạn miễn sao không phải là định dạng gốc .docx thì wannacry hay bất kỳ loại ransomware, virus, ... nào cũng pó tay cả ạ!
4.(*)
Khoản sơ hở không kém phần hấp dẫn mà wannacry lỡ quên add list mã hóa
file trên thứ tự phân vùng tên A và B. Mình ví dụ các ảnh sau:
H1. Mình click phải chuột vào ThisPC hay Computer tùy máy bạn và chọn Manage
H2, H3 mình chọn phân vùng cần chuyển đổi tên thứ tự thành ổ A và ổ B
H4. Là kết quả mình chuyển đổi thành công.
Hiện tại mình chưa dám chắc việc đổi tên thứ tự phân vùng như trên tránh
khỏi việc mã hóa hư hỏng file với các dòng ransomware crypt khác. Các
bạn nên căn nhắc cẩn thận khi dùng cách này áp dụng trực tiếp trên
windows nhé!
II. Về Khuyết Điểm:
* Việc bạn lỡ quên ẩn phân vùng với bootice thì hậu quả cũng tương tự
bạn chạy virut trực tiếp trên hệ điều hành chính, và mình cũng không
phải là thiên tài để làm tốt việc này
* Việc bạn quên Unhide để hiện phân vùng với bootice thì icon và tên ổ
đĩa sẽ trở về trạng thái mặc định (việc này không ảnh hưởng đến bất kỳ
dữ liệu nào của bạn nhé!).H1
Điểm cực kỳ quan trọng là khi phân vùng bạn đang ẩn trước đó thì việc
bạn boot vào tiếp winpe để Unhide (làm hiện lại phân vùng) rồi click
Hide ẩn tiếp lại thì WinPE Explore sẽ hiện lên 2 phân vùng giống y đúc
nhau. Nếu bạn chạy virut ngay thì việc ẩn phân vùng lần này sẽ vô tác
dụng và file bạn sẽ bị lây nhiễm như H1, H2, H3
* Để khắc phục khuyết điểm trên
tất nhiên sau khi test virut lần 1 xong bạn sẽ không Unhide hiện lên
phân vùng cho virut lây sang dữ liệu ngay lúc đó, mà bạn nên khởi động
lại winpe để trở về trạng thái an toàn, rồi bạn hãy Unhide cho phân vùng
ẩn hiện lên. Và bạn khởi động winpe thêm lần nữa để bắt đầu việc test
virut lần 2 nhé!
Sandbox test virus có những ưu việt riêng của họ. Việc test virut cũng
tiềm ẩn nhiều nguy cơ hay có bạn nói đó là con dao hai lưỡi cả thử thách
tử thần cũng đúng. Quan trọng hơn là cách bạn thao tác file, bạn không
click đúp chuột vào file virut.exe trên windows thì virut rất khó có cơ
hội để hoạt động. Các bước trên bạn đã xử lý tốt hy vọng bạn sẽ có nhiều
sáng kiến hay cho riêng mình và góp phần phát triển nền công nghệ thông
tin nước nhà nhé!
Rất mong các bạn ủng hộ và góp ý thêm giúp mình nhé! Xin chân thành cảm ơn các bạn đã quan tâm ạ!
* File test các loại virut khác nhau các bạn tải link sau nhé!
* Flash Desktops 2 Professional là chương trình quản lý màn hình desktop đối với các ứng dụng như Firefox, Chrome, Media Player ... ta có thể ẩn dễ dàng và nhanh chóng với tổ hợp phím tắt mà ta định sẵn như :
Ctrl + Shift + A -> ẩn nhanh các ứng dụng dưới thanh taskbar
Ctrl + Shift + S -> hiện nhanh các ứng dụng dưới thanh taskbar
Ctrl + Shift + D -> ẩn nhanh các ứng dụng dưới thanh taskbar đối với các ứng dụng mở sau
Ctrl + Shift + N -> tiến đến theo thứ tự A,S,D,N or 1,2,3,4 ...
Ctrl + Shift + P -> lui dần theo thứ tự N,D,S,A or 4,3,2,1 ...
Alt + 1 -> ẩn nhanh các ứng dụng dưới thanh taskbar
Alt + 2 -> hiện nhanh các ứng dụng dưới thanh taskbar
Alt + 3 -> ẩn nhanh các ứng dụng dưới thanh taskbar đối với các ứng dụng mở
Ctrl + Shift + C -> ẩn/hiện chương trình FlashDesktops (FD) đang chạy
Ctrl + Shift + E -> tắt chương trình FD nhanh chóng
Ctrl + Shift + Q -> phím tắt mở nhanh FD để tuỳ chỉnh
Ctrl + Shift + W -> Thẻ All wnds in the OS cho phép ẩn/hiện các ứng dụng đang chạy
* Thẻ Action / Config. / Help :
+ Remember windows placement at shutdown -> Nhớ vị trí các cửa sổ lúc tắt máy
+ Cycle Around on prev/next hotkeys -> Chọn chu kỳ khoảng trên trước / phím nóng tiếp theo
+ Use strong SetForeground Window under Win2000+ -> Chương trình chạy tốt từ Windows 2000 trở lên
+ Keep taskbar button order - [ Experimental ] -> Giữ thiết lập trật tự nút trên thanh tác vụ - [đang thử nghiệm ]
+ Number of desktop từ 1 đến 8 -> Là mục Action cho phép ta chuyển đổi copy hay di chuyển nội dung mà chương trình quản lý.
Exchange content of current desktop with the following -> Nội dung trao đổi máy tính để bàn hiện nay như sau
Move the content of the current desktop to the following one -> Di chuyển các nội dung của máy tính để bàn hiện tại vào một sau
Copy the content of the current desktop into the following one -> Sao chép nội dung của máy tính để bàn hiện nay vào một sau:
Xin bạn vui lòng xem video tại thời điểm 06p:00s
II. Các tính năng nâng cao :
Các bạn tham khảo thêm rồi góp ý giúp mình nhé
Video test FlashDesktops
Để chương trình chạy tốt trên Windows 7/8/8.1 32bit và 64bit các bạn chạy với quyền Administrator nhé
