Bản Win8.1PE x64 này chạy rất ổn định các trình duyệt web và bạn có thể cài nhiều chương trình khác tương tự bản WinPE Siêu Cấp trước đây ạ! Hiện tại đây là bản china các bạn nhé!
* Link tải về đây ạ! http://bit.ly/ramospe
* Bản English 80% trước đây
Bạn giải nén tất cả các tập tin Boot_UEFI_LEGACY - Extract For USB.7z đặt trong đường dẫn gốc trên usb / hdd.
Bạn tạo thư mục XMPE trên usb / hdd và đặt tên tệp wim cần chạy WinPE: Win8PEx64.wim
XMPE \ Win8PEx64.wim
Đây là trình điều khiển tự động chung cho tất cả các ứng dụng WinPE hiện tại. Bạn tạo thư mục APPS trên usb / hdd và đặt tên cho tệp hình ảnh để tạo đĩa ảo là Drisoft.iso
APPS \ Drisoft.iso
Tập tin 外置 程序 .zip 437MB bạn giải nén và đặt trong đường dẫn gốc trên usb / hdd.
Ramos8.1.iso bạn đặt trong đường dẫn gốc trên usb / hdd.
~ * ~ Bạn thêm đoạn code sau vào file menu.lst để (Boot Legacy) ~ * ~
ImDisk Full WinPE Không Ghi Đè và Không Chạy Driver File CMD * Không Ghi Đè là file "ImDisk WinPE.exe" bên trong file exe gốc mình nén các file driver lại theo đường dẫn:
%windir%
Nhầm tránh lỗi phát sinh ghi đè làm driver gốc trên winpe bị mất nên mình tùy chọn chỉ làm mới file sẽ an toàn và hiệu quả hơn.
* Không Chạy Driver File CMD là file "ImDisk WinPE.exe" bên trong có file Install.cmd nhưng mình không cho phép chạy do còn phát sinh lỗi ở các bản winpe dung lượng nhỏ. Đường dẫn để bạn chạy file cmd khi cần là:
%windir%\system32\Install.cmd
* File gốc ImDisk Full WinPE Ko Ghi De va Ko Chay File CMD.exe
Mình đóng gói theo đường dẫn sau :
%ProgramFiles%\ImDisk
Đối với những bản winpe được tích hợp sẵn ImDisk Virtual Disk Driver
thì các bạn nên chạy bản trên là hợp lý nhất. Chúc các bạn thành công nhé!
B1. Các bạn cài AutoIT trước theo link mình đính kèm bên dưới nhé ! Sau khi bạn cài _Autoit-v3-setup.exe và _SciTE4AutoIt3.exe xong các bạn chạy shortcut SciTE Script Editor theo đường dẫn %ProgramFiles%\AutoIt3\SciTE\SciTE.exe hoặc %SystemDrive%\Program Files (x86)\AutoIt3\SciTE\SciTE.exe
Win8.1PEx64 Full IDM - ESET, AVG, ... Avast, Bkav Pro, Antirvirut Full - Office Full - Flash Player Full Web với Firefox, Cốc cốc, Chrome - BB Flash Pro edit chuẩn - Driver Auto Full dùng chung cho tất cả các bản WinPE mới nhất hiện nay - English 80% :)
Sau đây mình xin trình bày những ưu khuyết điểm mà thủ thuật hổ trợ các bạn trong quá trình test virut về sau:
I. Về Ưu Điểm:
1. Bạn test virus trên môi trường winpe là điều kiện lý tưởng, vì khả năng miễn nhiễm virut rất cao, dữ liệu của bạn được đảm bảo an toàn. Cụ thể mình lỡ chạy con Win32 Sality 3 khi mình xem task manager bị khóa mình liền khởi động lại winpe là các file.exe mình đã an toàn nó không hề bị lây lan và làm hỏng các file thực thi trên hdd của mình. 2. WinPE test và xóa các dòng autorun khá chuẩn. Khi bạn phát hiện trên hệ điều hành windows gốc bị khóa task manager, chậm máy, thỉnh thoảng mất kết nối internet, blue screen (dump xanh màn hình) ... việc đơn giản bạn boot vào winpe tìm file autorun.inf và mở lên với notepad bạn xem code bên trong nó. Mình ví dụ:
Nhìn sơ qua code chắc các bạn đã biết file ffhsp.exe chính là virut việc còn lại bạn chỉ cần tìm đúng tên nó trên các ổ đĩa và xóa cùng với file autorun.inf là xong nhé! Các bạn có thể nén nó lại hay đóng gói theo cách mình để lưu mẫu gửi bkav hay làm bộ sưu tập cho riêng bạn nhé!
Tùy vào dòng virut mà chức năng phá hoại nó ít hay nhiều nếu sau khi xóa
các file virut trên mà máy bạn vẫn có những triệu chứng bất thường thì
bạn nên cài lại windows. Sau khi cài win xong các bạn có thể quét virus
sau cũng chưa muộn. Nếu là kỹ thuật mình khuyên nên cài lại win là nhanh
nhất. Về lỗi dump xanh màn hình có rất nhiều nguyên nhân các bạn nhé
thường là do ổ cứng bad, lỗi mbr, do virut, ram hở hay rỉ sét, card màn
hình hỏng ... Cách nào mất thời gian ít thì bạn nên kiểm tra trước nha!
Bạn đủ kinh nghiệm và chắc chắn thì tùy bạn quyết định vậy.
3. Đối với những dòng virut cực kỳ nguy hiểm như hiện nay là ransomware wannacry, petya, cerber3 ... thì việc bạn test trên winpe là giải pháp an toàn nhất, sau đây mình xin đi vào chi tiết:
Sau khi vào winpe bạn nên tiến hành copy các file virus và các file mẫu
cần test sang ổ đĩa X, hay ổ Ram Disk mà tùy ở mỗi bản winpe có hổ trợ.
Bạn cũng có thể dùng usb hay box hdd riêng để tiện việc sao chép file
trước khi chạy virut nhé!
H3. Sau khi copy các file xong bạn chạy bootice trên ổ đĩa X hay ổ RamDisk, tại mục Destination Disk bạn chọn ổ hdd/usb cần ẩn để bảo vệ dữ liệu và click Parts Manage. Bạn cũng có thể thoát box hdd/usb an toàn như bình thường nếu không muốn ẩn vẫn được nhé!
H4. Bạn chọn phân vùng cần ẩn để bảo vệ click Hide và OK.
H5, H6 ổ đĩa E và F của mình đã được ẩn.
Sau khi ẩn hay thoát tất cả ổ đĩa dữ liệu quan trọng của bạn. Bạn tiến
hành click virut và chạy. Ảnh mình ví dụ con wannacry.exe đang hoạt
động. H7, H8.
H9 mình kiểm tra khả năng mã hóa file của ransomware wannacry và
hậu quả là hầu hết file mình đều bị mã hóa. Ngoại trừ file.exe và vài
file khác.
H10, H11 mình chuyển đổi thứ tự phân vùng thành ổ A và ổ B nên wannacry không thể mã hóa file. 4(*)
H12. Sau khi test virut xong các bạn có thể đóng gói file virus
lại, upload lên internet và gửi mẫu sang bkav hay làm bộ sưu tập riêng
tùy ý bạn nhé!
* Về việc mã hóa file của wannacry cũng còn giới hạn ở những định dạng khác nhau, các bạn có thể tải những định dạng file sau đây
để lưu trữ an toàn trước wannacry nhé! Đặc biệt mình xin gợi ý để bảo
vệ mọi định dạng file bạn an toàn trước hầu hết các loại virut là bạn
nên xóa mất tên đuôi file luôn nha! Mình ví dụ tên này: Wannacry là ransomware cực kỳ nguy hiểm
Hay mình vd cách này để bạn dễ tìm kiếm file mình cần: Wannacry là ransomware cực kỳ nguy hiểm.docxdocx
Định đạng .docxdocx lặp lại nhiều lần gì đấy tùy bạn miễn sao không phải là định dạng gốc .docx thì wannacry hay bất kỳ loại ransomware, virus, ... nào cũng pó tay cả ạ!
4.(*)
Khoản sơ hở không kém phần hấp dẫn mà wannacry lỡ quên add list mã hóa
file trên thứ tự phân vùng tên A và B. Mình ví dụ các ảnh sau:
H1. Mình click phải chuột vào ThisPC hay Computer tùy máy bạn và chọn Manage
H2, H3 mình chọn phân vùng cần chuyển đổi tên thứ tự thành ổ A và ổ B
H4. Là kết quả mình chuyển đổi thành công.
Hiện tại mình chưa dám chắc việc đổi tên thứ tự phân vùng như trên tránh
khỏi việc mã hóa hư hỏng file với các dòng ransomware crypt khác. Các
bạn nên căn nhắc cẩn thận khi dùng cách này áp dụng trực tiếp trên
windows nhé!
II. Về Khuyết Điểm:
* Việc bạn lỡ quên ẩn phân vùng với bootice thì hậu quả cũng tương tự
bạn chạy virut trực tiếp trên hệ điều hành chính, và mình cũng không
phải là thiên tài để làm tốt việc này
* Việc bạn quên Unhide để hiện phân vùng với bootice thì icon và tên ổ
đĩa sẽ trở về trạng thái mặc định (việc này không ảnh hưởng đến bất kỳ
dữ liệu nào của bạn nhé!).H1
Điểm cực kỳ quan trọng là khi phân vùng bạn đang ẩn trước đó thì việc
bạn boot vào tiếp winpe để Unhide (làm hiện lại phân vùng) rồi click
Hide ẩn tiếp lại thì WinPE Explore sẽ hiện lên 2 phân vùng giống y đúc
nhau. Nếu bạn chạy virut ngay thì việc ẩn phân vùng lần này sẽ vô tác
dụng và file bạn sẽ bị lây nhiễm như H1, H2, H3
* Để khắc phục khuyết điểm trên
tất nhiên sau khi test virut lần 1 xong bạn sẽ không Unhide hiện lên
phân vùng cho virut lây sang dữ liệu ngay lúc đó, mà bạn nên khởi động
lại winpe để trở về trạng thái an toàn, rồi bạn hãy Unhide cho phân vùng
ẩn hiện lên. Và bạn khởi động winpe thêm lần nữa để bắt đầu việc test
virut lần 2 nhé!
Sandbox test virus có những ưu việt riêng của họ. Việc test virut cũng
tiềm ẩn nhiều nguy cơ hay có bạn nói đó là con dao hai lưỡi cả thử thách
tử thần cũng đúng. Quan trọng hơn là cách bạn thao tác file, bạn không
click đúp chuột vào file virut.exe trên windows thì virut rất khó có cơ
hội để hoạt động. Các bước trên bạn đã xử lý tốt hy vọng bạn sẽ có nhiều
sáng kiến hay cho riêng mình và góp phần phát triển nền công nghệ thông
tin nước nhà nhé!
Rất mong các bạn ủng hộ và góp ý thêm giúp mình nhé! Xin chân thành cảm ơn các bạn đã quan tâm ạ!
* File test các loại virut khác nhau các bạn tải link sau nhé!
