Báo cáo phân tích lần 2
Nhóm 10:
\

AN TOÀN CHO CÁC ỨNG DỤNG TRÊN
WINDOW

1


Mục lục
1. Tổng quan về window và các lỗ hổng bảo mật....................4
1.1 Hệ điều hành window........................................................4
1.2 Các lỗ hổng bảo mật..........................................................5
1.3 Phần mềm độc hại.............................................................6
2. Dấu hiệu nhận biết khi máy tính bị nhiễm virus................7
2.1 Máy tính chạy chậm, hoạt động không ổn định.............7
2.2 Quảng cáo bất thường.......................................................8
2.3 Xuất hiện phần mềm, chương trình lạ............................8
2.4 Máy tính bị lỗi....................................................................9
2.5 Ổ cứng hết dung lượng trống...........................................9
2.6 Hoạt động mạng tăng cao bất thường...........................10
2.7 Những thông báo hoặc chương trình tự khởi động một
cách không bình thường.......................................................10
2.8 Phần mềm diệt virus bị tắt..............................................11
2.9 Bạn bè nói rằng họ nhận được thông báo lạ từ bạn.....11
2.10 Máy tính hoạt động bình thường.................................11
3. Biện pháp phòng chống.......................................................12
3.1 Cấu hình an toàn kết hợp sử dụng chương trình phát
hiện..........................................................................................12
3.1.1. Tận dụng Windows Defender để bảo vệ máy tính. 12

3.1.2. Luôn cập nhật hệ điều hành với Windows Update 13
3.1.3. Mã hoá và backup các tập tin..................................14
2


3.2 Sử dụng log để kiểm soát hoạt động..............................15
3.2.1 Syslog:.........................................................................15
3.2.2 Giám sát syslog...........................................................15
4. Xử lý khi có sự cố xảy ra.....................................................17
4.1 Các lưu ý khi phát hiện máy tính không còn an toàn.. 17
4.2 Các cách xử lý cơ bản:....................................................17
4.3 Xử lý nâng cao:................................................................17

3


1. Tổng quan về window và các lỗ hổng bảo
mật.
1.1 Hệ điều hành window
Microsoft Windows (hoặc đơn giản là Windows) là tên của
một họ hệ điều hành dựa trên giao diện người dùng đồ hoạ
được phát triển và được phân phối bởi Microsoft. Nó bao gồm
một vài các dòng hệ điều hành, mỗi trong số đó phục vụ một
phần nhất định của ngành công nghiệp máy tính.
Các dòng Windows hiện tại gồm Windows NT, Windows
Embedded và Windows Phone; chúng có thể bao gồm các
phân họ, VD: Windows Embedded Compact (Windows CE)
hoặc Windows Server. Các dòng Windows đã bị ngừng gồm
Windows 9x và Windows Mobile.
Các phiên bản phổ biến:

 Windows XP
 Windows Vista
 Windows 7
 Windows 8 và 8.1
 Windows 10

4


1.2 Các lỗ hổng bảo mật

Hình 1: Một số lỗ hổng bảo mật được tìm thấy và sửa chữa.
Các mục tiêu khai thác lỗ hổng thường là:
 Web browsers (Microsoft Internet Explorer, Google
Chrome, Apple Safari, Mozilla Firefox and others).
 Plug-ins for browsers (Adobe Flash Player, Oracle Java,
Microsoft Silverlight).
 The Windows operating system itself – notably the
Win32 subsystem driver – win32k.sys.
 Adobe Reader and Adobe Acrobat
 Các chương trình đặc biệt khác.

5


1.3 Phần mềm độc hại
Phần mềm độc hại: là một loại phần mềm hệ thống do các tay
tin tặc hay các kẻ nghịch ngợm tạo ra nhằm gây hại cho các
máy tính. Tùy theo cách thức mà tin tặc dùng, sự nguy hại của
các loại phần mềm ác ý có khác nhau từ chỗ chỉ hiển thị các

cửa sổ hù dọa cho đến việc tấn công chiếm máy và lây lan
sang các máy khác như là virus trong cơ thể của các sinh vật.
Một số phần mềm độc hại:
 Spyware: Tự động ghi lại các thông tin của máy tính bị
xâm nhập
 Adware: Tự động hiện các bản quảng cáo
 Keylogger: Ghi nhận lại toàn bộ thao tác của bàn phím
 Backdoor: Mở cửa hậu cho kẻ khác xâm nhập
 Rootkit: Dạng mã độc "tàng hình" trước các chương
trình kiểm soát file, tiến trình (process)..., tạo đường truy
nhập cho kẻ xâm nhập trở lại.
Hành vi thông thường của mã độc:
 Lây nhiễm qua internet(downloader, launcher), qua thiết
bị ngoại vi(usb,…)
 Tạo cửa sau(backdoor)
 Đánh cắp chứng thư(Credential Stealers)
 Cơ chế tồn tại(thay đổi registry, thay đổi dll,…)
 Leo thang đặc quyền(chiếm quyền admin…)

6


2. Dấu hiệu nhận biết khi máy tính bị nhiễm
virus.
Chúng ta đều biết virus máy tính – và các loại malware
khác – có thể gây rối khiến chúng ta bực mình hoặc nặng nề hơn
là gây thảm họa.
Làm sao để có thể biết được máy tính của mình đã bị dính
virus? Nếu chương trình diệt virus của ta thực sự mạnh và được
cập nhật đầy đủ, ta sẽ nhận được thông báo ứng dụng sẽ quét

máy tính của mình. Điều này sẽ giúp bảo vệ máy tính và loại bỏ
được virus. Tuy nhiên, nếu phần mềm bị lỗi thời hoặc virus đã
kiểm soát và làm ngưng hoạt động của chương trình diệt virus
thì sao? Có dấu hiệu nào cho bạn có thể nhận diện một virus,
malware?

2.1 Máy tính chạy chậm, hoạt động không ổn định
Nếu máy tính chạy không ổn định, đây là dấu hiệu của điều
gì đó không ổn. Một số malware làm loạn các file quan trọng
giúp ổn định máy tính. Điều này thậm chí còn khiến máy tính
của ta bị hỏng. Nếu máy tính bị hỏng khi cố gắng chạy một ứng
dụng nào đó hoặc mở một file cụ thể, sẽ có thông báo rằng dữ
liệu của bạn đã bị hỏng. Chính malware đã gây ra điều này.
Máy tính chạy chậm hơn rất nhiều so với bình thường? Đây
có thể là kết quả của malware bắt đầu làm cạn kiệt các nguồn xử
lý trong máy tính. Nếu bạn không chạy ứng dụng nặng mà máy
tính vẫn chạy rất chậm, có thể ta đã “dính” một con virus máy
tính.

7


Ngoài ra, những thông báo không thể truy cập một số ổ đĩa
trong máy tính cũng là một dấu hiệu khác. Cùng với một
phương thức, các ứng dụng không chạy được hoặc file không
thể mở được là kết quả của sự lây nhiễm virus. Một số dấu hiệu
khác bao gồm những phần cứng khác như máy in không có trả
lời với bất kì lệnh nào. Trong khi những dấu hiệu này không
phải là dấu hiệu của virus, có lẽ bạn nên kiểm tra lại máy tính
của mình.


2.2 Quảng cáo bất thường
Một Một trong những dấu hiệu gây phiền nhiễu nhất của
phần mềm độc hại chính là những cửa sổ pop-up không mong
muốn thường xuyên nhảy ra trên máy tính. Nếu việc này xảy ra
với tần suất cao thì chắc chắn máy tính của bạn đã dính phần
mềm độc hại rồi nhé. Trường hợp này không chỉ gây ảnh hưởng
đến việc dùng máy tính mà còn khá khó khăn để loại bỏ chúng
khỏi hệ thống. Hơn nữa, chúng còn đi kèm những phần mềm
độc hại khác được che giấu phía sau và có thể phá hoại máy
tính.

2.3 Xuất hiện phần mềm, chương trình lạ
Vào một ngày đẹp trời ta thấy một vài phần mềm lạ tự
nhiên xuất hiên trên Desktop hoặc được cài đặt trong thư mục
cài đặt Program File mà không biết mình cài đặt bao giờ thì có
vẻ như là máy tính đã bị nhiễm virus. Cụm từ “có vẻ” ở đây
nghĩa là có thể không phải do virus gây lên mà là do từ chương
trình, phầm mềm bạn đã cài đặt trước đó đã cài đặt thêm để cần
thiết cho quá trình thực thi.

8


2.4 Máy tính bị lỗi
Nếu chương trình, hệ thống bị lỗi liên tục hoặc lỗi màn
hình xanh xuất hiện thường xuyên thì đó chính là một cảnh báo
rõ ràng rằng máy tính đang có vấn đề.
Có 2 nguyên nhân chính:
 Yếu tố kỹ thuật: Sự không tương thích giữa phần mềm với

phần cứng, giữa các phần mềm với nhau
 Phần mềm độc hại
Nếu nghi ngờ là yếu tố kỹ thuật chri cần kiểm tra xem có
phần mềm nào xung đột với nhau và gỡ đi là được. Nếu không
thì máy tính chắc chắn đã nhiễm virus, quét toàn bộ hệ thống để
tìm và diệt nó với một phần mềm an ninh đáng tin cậy là điều
bạn cần làm ngay lập tức.

2.5 Ổ cứng hết dung lượng trống
Bạn cần kiểm tra xem không gian lưu trữ vật lý của ổ cứng
gần đây có tăng lên không hoặc có file nào đã biến mất, bị đổi
tên không. Đây là một dấu hiệu hoạt động khác của phần mềm
độc hại. Rất nhiều phần mềm độc hại sử dụng những phương
pháp khác nhau để "lấp đầy" ổ cứng của bạn và gây ra sự cố trên
máy tính nhằm mục đích phá hoại.
Bạn cần kiểm tra xem không gian lưu trữ vật lý của ổ cứng
gần đây có tăng lên không hoặc có file nào đã biến mất, bị đổi
tên không. Đây là một dấu hiệu hoạt động khác của phần mềm
độc hại. Rất nhiều phần mềm độc hại sử dụng những phương
pháp khác nhau để "lấp đầy" ổ cứng của bạn và gây ra sự cố trên
máy tính nhằm mục đích phá hoại.
9


2.6 Hoạt động mạng tăng cao bất thường
Trước hết, bạn cần trả lời vài câu hỏi:
 Có bản cập nhật Windows nào vào thời điểm đó không?
 Có chương trình, ứng dụng nào đang tải lên, tải xuống dữ
liệu không?
 Có bản cập nhật ứng dụng nào đang chạy không?

 Có file tải nào bạn đang tải dở mà quên mất, và giờ nó đang
chạy ẩn không?
Nếu tất cả câu trả lời không mà mạng của chúng ta vẫn đang bị
sử dụng cao một cách bất thường thì hãy nghĩ đến virus,
malware.

2.7 Những thông báo hoặc chương trình tự khởi động
một cách không bình thường
Vài dấu hiệu cảnh báo sẽ làm ta nghi ngờ:
 Vài chương trình tự động mở, đóng
 Hệ điều hành Windows tắt mà không có lý do
 Xuất hiện cửa sổ lại trong quá trình khởi động
 Windows thông báo bạn mất quyền truy cập vào một số ổ
đĩa của mình
Loại trừ yếu tố kỹ thuật, thì đây rất có thể là dấu hiệu cho thấy
máy bạn đã dính virus. Trong trường hợp mất quyền truy cập
vào một số khu vực quan trọng trên máy tính, bạn có thể sẽ phải
format sạch sẽ các ổ đĩa để cài đặt lại hệ điều hành, tất nhiên, dữ
liệu trên đó cũng sẽ bị xóa.
10


2.8 Phần mềm diệt virus bị tắt
Nếu phần mềm diệt virus dường như không hoạt động hoặc
module cập nhật của nó bị tắt, hãy kiểm tra máy tính một cách
nghiêm túc. Một số malware được thiết kế đặc biệt để vô hiệu
hóa các phần mềm diệt virus, khiến bạn không có bất cứ biện
pháp phòng tránh nào. Nếu đã cố gắng khởi động lại máy tính,
đóng và mở lại phần mềm diệt virus mà vẫn không có tiến triển
gì thì chắc chắn máy đã bị lây nhiễm phần mềm độc hại. Lúc

này có thể phải khởi động lại máy tính ở chế độ Safe Mode và
dùng công cụ diệt malware, rootkit chuyên dụng để xử chúng.

2.9 Bạn bè nói rằng họ nhận được thông báo lạ từ bạn
Thông báo lạ này có thể là email, tin nhắn trên các ứng
dụng chat. Chúng có thể đính kèm các tập tin hoặc liên kết.
Trước hết cần xác định xem những email hoặc tin nhắn đó có
phải được gửi từ tài khoản của mình không. Nếu không có gì bất
thường, có thể những thông báo này đã được gửi từ một ứng
dụng nằm ngoài sự kiểm soát của ta

2.10 Máy tính hoạt động bình thường
Không phải malware nào cũng gây rối đến hệ thống, đôi
khi nó còn diệt các virus khác hộ bạn để cho ta cảm giác rằng
máy tính của mình không vấn đề gì. Những malware loại này
thường ẩn nấp rất kĩ , đôi khi là kể cả là đã cài đặt chương trình
anti-virus đi nữa, và nó chỉ lắng nghe thu thập thông tin của ta
và âm thầm gửi dữ liệu đi mà không ai hay biết, đặc biệt là
những mát tính chứa thông tin nhạy cảm như tài khoản ngân
hang, dữ liệu bí mật …. Vì vậy, đừng thấy máy tính hoạt động
bình thường mà chủ quan không chịu update bản vá hay quét
virus trên máy tính
11


3. Biện pháp phòng chống
3.1 Cấu hình an toàn kết hợp sử dụng chương trình
phát hiện.
3.1.1. Tận dụng Windows Defender để bảo vệ máy tính
Windows Defender là một ứng dụng được cài đặt sẵn vào

hệ điều hành Windows của Microsoft. Nó không hoàn toàn là
một phần mềm diệt virus nhưng nó có khả năng bảo vệ máy tính
bằng cách tìm và diệt các tiến trình nguy hiểm, chủ yếu là các
chương trình spyware.
Tiêu diệt spyware: Đây là tính năng chính của Windows
Defender. Cũng như các phần mềm khác, Windows Defender
sẽ tìm và diệt các sypware trên mấy tính với các tùy chọn
như: quét nhanh, quét cẩn thận và quét tùy chỉnh. Trong đó,
quét tùy chỉnh cho phép bạn chọn một số ỗ đĩa và thư mục
cần quét thay vì quét toàn bộ hệ thống.

Bảo vệ tức thời:
 Windows Defender có khả năng chặn đứng và tiêu diệt
spyware ngay khi chúng xâm nhập vào hệ thống, nhằm
đảm bảo an toàn cho máy tính trong suốt quá trình hoạt
động. Tính năng này có khả năng kiểm tra các tập tin khi
bản tải từ internet hoặc sao chép từ thiết bị lưu trữ khác,
đảm bảo rằng chúng không chứa các thành phần nguy
hiểm đến máy tính của bạn.
12


 Khi phát hiện có spyware, Windows Defender sẽ hiện thị
thông báo với các tùy chọn như xóa tập tin chứ spyware
hoặc chấp nhận sử dụng ở chế độ an toàn. Bạn có tùy
chỉnh mức độ bảo vệ của Windows Defender, mặc định
chương trình sẽ xử lý tất cả spyware tìm thấy, hoặc bỏ
qua một số spyware bạn đã đánh dấu chấp nhận từ trước.
Bảo vệ thông qua kết nối với Spynet: Microsoft Spynet là
một trong những hệ thống bảo vệ trực tuyến. Hệ thống này sẽ

liên tục cập nhật các spyware mới ngay khi chúng được các
chuyên gia phát hiện ra. Khi bạn kết nối với Spynet bằng phần
mềm Windows Defender tức là bạn đã trở thành một thành
viên của hệ thống. Theo đó, máy tính của bạn sẽ tự động cập
nhật những thông tin mới nhất về các phần mềm gây hại và
cách bảo vệ máy tính khỏi chúng.
3.1.2. Luôn cập nhật hệ điều hành với Windows Update
Kể từ khi các vấn đề liên quan tới bảo mật được phát hiện
hàng ngày, hàng tháng, việc giữ cho hệ điều hành Windows
của bạn được cập nhật là rất cần thiết. Microsoft thường cung
cấp các bản vá cập nhật và có khả năng nâng cấp cho
Windows. Các bản cập nhật này được đưa ra ít nhất một lần
mỗi tháng, hoặc thậm chí là ngắn hơn, mỗi khi có vấn đề
nghiêm trọng đòi hỏi hành động ngay lập tức. Và thực sự, rất
dễ để có thể giữ được sự an toàn.

13


Hãy để Windows tự động kiểm tra các bản cập nhật bảo mật.
Với Windows 7, bạn sẽ phải cài đặt – hãy chắc chắn rằng tính
năng này đã được bật:
Cách thực hiện: Start -> Control Panel -> System and
Security -> Windows Update -> Change settings
 Cập nhật quan trọng: cài đặt cập nhật ngay tức thời
(recommended)
 Chọn một ngày/ thời gian muốn cài đặt những cập nhật này
Nếu bạn thích tự mình kiểm tra và tải cập nhật bảo mật cho
Windows. Chỉ cần thực hiện theo các bước sau: Start ->
Control Panel -> System and Security -> Windows Update

-> Check for updates.
 Chờ cho tới khi Windows hoàn thành kiểm tra các bản cập
nhật
 Tiếp đến, xem và tích vào những cập nhật bạn muốn, ít
nhất là những cập nhật được đánh dấu quan trọng
 Cuối cùng, kích vào "Install Updates"
Ngoài ra, bạn có thể lựa chọn Microsoft Update để nhận
những bản cập nhật cho không chỉ Windows mà còn MS
Office và các sản phẩm khác.
3.1.3. Mã hoá và backup các tập tin
Bên cạnh những hiểm hoạ đến từ internet, bạn luôn cần phải
dè chừng và lo lắng về 'những sự cố vật lý' khác nữa. Ví dụ:
chẳng may một ngày đẹp trời, ổ cứng bỗng dưng cháy mất,
hay là bạn đang đứng dậy để lấy cốc cafe ở quán tự phục vụ
và khi ngoảnh lại thì chiếc laptop không còn chẳng hạn.

14


Bởi vậy, backup dữ liệu lên một dịch vụ lưu trữ đám mây là
một điều khá cần thiết và cần được thực hiện một cách thường
xuyên.

3.2 Sử dụng log để kiểm soát hoạt động.
3.2.1 Syslog:
Là tiêu chuẩn cho việc ghi lại các thông điệp, nó cho phép các
phần mềm sinh ra các thông điệp, hệ thống lưu trữ chúng và
một số phần mềm có thể thu thập và phân tích chúng. Mỗi
thông điệp được gắn nhãn cơ sở cho biết phần mềm nào tạo ra
thông điệp đó đồng thời cũng có nhãn mức độ nghiêm trọng.

Các mức độ nghiêm trọng:
 Emergency: Hệ thống rơi vào tình trạng unuseable
 Alert: Cảnh báo nguy hiểm, cần thực hiện ngay lập tức
hành động sửa sai.
 Critical: Tình trạng nghiêm trọng, ví dụ như lỗi thiết bị
phần cứng
 Error: Tình trạng có lỗi.
 Warning: Tình trạng cảnh báo.
 Notice: Tình trạng bình thường nhưng có thể kèm yêu
cầu xử lý đặc biệt.
 Informational: thông điệp chứa thông tin.
 Debug: Debug-level message, thông điệp mang thông tin
sử dụng khi debug
3.2.2 Giám sát syslog
Syslog chứa những thông tin quan trọng và cần thiết để giám
sát hoạt động của hệ thống, syslog có thể được tổng hợp và
phân tích bằng nhiều phần mềm, qua kết quả của phép phân
15


tích có thể cung cấp thông tin hữu ích xác định hệ thống có
đang hoạt động bình thường hay không.
Đối với an toàn trong sử dụng các ứng dụng trên window cần
quan tâm đặc biệt tới những log liên quan đến hành vi của mã
độc như: logging log, permissions log, security event log,…

16


4. Xử lý khi có sự cố xảy ra.

4.1 Các lưu ý khi phát hiện máy tính không còn an
toàn.
Backup toàn bộ dữ liệu quan trọng của máy tính ra một ổ
cứng hoặc lưu trữ trên internet(ngắt kết nối internet tới các
máy tính khác trong LAN, chuyển sang chế độ mạng private
hoặc dùng 1 mạng riêng)
Update các bản vá bảo mật mới nhất từ hệ điều hành.
Đối với các virus phát tán qua mạng internet sẽ cần ngắt hoàn
toàn kết nối tới internet để tránh lây lan, khi đó các phần mềm
diệt virus và các bản update có thể cài qua đĩa CD hoặc usb
không nhiễm virus.
Đối với những file không thể khôi phục không nên cố gắng
backup mà nên xóa bỏ vì nó sẽ có nguy cơ lây nhiễm ra các
file còn lại.
Nếu các bước xử lý đều không mang lại hiệu quả thì nên nhờ
sự trợ giúp của chuyên gia.

4.2 Các cách xử lý cơ bản:
Xóa các file khả nghi ra khỏi máy tính, uninstall các ứng dụng
lạ.
Sử dụng phần mềm diệt virus bản quyền quét toàn bộ máy
tính.
Backup lại hệ thống nếu trước đó đã có bản backup
Cài lại hệ điều hành

4.3 Xử lý nâng cao:
Sử dụng các công cụ giám sát hoạt động của hệ thống
(Process Explorer, Process Monitor) để tìm ra mã độc. Nếu
17



mã độc đã ẩn có thể tìm lại link hoặc ứng dụng lây nhiễm để
khởi tạo lại mã độc.
Sử dụng các công cụ phân tích để xác định hành vi và tìm ra
cách xử lý mã độc.

18