Tập các công cụ khôi phục
và chẩn đoán lỗi – Phần 4
Trong phần tiếp theo này chúng tôi sẽ giới thiệu cho các bạn cách sử
dụng đĩa khởi động DaRT 6.5 để khắc phục sự cố các máy tính
Windows.
Trong hai phần đầu của loạt bài này, chúng ta đã được biết về tập công cụ
Diagnostic and Recovery Toolset (DaRT) của Microsoft cũng như cách cài
đặt DaRT, tạo CD khởi động DaRT và sử dụng các công cụ DaRT trên CD
để giải quyết một số vấn đề làm cho máy tính Windows không thể khởi
động. Trong phần ba chúng tôi đã giới thiệu cho các bạn về cách sử dụng
System File Checker (SFC), một thành phần trong tập các công cụ của
DaRT; trong phần bốn này, chúng tôi sẽ giới thiệu thêm cho các bạn một số
công cụ khác trong DaRT.
Một số công cụ khác trong DaRT
Chúng ta hãy trở về màn hình MSDaRT Tools, đây là màn hình xuất hiện
khi chúng ta khởi động máy tính gặp sự cố bằng CD DaRT và đã trả lời tất
cả các nhắc nhở (xem phần trước của loạt bài này để biết cách khởi động
máy tính bằng CD DaRT):

Hình 1: Màn hình MSDaRT Tools
Chúng ta hãy đi khám phá một số công cụ khác của DaRT. Kích tùy
chọn Explorer trên màn hình MSDaRT Tools, Windows Explorer sẽ xuất
hiện:

Hình 2: Windows Explorer
Lưu ý các file ẩn và các file hệ thống sẽ được hiển thị mặc định trong cửa sổ
Explorer. Bằng cách sử dụng tùy chọn có sẵn trong menu và từ menu chuột
phải được hiển thị khi kích phải vào các mục, bạn có thể thực hiện một số
nhiệm vụ như tạo thư mục, copy file,… Bạn cũng có thể bản đồ hóa các ổ
đĩa mạng nếu cấu hình kết nối mạng thủ công hoặc thông qua DHCP. Nếu
không muốn bản đồ hóa lại ổ đĩa khi khởi động từ CD DaRT, bạn sẽ thấy

partition System Reserved ẩn, nơi lưu trữ các file cơ sở dữ liệu cấu hình khởi
động cho máy tính.
Kích tùy chọn ERD Registry Editor trên màn hình MSDaRT Tools sẽ xuất
hiện ERD Registry Editor:

Hình 3: ERD Registry Editor
Sử dụng ERD Registry Editor, bạn có thể thực hiện một số thay đổi đối với
registry trên máy tính gặp sự cố. Lưu ý rằng không có
HKEY_CURRENT_USERS hive hiển thị ở đây vì không có người dùng nào
đăng nhập vào máy tính bạn đang khắc phục sự cố. Lưu ý rằng, chúng ta có
thể duyệt và chỉnh sửa các nhánh con SAM và SECURITY trong
HKEY_LOCAL_MACHINE hive. Các nhánh con này mặc định được đặt ở
trạng thái ẩn trên các cài đặt Windows thông thường.
Kích tùy chọn Search trên màn hình MSDaRT Tools sẽ xuất hiện hộp thoại
File Search:

Hình 4: Hộp thoại tìm kiếm file
Sử dụng hộp thoại này, bạn có thể tìm kiếm các file và thư mục trên máy
tính mục tiêu. Bạn có thể tìm kiếm theo tên, theo thời gian, tìm kiếm file
nằm trong dải kích thước nào đó. Khi đã tìm ra được file hoặc thư mục cần
tìm, kích phải vào nó để hiển thị các thuộc tính của nó (chúng ta cũng có thể
thực hiện điều này từ bên trong công cụ Explorer):

Hình 5: Xem thuộc tính của thư mục
Kích nút Permissions sẽ cho phép bạn xem các đặc quyền NTFS trên file
hoặc thư mục.
Bạn cũng có thể kích phải lên thư mục trong trang kết quả tìm kiếm và mở
nó trong Explorer:

Hình 6: Mở thư mục trong Explorer

Kích đúp vào file bản ghi sẽ cho phép xem file bằng Notepad:

Hình 7: Xem file CBS.log bằng Notepad
Kích tùy chọn Hotfix Uninstall trên màn hình MSDaRT Tools sẽ mở Hotfix
Uninstall Wizard:

Hình 8: Hotfix Uninstall Wizard
Nếu hệ thống mục tiêu không ổn định sau khi download và cài đặt hotfix bảo
mật mới nhất từ Windows Update, bạn có thể sử dụng wizard này để hủy bỏ
cài đặt từng hotfix một cho tới khi hệ thống trở về trạng thái ổ định. Ngoài ra
nếu có thể khởi động vào Windows, bạn sẽ có thể sử dụng System Restore
đơn giản hơn, tuy nhiên chúng ta ở đây đang giả định hệ thống không thể
khởi động.
Kích Next, DaRT sẽ tìm kiếm tất cả các hotfix được cài đặt trên hệ thống:

Hình 9: Danh sách các hotfix đã được cài đặt
Tìm đến các hotfix mới nhất, chọn và kích Details, tiện ích Deployment
Image Servicing and Management (DISM) sẽ mở gói phần mềm và hiển thị
các thông tin chi tiết có liên quan đến hotfix:

Hình 10: Xem thông tin về hotfix
Để remove một hotfix ra khỏi hệ thống, hãy chọn hộp kiểm cho hotfix và
tiếp tục thực hiện theo những gì trong wizard.
Một số kịch bản khắc phục sự cố (thêm vào đó là một cặp công cụ DaRT)
cần kết nối mạng để giải quyết được vấn đề gặp phải. Nếu ban có máy chủ
DHCP trong mạng của mình, DaRT có thể mượn địa chỉ IP như đã mô tả
trong phần trước của loạt bài. Mặc dù vậy nếu không có DHCP server, bạn
có thể kích tùy chọn TCP/IP Config trong màn hình MSDaRT Tools để mở
hộp thoại TCP/IP Configuration, hộp thoại này sẽ cho phép bạn cấu hình thủ
công địa chỉ IP, subnet mask, cổng mặc định và các địa chỉ DNS server cho

hệ thống mục tiêu:

Hình 11: Tự gán địa chỉ IP cho hệ thống mục tiêu
Đôi khi máy tính có thể không khởi động được do tiêm nhiễm malware. Nếu
gặp phải trường hợp này, hãy khởi động máy tính của bạn bằng DaRT CD
và kích tùy chọn Standalone System Sweeper trong màn hình MSDaRT
Tools để khởi chạy Standalone System Sweeper:

Hình 12: Bước 1 trong sử dụng Standalone System Sweeper
Khi Standalone System Sweeper được khởi chạy, hãy kích nút Check For
Updates Now ở đây:

Hình 13: Bước 2 trong sử dụng Standalone System Sweeper
Kích Download để nhận các nâng cấp định nghĩa malware mới nhất từ
Microsoft Malware Protection Center. Lưu ý rằng bạn cần phải có kết nối
mạng (và Internet) để thực hiện hành động này:

Hình 14: Bước 3 trong sử dụng Standalone System Sweeper
Màn hình tiếp theo hiển thị các định nghĩa malware mới nhất đang được
download. Quá trình này sẽ diễn ra trong vài phút:

Hình 15: Bước 4 trong sử dụng Standalone System Sweeper
Khi các định nghĩa đã được download, bạn có thể sử dụng nút Scan trên
thanh công cụ để quét malware trên hệ thống mục tiêu. Ở đây bạn có một số
tùy chọn như quét nhanh, quét toàn bộ hoặc tùy biến:

Hình 16: Bước 5 trong sử dụng Standalone System Sweeper
Màn hình tiếp theo hiển thị quá trình quét. Biểu tượng (!) màu vàng chỉ thị
rằng nó đã tìm được malware trong hệ thống:


Hình 17: Bước 6 trong sử dụng Standalone System Sweeper
Khi quá trình quét kết thúc, bạn có thể kích Clean System để remove sự
tiêm nhiễm malware hay có thể kíchReview Detected Items để xem
Standalone System Sweeper đã tìm được những gì trên hệ thống. Chúng ta
sẽ chọn tùy chọn thứ hai ở đây:

Hình 18: Bước 7 trong sử dụng Standalone System Sweeper
Kích tùy chọn Review Detected Items bạn sẽ gặp một số nhắc nhở gửi
thông tin tiêm nhiễm malware tới Microsoft để nó sẽ được add vào cơ sở dữ
liệu của họ nhằm phân tích:

Hình 19: Bước 8 trong sử dụng Standalone System Sweeper
Sau khi kích Yes (hoặc No) trong hộp thoại trên, Standalone System
Sweeper Warning sẽ được mở và hiển thị danh sách các mục malware bị
phát hiện. Kích Action control sẽ cho phép bạn Remove, Quarantine hoặc
Allow malware (mặc định là Remove):

Hình 20: Bước 9 trong sử dụng Standalone System Sweeper
Để remove malware, kích Clean System. Nếu việc remove thành công,
thông tin này sẽ được chỉ thị bên dưới cột trạng thái:

Hình 21: Bước 10 trong sử dụng Standalone System Sweeper
Một công cụ DaRT hữu dụng khác là Computer Management:

Hình 22: Computer Management
Như những gì bạn thấy ở trên, phiên bản của Computer Management trong
DaRT chỉ cho phép bạn có các tùy chọn dưới đây:
 Xem thông tin hệ thống
 Xem bản ghi sự kiện
 Xem các file autorun và xóa tùy biến

 Xem driver và dịch vụ (thay đổi chế độ khởi động)
 Xem và quản lý đĩa cũng như phân vùng
Một công cụ DaRT khác là File Restore, cho phép bạn tìm các file do người
dùng vô tình xóa bỏ và empty cả Recycle Bin:

Hình 23: File Restore
Lưu ý File Restore không khôi phục các file bị xóa nếu chúng đã bị ghi đè.
Một công cụ khác nữa là Locksmith cho phép bạn có thể thiết lập lại mật
khẩu tài khoản người dùng trên máy tính mục tiêu:

Hình 24: Locksmith
Locksmith thậm chí còn cho phép thiết lập lại tài khoản Administrator cục
bộ nếu bạn quên mật khẩu của nó:

Hình 25: Locksmith có thể thiết lập lại tài khoản Administrator cục bộ
Một công cụ hữu dụng nữa ở đây mang tên Disk Commander:

Hình 26: Disk Commander
Bạn có thể sử dụng Disk Commander để khôi phục bản ghi khởi động chủ
của hệ thống và thông tin partition (malware có thể làm lỗi những bản ghi
này và làm cho hệ thống không thể khởi động):

Hình 27: Các tùy chọn của Disk Commander
Có một thứ Disk Commander không thể sửa được là các vấn đề liên quan
đến cơ sở dữ liệu cấu hình khởi động (BCD). Tuy nhiên nếu BCD của bạn bị
lỗi, bạn sẽ thấy hộp thoại bên dưới trước khi vào màn hình MSDaRT Tools:

Hình 28: Sửa BCD bị lỗi
Cuối cùng, nếu không chắc việc sử dụng DaRT, bạn có thể sử dụng Solution
Wizard:


Hình 29: Solution Wizard
Wizard này sẽ dẫn bạn qua một loạt các câu hỏi để trợ giúp bạn sử dụng các
công cụ của DaRT:

Hình 30: Sử dụng Solution Wizard