chương trình đó có thực sự cần thiết hay không. Và càng nguy hiểm hơn nếu
chương trình đó có ư gây hại đến máy tính của bạn.

Trong Windows, một ứng dụng đang chạy thường “kéo theo” nhiều chương trình
phụ trợ làm cho sự việc vốn dĩ đã phức tạp càng thêm “rối”. Bài viết sẽ giới thiệu
đến bạn thông tin cần thiết để có thể xác định danh sách các chương trình đang
chạy trên hệ thống Windows, đồng thời xem đâu là chương trình hợp lệ, phần mềm
gián điệp hay vi-rút máy tính Ngoài ra, bạn cũng sẽ được hướng dẫn cách “theo
vết” mọi ứng dụng đang thực thi trên máy tính, kể cả mối hiểm họa mới nhất là
rootkits.

“Nhân vô thập toàn” nên không ai dám chắc hệ thống của mình thực sự an toàn
hay ổn định 100% trước mọi sự tấn công của vi rút máy tính. Cho dù đã sử dụng
các công cụ bảo vệ cần thiết như tường lửa, phần mềm diệt vi rút, qui định nghiêm
ngặt trong vấn đề tải ứng dụng nhưng hệ thống của bạn cũng đành thúc thủ trước
sự lây nhiễm của những dạng tấn công mới. Yếu tố cơ bản để bảo vệ hệ thống là
phải nhanh chóng phát hiện lỗ hổng bảo mật, cập nhật danh sách vi rút máy tính
mới cho các công cụ trên. Nếu có một vi rút hay lổ hổng bảo mật mới xuất hiện mà
hệ thống chưa được cập nhật thì chắc chắn hệ thống của bạn sẽ bị tin tặc tấn công.
Vì vậy, cách phòng chống tốt nhất là sớm phát hiện những chương trình “ác ư” này
trong hệ thống và loại bỏ chúng ngay lập tức.

AN TOÀN LÀ TRÊN HẾT

Vì các thao tác giới thiệu trong bài viết này có liên quan trực tiếp đến sự ổn định
của hệ thống Windows nên chúng ta phải tuân thủ một số nguyên tắc đảm bảo an
toàn hệ thống như sau:

Trước hết, không được tùy tiện xóa bỏ hay sửa đổi nội dung của bất cứ một tập tin
nào khi chưa biết rơ về chức năng, vai trò của nó đối với hệ thống. Tiến hành sao
lưu hệ thống để đề phòng trục trặc. Với các hệ thống sử dụng Windows XP/Me thì

nên sử dụng chức năng System Restore, thủ tục thực hiện như sau: nhấn
Start.Programs.Accessories.System Tools.System Restore, tiếp đến chọn Create a
restore point, rồi thực hiện theo các hướng dẫn. Hãy tiến hành thực hiện công việc
này trước khi tác động trực tiếp vào hệ thống Windows.

Bạn cũng có thể loại bỏ chế độ không hiển thị các thư mục và tập tin hệ thống với
thuộc tính “ẩn” của Windows. Mở tiện ích Windows Explorer hay bất cứ cửa sổ
thư mục nào, chọn trình đơn Tools.Folder Options, tiếp đến chọn nhãn View. Tại
mục Hidden files and folders, đánh dấu tuỳ chọn “Show hidden files and folders”,
ngoài ra bỏ đánh dấu chọn tại các mục “Hide extensions for known file types” và
“Hide protected operating system files (Recommended)”. Chọn Yes nếu xuất hiện
cửa sổ cảnh báo của Windows. Ngoài ra, để giảm bớt khối lượng công việc trong
quá trình thực hiện nên chạy các chương trình diệt vi rút máy tính và chống phần
mềm gián điệp mà bạn đang sử dụng trong hệ thống.

Cuối cùng, nếu đã hoàn toàn tin chắc rằng tập tin đó là dấu hiệu của sự lây nhiễm
một phần mềm xấu tính, hãy xóa chúng. Tuy nhiên, bạn không thể sử dụng cách
này để loại bỏ các tập tin có phần mở rộng là .dll trong thư mục hệ thống
Windows.

KIỂM TRA BỘ NHỚ

Bây giờ là lúc chuyển sang tìm hiểu xem các chương trình và dịch vụ nào đang
hoạt động. Do công cụ Task Manager của Windows cung cấp không đủ thông tin
cần thiết nên chúng ta sẽ sử dụng tiện ích miễn phí Process Explorer của
Sysinternal (www.pcworld.com.vn, ID: 47569). Theo mặc định, tiện ích Process
Explorer chưa hiển thị ngay thông tin cần thiết của một chương trình nên bạn cần
thực hiện thêm những thủ tục sau: khởi động Process Explorer, nhấn phải chuột lên
tiêu đề một cột nào đó trong màn hình, chọn Select Columns. Tiếp đến, đánh dấu 4
tùy chọn là Process Name, Description, Company Name, Command Line. Trong

màn hình Select Columns chọn nhãn DLL, đánh dấu chọn mục Path rồi nhấn OK.
Sau đó, bạn nhấn View và kiểm tra xem tùy chọn Show Lower Pane đã được đánh
dấu chưa. Cuối cùng, chọn trình đơn View.Lower Pane View.DLLs (hình 1).

Với cấu hình khai như trên, mỗi khi chọn một chương trình trong danh sách các
ứng dụng đang chạy thì Process Explorer sẽ cho chúng ta biết tất cả các tập tin
DLL được chương trình cần đến khi đang chạy. Cột Command Line chỉ ra tên thư
mục và ổ đĩa lưu trữ chương trình. Với các chương trình hoạt động ở dạng service
(do tiện ích hệ thống svchost.exe điều khiển) thì tiện ích sẽ chỉ rơ số thứ tự của
dịch vụ đó.

Các chương trình chạy trên bộ nhớ mà nơi lưu trữ là thư mục Temp (thư mục chứa
các tập tin tạm thời của Windows trong quá trình hoạt động) sẽ được đánh dấu đỏ
bên cạnh để chúng ta lưu ư xem xét kỹ hơn.Thường thì các chương trình gián điệp
hay vi rút máy tính hay thực hiện cài đặt hoặc ẩn nấp tại thư mục này. Tuy nhiên
cũng phải cẩn thận, nếu bạn đang cài đặt một phần mềm nào đó thì thư mục Temp
của Windows cũng là nơi chứa các tập tin cần thiết cho trình cài đặt ứng dụng ví
dụ như InstallShield. Bạn cũng cần lưu ư rằng trong Windows XP, khi chương
trình Explorer.exe hoạt động thì các dịch vụ như smss.exe, winlogon.exe,
services.exe, alg.exe và lsass.exe cũng sẽ được chạy trong bộ nhớ của máy tính. Vì
thế hãy tránh đụng đến những chương trình quan trọng này.

Tuy vậy, cần lưu ư đến chương trình rundll32.exe xuất hiện trong bộ nhớ của hệ
thống. Rất nhiều phần mềm gián điệp hay vi rút máy tính ẩn nấp dưới dạng tập tin
.dll, sử dụng chương trình này làm bàn đạp để xâm nhập vào bộ nhớ của hệ thống.
Đây chính là cơ chế mà Windows khởi động các chương trình điều khiển thiết bị
nên trước khi loại bỏ chương trình nào, bạn cần xem xét kỹ liệu chúng có phải là
chương trình của Windows hay không. Thông thường tên thư mục lưu giữ tập tin
chương trình trên đĩa cứng sẽ chứng tỏ đó có phải là một chương trình hợp pháp
không.


XÁC ĐỊNH CHƯƠNG TRÌNH CHƯA RƠ DANH TÍNH

Khi Windows hoạt động, một chức năng chủ chốt của hệ điều hành chạy sẽ khởi
động rất nhiều tập tin phụ trợ (thường là hoạt động ở chế độ nền), ví dụ như các
chương trình điều khiển thiết bị phần cứng, điều khiển cổng kết nối máy tính, kết
nối mạng Khi khảo sát một chương trình đang hoạt động trong bộ nhớ bằng tiện
ích Process Explorer, thông tin trên các cột Description, Company Name,
Command Line sẽ giúp chúng ta biết được các tập tin này dùng để làm gì, do ai
sản xuất và được lưu giữ ở đâu

Nếu một chương trình nào đó không có một hay tất cả 4 thông tin vừa đề cập thì
thực hiện thủ tục sau: Trong màn hình của Process Explorer nhấn phải chuột lên
chương trình cần xem, chọn Properties. Nếu thông tin trong nhãn Image vẫn chưa
đủ thì nhấn nhãn Services. Những thủ tục hợp lệ được liệt kê ở cột hơi thụt vào
một chút dưới dòng “service.exe” sẽ xuất hiện dưới nhãn này.

Ví dụ trong hình 2 cho thấy hiện có hai dịch vụ đang hoạt động trong máy tính
nhưng không có thông tin gì trong cột Description và Company Name. Thứ nhất là
dịch vụ “slee81.exe”, với nhãn Sevices chúng ta biết đây là phần mềm Steganos
Live Encryption Engine. Lư do là trước đây hệ thống đã được cài ứng dụng
Steganos. Đây không phải là lỗi bảo mật tuy nhiên nếu không còn sử dụng tiện ích
này để mã hóa tập tin, hãy tắt dịch vụ này để tiết kiệm bộ nhớ. Dịch vụ thứ hai là
WLTRYSVC, thông tin tại nhãn Sevices cho chúng ta biết chương trình này khi
chạy đã khởi động chương trình BCMWLTRY.EXE, đây là chương trình của phần
mềm Broadcom Wireless Network Tray Applet giúp người sử dụng theo dơi chất
lượng tín hiệu Wi-Fi. Như vậy đây cũng là một chương trình hợp lệ.

Hãy làm theo các hướng dẫn ở trên để kiểm tra tất cả chương trình và dịch vụ hoạt
động ở chế độ nền. Trường hợp một chương trình đang hoạt động nhưng không có

thông tin gì thì bạn phải xử lư chúng như thế nào? Đây chính là lúc chúng ta tiến
hành tìm kiếm thông tin về chương trình này bằng Internet.

TẬN DỤNG INTERNET

Nếu cần tìm thông tin về một tập tin DLL nào đó thì bạn có thể tham khảo ở cơ sở
dữ liệu DLL Help Database của Microsoft tại địa chỉ
(hình 3). Nếu nghi ngờ một tập tin là phần
mềm gián điệp thì tra cứu tại cơ sở dữ liệu Spyware Information Center
( hay Pest Encyclopedia
( lưu trữ thông tin của 27.000 phần mềm gián điệp.
Trang web Task List Programs tại địa chỉ AnswerThatWork.com (hình 4) sẽ cho
chúng ta biết thông tin phần mềm ứng dụng cũng như là vi rút máy tính và
spyware. Ngoài ra các tiện ích như WinPatrol (www.pcworld.com.vn, ID: 47582)
hay WinTask 5 Professional (49,95 USD, find.pcworld.com/47584) của Uniblue
cũng cho biết một tiện ích hay tập tin .dll có phải là chương trình nguy hiểm hay
không. Hai tiện ích này còn có một cơ sở dữ liệu trực tuyến về hàng ngàn tập tin
chương trình hay DLL. Riêng tiện ích WinTask còn có chức năng lập được “danh
sách đen” các chương trình cấm không cho chạy trên hệ thống.

Nếu chỉ có mục đích tìm kiếm các chương trình nguy hiểm thì bạn nên xem xét sử
dụng công cụ có tên là Security Task Manager của Neuber Software (bản dùng thử
có tại find.pcworld.com/48062). Giống như một phần mềm diệt vi rút máy tính,
công cụ này cho phép kiểm tra và đánh giá tất cả các tập tin chương trình trong hệ
thống của bạn (tập tin thực thi, trình điều kiển thiết bị, tập tin .dll) có phải là
chương trình gián điệp hay không cho dù chúng được chưa khởi động.

Dù sao đi nữa, bạn cũng đừng quá tin vào những kết quả trên internet. Cho dù hàng
ngàn website trên thế giới đều nói rằng một tập tin có tên nào đó là nguy hiểm
nhưng chỉ cần Microsoft nói rằng đó là một chương trình ứng dụng “an toàn” thì

tất cả thông tin của hàng ngàn website trên đều trở nên vô nghĩa. Càng có nhiều
thông tin, nguy cơ bạn xóa nhầm các tập tin đó càng thấp.


Nguồn: softvnn.com
Tác giả: m150


Cách sử dụng HijackThis!


Error!


Thỉnh thoảng thì vài "chú spyware" vẫn có thể lọt qua hàng phòng thủ của bạn để
vào máy tính mà không chịu bị phát hiện. Chúng có thể đổi trang chủ của bạn,
thêm tool bar mới vào máy bạn, hiện lên các cửa sổ quảng cáo và báo cáo lại từng
bước đi của bạn rồi báo cáo về cho máy chủ với mục đích thương mại. Bạn có thể
thường xuyên dùng các chương trình diệt spyware, adware thông thường như
AdAware, Spybot Search and Destroy nhưng cũng không thể phát hiện chúng, chỉ
có HijackThis làm được điều đó. Nhưng CẨN THẬN, HijackThis quét ra cả những
file cần thiết cho hệ thống và cả những "chú spyware". Nhiều người đã đưa ra
những phương pháp khác nhau để dùng chương trình này, và sau đây là một trong
những phương pháp đó.

Bước 1: Đưa HijackThis vào máy bạn
HijackThis được download về dưới dạng file ZIP chỉ chứa 1 mình nó, không phải
là 1 file cài đặt. Khi bạn mở zip ra thì nhớ là phải tạo thêm 1 thư mục để chứa
chương trình HijackThis, chẳng hạn C:\Program Files\HijjackThis\, hay là đơn
giản hơn chỉ mở zip vào thư mục mặc định. Để chạy chương trình còn dễ hơn, bạn

chỉ cần nhấn chuột phải ở icon của chương trình và tạo icon mới ở desktop. Hầu
hết những Windows gần đây đều cho phép bạn kéo thư mục, hay chỉ icon, đến
Start menu và thả bất cứ chỗ nào bạn thích. Windows XP cho phép bạn nhấn chuột
phải trên icon và "bỏ" vào Start menu. Nếu bạn dùng thanh Quick Start, bạn chỉ
cần kéo và thả icon ở đó.

Bước 2: Quét máy tính bạn
Bỏ mặc bạn tìm đến chương trình bằng cách nào, chạy HijackThis có thể bị nhầm
lẫn. Tất cả những gì bạn có thể làm là nhấn vào nút Scan, sau đó chương trình sẽ
hiện lên một bản danh sách những "đường vào" (entries) registries và máy tính
bạn. Tuy nhiên, dù là một máy tính vừa mới làm lại, ví dụ như tạo trang chủ mới
cho Internet Explorer thì vẫn có cả tá entries. Chúng tôi quét thử một máy tính với