Created by thosanxamac@gmail.com !

Pages: 1 /19

CÁC BIỆN PHÁP PHÒNG TRÁNH VIRUS CHO WINDOWS XP !

*Xin vui lòng ñọc sơ qua mấy câu này:

– Tài liệu này mình viết ra chỉ mang tính tham khảo, chia sẻ với các bạn, dựa trên
kinh nghiệm của chính bản thân mình. Vì thế, chắc chắn ñây không phải là tài
liệu theo chuẩn mực gì cả ! Và … cũng vì thế, nếu có gì sai sót, mình mong các
bạn … bỏ wá cho ! :D.
– Cái này chỉ áp dụng với WINDOWS XP(SP2/SP3 32bit), còn với Win Vista hay
Win7 thì mình cũng không biết liệu có làm tương tự ñược không (vì mình cũng
chưa dùng bao giờ).
– Người viết: thosanxamac@gmail.com Hà Nội, 23/02/2011

*TÀI LIỆU THAM KHẢO:

1.http://vi.wikipedia.org/wiki/Virus_%28m%C3%A1y_t%C3%ADnh%29
2.http://en.wikipedia.org/wiki/Trojan_computer_virus
3.http://en.wikipedia.org/wiki/List_of_computer_viruses
4.http://en.wikipedia.org/wiki/Computer_worm
5.http://en.wikipedia.org/wiki/Antivirus_software
…................ find more in Google.com..................

A.TÓM TẮT NỘI DUNG:

I. VIRUS VÀ ANTI-VIRUS
(Tham khảo từ http://vi.wikipedia.org/wiki/Virus_%28m%C3%A1y_t%C3%ADnh%29 )

1.0 Mối quan hệ giữa Virus & Anti-Virus

1.1 Lịch sử hình thành và phát triển của Virus máy tính
1.2 Tác hại của Virus máy tính
1.3 Phân loại Virus máy tính
1.4 Nguyên lý hoạt ñộng của Virus

II. CÁCH PHÒNG TRÁNH

2.1 Xây dựng các quy tắc, chính sách bảo mật cho hệ thống và dữ liệu
2.1.1 Xác ñịnh các quy tắc, quy ñịnh bảo mật cho hệ thống
2.1.2 Nâng cao ý thức của người sử dụng
2.1.3 Giáo dục, tuyên truyền cho mọi người về văn hóa, pháp luật công nghệ
thông tin

2.2 Áp dụng các chương trình, phương pháp cụ thể

2.2.1 Tiến hành các biện pháp sao lưu, phục hồi
Created by thosanxamac@gmail.com ! Pages: 2 /19

2.2.2 Tiến hành các biện pháp bảo mật cho HĐH ñang sử dụng
2.2.2.a Đóng băng ổ cứng
2.2.2.b Sử dụng các phần mềm Anti-Virus, phần mềm phân tích/giám sát
hệ thống, phần mềm quản lý, xử lý, kiểm tra File
2.2.2.c Cấu hình bảo mật cho HĐH ñang sử dụng
2.2.3 Chạy ứng dụng trong môi trường cách ly( dùng máy ảo)
2.2.4 Sử dụng các HĐH khác (HĐH mã nguồn mở Linux…)

-----------------------------------------------------------------

B.NỘI DUNG:

I. VIRUS và ANTI-VIRUS

1.0 Mối quan hệ giữa Virus & Anti-Virus

Trên thế giới hiện nay, dòng Hệ Điều Hành( HĐH) WINDOWS của hãng Microsoft
ñang chiếm giữ thị phần lớn nhất (*: người dùng ñầu-cuối !). Và với Việt Nam chúng ta,
ñiều ñang ñúng ấy … cũng vẫn ñang ñúng ! Tuy nhiên, một thứ ñược dùng... ñại trà, chưa
chắc ñã là hoàn hảo.
Đại ña số chúng ta thường dùng XP, Vista hoặc Win7. Bản thân mình thì vẫn dùng
XP từ trước tới giờ (nó yêu cầu phần cứng thấp hơn 2 thằng kia, nữa là mình ñã quen
dùng nó rồi, ngại không muốn chuyển).
Khi dùng Win trong một thời gian, chắc hẳn chẳng ai trong chúng ta lại xa lạ gì với
cái từ “Virus”. Nó gây ra bao phiền toái, bực mình... thậm chí gây tổn thất cả về tiền bạc
của chúng ta( chi phí khắc phục hậu quả do Virus gây ra...). Ở ñây, mình xin phép không
phân biệt chi tiết các loại Virus, Troijan, Worm, Rootkit, SpyWare v.v... mà xin ñược gọi
chung là “Virus” cho ñơn giản.
Nhắc ñến “Virus” thì cũng phải nói ñến “Anti-Virus”. Virus ñược viết ra với nhiều
mục ñích khác nhau: phá hủy toàn bộ hệ thống; làm cho hệ thống chạy sai lệch, rối loạn;
thực hiện các hành vi bất hợp pháp; trộm cắp/phá hủy dữ liệu v.v.... hay ñơn giản chỉ là
một trò ñùa mà chẳng gây hại gì cho hệ thống. Còn “Anti-Virus” hiển nhiên có mục ñích
theo ñúng như nghĩa của nó là “ngăn ngừa và loại trừ virus”.
Tuy nhiên có một thực tế là, Virus luôn ñi trước, Anti-Virus cập nhật theo sau( tức
là cho dù hôm nay bạn ñang dùng phần mềm Anti-Virus tốt ñến mấy, thì bạn cũng không
thể diệt ñược 1 con Virus mà … ñáng nhẽ ra phải vài ngày sau hãng Anti-Virus mới công
bố bản cập nhật về con Virus ñó ñược ! Trừ khi... Chính bạn là người viết ra con Virus ñó
mà thôi ! :D ).
Điều ñó có nghĩa là Anti-Virus chỉ có tác dụng khi chúng ñã ñược cập nhật mẫu
Virus( Update), với Virus mới ra mà Anti-Virus lại chưa cập nhật ñược thì cũng vô tác
dụng. Và thời gian từ khi Virus mới xuất hiện, ñến khi các hãng Anti-Virus cập nhật ñược
(cập nhật ở ñây bao hàm NHẬN BIẾT & CÁCH TIÊU DIỆT ), khoảng thời gian này mà
càng lâu thì sẽ càng có nhiều người dùng bị nhiễm. Các hãng vẫn luôn cố gắng giảm thời
gian này xuống mức thấp nhất có thể, và người dùng lúc này không gì hơn là CHỜ ĐỢI &
HY VỌNG !
Cuộc chiến giữa “VIRUS” > “?” < “ANTI-VIRUS” sẽ là cuộc chiến không ngừng
nghỉ... và “CHÚNG TA” là người ñứng giữa.
Created by thosanxamac@gmail.com ! Pages: 3 /19

- Có phải cứ khi nào máy bị nhiễm Virus là ñều có thể dùng phần mềm Anti-Virus
(hoặc tự sửa) ñể diệt và ñưa hệ thống trở về hoạt ñộng bình thường như trước khi bị nhiễm
Virus không ?
- Câu trả lời: ña phần là KHÔNG !

Mình xin tự trích ñoạn trên, cũng chỉ muốn nhấn mạnh rằng “ñừng nên quá phó
mặc” vào phần mềm Anti-Virus. Máy cài phần mềm Anti-Virus tốt nhất, cũng chưa chắc
là sẽ không bao giờ bị nhiễm Virus. Thứ nữa là Anti-Virus chỉ có tác dụng với các loại
Virus, còn với các hành ñộng ác ý của con người thì nó vô tác dụng.

1.1 Lịch sử hình thành và phát triển của Virus máy tính

*Định nghĩa về Virus:

Trong khoa học máy tính, virus máy tính (thường ñược người sử dụng gọi tắt là
virus) là những chương trình hay ñoạn mã ñược thiết kế ñể tự nhân bản và sao chép chính
nó vào các ñối tượng lây nhiễm khác (file, ổ ñĩa, máy tính...).
*Lịch sử hình thành:
Năm 1949: John von Neumann (1903-1957) phát triển nền tảng lý thuyết tự nhân
bản của một chương trình cho máy tính.
Vào cuối thập niên 1960 ñầu thập niên 1970 ñã xuất hiện trên các máy Univax 1108
một chương trình gọi là "Pervading Animal" tự nó có thể nối với phần sau của các tập tin
tự hành. Lúc ñó chưa có khái niệm virus.
(References in http://vi.wikipedia.org/wiki/Virus_%28m%C3%A1y_t%C3%ADnh
%29 )

1.2 Tác hại của Virus máy tính

Trước ñây, virus thường ñược viết bởi một số người am hiểu về lập trình muốn
chứng tỏ khả năng của mình nên thường virus có các hành ñộng như: cho một chương
trình không hoạt ñộng ñúng, xóa dữ liệu, làm hỏng ổ cứng,... hoặc gây ra những trò ñùa
khó chịu.
Những virus mới ñược viết trong thời gian gần ñây không còn thực hiện các trò ñùa
hay sự phá hoại ñối với máy tính của nạn nhân bị lây nhiễm nữa, mà ña phần hướng ñến
việc lấy cắp các thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng) mở cửa sau cho tin
tặc ñột nhập chiếm quyền ñiều khiển hoặc các hành ñộng khác nhằm có lợi cho người
phát tán virus.
Chiếm trên 90% số virus ñã ñược phát hiện là nhắm vào hệ thống sử dụng hệ ñiều
hành họ Windows, ñơn giản bởi hệ ñiều hành này ñược sử dụng nhiều nhất trên thến giới.
Do tính thông dụng của Windows nên các tin tặc thường tập trung hướng vào chúng nhiều
hơn là các hệ ñiều hành khác. Cũng có quan ñiểm cho rằng Windows có tính bảo mật
không tốt bằng các hệ ñiều hành khác (như Linux) nên có nhiều virus hơn, tuy nhiên nếu
các hệ ñiều hành khác cũng thông dụng như Windows hoặc thị phần các hệ ñiều hành
ngang bằng nhau thì cũng lượng virus xuất hiện có lẽ cũng tương ñương nhau.

1.3 Phân loại Virus máy tính

Created by thosanxamac@gmail.com ! Pages: 4 /19

- Virus Boot
- Virus File
- Con ngựa Thành Tơ-roa - Trojan Horse
- Sâu Internet – Worm
- Rootkit
v.v.....(các bạn tự tìm hiểu nha).

1.4 Nguyên lý hoạt ñộng của Virus

Trước hết, Virus máy tính cũng là một chương trình máy tính. Nó do con người viết
ra( bằng cách sử dụng ngôn ngữ lập trình nào ñó như Assembly, Pascal, Delphi, C, C++,
Visual Basic v.v...), không phải là do máy tính “tự sinh ra”.

Virus máy tính có ñặc tính “tự nhân bản”. Nó có thể tạo ra 1 bản sao của chính nó,
lây nhiễm vào các ñối tượng khác. Thường ña số Virus máy tính hay lây nhiễm vào các
loại File chương trình (.exe, .com, .msi, .pif, .bat, .vbs, .js v.v...). Tuy nhiên, ñến thời
ñiểm hiện nay, các Virus máy tính không chỉ ñơn thuần tấn công vào các loại File chương
trình (mà thường các chương trình của HĐH nào thì chỉ chạy ñược trên HĐH ấy, hoặc
các dòng HĐH có ñặc tính tương tự ==> Không phát huy ñược mức ñộ lây nhiễm tối ña),
nên chúng mở rộng tấn công cả vào các ñịnh dạng tập tin khác như .doc, .xls, .swf,
.mp3, .jpg … Mà các tập tin này ñược sử dụng rất phổ biến, ñược hỗ trợ bởi hầu hết các
HĐH hiện nay, nên nếu bị tấn công, mức ñộ lây lan sẽ rất rộng.

Phương pháp “tự nhân bản” của Virus:

– Nó sẽ copy chính nó và ghi nối vào phần ñuôi của 1 tập tin chương trình nào ñó(
tương tự như loại "Pervading Animal" xuất hiện trên dòng máy Univax 1108
vào cuối thập niên 1960, ñầu 1970).
– Các loại Virus ngày nay không chỉ ñơn giản “copy chính nó ghi vào cuối file
chương trình” như trước, nó có thể chèn ñoạn “mã ñộc” của nó vào ñâu ñó trong
chương trình bị lây nhiễm, hoặc “sửa” ñoạn mã của chương trình bị lây nhiễm
thành ñoạn mã của nó.

Khi chương trình bị nhiễm chạy, tức là ñã ñược Load vào RAM, thì khi ấy nội dung
của Virus cũng ñược Load vào theo, các lệnh của Virus khi ấy sẽ ñược CPU thực hiện.
Hiện nay, một số Virus có khả năng tạo ra các “biến thể”. Các biến thể thường có mọi
chức năng của Virus ban ñầu, nhưng mã của nó ñã thay ñổi, ñiều ñó làm cho việc nhận
diện mẫu Virus của các phần mềm Anti-Virus sẽ gặp khó khăn.
Vì là 1 chương trình máy tính, nên Virus cũng bị phụ thuộc vào HĐH. Ví dụ: Virus
chạy trên MS-DOS (16bit) thì không chạy ñược trên Windows XP (32bit); loại chạy ñược
trên Win XP (32bit) thì không chạy ñược trên Win 7 (loại 64 bit); loại .exe chạy ñược trên
WINDOWS 32bit không chạy trực tiếp ñược trên các HĐH Linux 32 bit ! …
Created by thosanxamac@gmail.com ! Pages: 5 /19

II.CÁCH PHÒNG TRÁNH:

2.1 Xây dựng chính sách bảo mật cho hệ thống và các dữ liệu (ý thức sử dụng)

2.1.1 Xác ñịnh các quy tắc, quy ñịnh bảo mật cho hệ thống:
Với người sử dụng máy tính cá nhân như chúng ta, trước khi sử dụng máy tính,
chúng ta cần tự trang bị trước cho mình các hiểu biết cơ bản, phục vụ cho nhu cầu, công
việc của bản thân.
- Xác ñịnh sẽ dùng HĐH nào ? Windows XP, Vista, Win 7 hay Linux( Ubuntu,
Fedora, RedHat, Slackware v.v...). Khi dùng HĐH nào, phải có kiến thức cơ bản ñể sử
dụng HĐH ấy( càng biết nhiều thì càng tốt !).
Từ ñó, tìm hiểu xem HĐH mình ñang dùng có thể bị lây nhiễm bởi những loại
Virus như thế nào, nếu nó có thể bị Virus lây nhiễm thì có các phương pháp nào ñể khắc
phục/hạn chế sự lây nhiễm không ? Khi hệ thống bị Virus phá hủy thì làm thế nào ñể phục
hồi ? v.v...
- Sử dụng với mục ñích gì: các công việc văn phòng, vẽ thiết kế/ñồ họa, giải trí,
chơi game, nghiên cứu v.v... Chúng ta tự mình xác ñịnh những dữ liệu nào là quan trọng,
cần phải bảo vệ, những dữ liệu nào không cần thiết.
Từ ñó, chúng ta có thể xây dựng cho mình các quy tắc như:
– Không lưu dữ liệu vào phân vùng cài ñặt hệ thống
– Không ñể lẫn các dữ liệu quan trọng với những dữ liệu bình thường khác
– Không cài phần mềm lạ hoặc không cần thiết khi mà chưa quét Virus kiểm tra
– Không ñể cho các chương trình tự ñộng truy cập vào những dữ liệu quan trọng
v.v...(Với mỗi hệ thống, mục ñích sử dụng khác nhau sẽ có những quy tắc, chính
sách bảo mật khác nhau)

2.1.2 Nâng cao ý thức của người sử dụng:

Ngày nay, các loại Virus hoạt ñộng ngày càng tinh vi. Không có một chương trình
Anti-Virus hoàn hảo nào có thể ngăn ngừa, tiêu diệt mọi loại Virus cả. Vì thế, ngoài việc
trang bị những phần mềm Anti-Virus tốt ra, chúng ta phải tự ñề cao ý thức cảnh giác của
chính bản thân mình, như không kích ñúp vào bất cứ link Yahoo nào khi mà không biết rõ
link ñó dẫn tới ñâu hay nó sẽ tự tải cái gì về. Không nên ñể Windows Explorer ở chế ñộ
không hiện ñuôi File và File ẩn khi duyệt File trên máy và USB v.v...

2.1.3 Giáo dục, tuyên truyền cho mọi người về văn hóa, pháp luật công nghệ thông
tin:
Công nghệ thông tin là một nghành có tốc ñộ phát triển rất nhanh, hệ thống pháp
luật liên quan ñến CNTT không phải ở quốc gia nào cũng có bộ luật hoàn thiện, và cũng
không phải luật pháp nước nào cũng giống nhau. Nhưng ngày nay, với Việt Nam chúng ta,
hành vi “viết, phán tán virus lên mạng” chắc chắn là phạm pháp, còn hình phạt thì tùy
theo mức ñộ thiệt hại mà hành vi ñó gây ra.(Tham khảo ñiều 224, Bộ Luật Hình Sự năm
1999).
Created by thosanxamac@gmail.com ! Pages: 6 /19

2.2 Áp dụng các chương trình, phương pháp cụ thể:

2.2.1 Tiến hành các biện pháp sao lưu, phục hồi
Việc tiến hành các biện pháp sao lưu không những chỉ phát huy tác dụng khi hệ
thống bị Virus phá hủy, nó còn rất hữu ích với các tình huống khác như hệ thống gặp trục
trặc phần cứng, lỗi của phần mềm, lỗi của người dùng( vô tình) trong quá trình sử dụng
v.v... Khi cần phục hồi, chỉ cần sử dụng bản sao lưu ñã tạo trước ñó là ñược. Việc này tiết
kiệm ñược rất nhiều thời gian và công sức. Ví dụ, khi Windows bị phá hủy, không dùng
ñược, nếu chúng ta cài ñặt lại hết từ HĐH, tìm các Drivers, các phần mềm, các KEY cài
ñặt, cấu hình lại cho các ứng dụng v.v... sẽ phải tốn rất nhiều thời gian, nhưng nếu ta ñã
tạo bản sao lưu( như dùng Norton Ghost ñể tạo file ghost .GHO chẳng hạn), ta chỉ mất có
vài phút( tùy cấu hình máy) ñể phục hồi lại toàn bộ hệ thống về như lúc ta tạo bản sao lưu.
Hiện nay, có khá nhiều phần mềm thực hiện công việc này, như Norton Ghost của
hãng Symantec, Acronis True Image của hãng Acronis, tiện ích dd của GNU Linux v.v...
Thông thường Norton Ghost vẫn hay ñược sử dụng nhiều nhất, do cách dùng ñơn giản,
hỗ trợ nhiều ñịnh dạng, tốc ñộ khá nhanh.
Norton Ghost thường ñược tích hợp sẵn trên các ñĩa CD Hiren Boot. Để sử dụng, ta
khởi ñộng hệ thống từ ñĩa CD ñó (tùy chỉnh trong BIOS). Sau ñó, tùy nhu cầu muốn tạo
bản sao lưu hay phục hồi, ta chỉ việc làm theo các chỉ dẫn của chương trình.
Created by thosanxamac@gmail.com ! Pages: 7 /19

*Bảo vệ bản sao lưu

Khi ñã tạo ra ñược bản sao lưu của hệ thống( hoặc dữ liệu của phân vùng nào ñó),
chúng ta cần phải bảo vệ bản sao lưu ñó( tránh không ñể cho Virus hay chương trình ác ý
nào ñó xóa mất) . Nếu có dư 1 ổ cứng không dùng, ta có thể lưu bản sao lưu vào ñó, cách
ly nó với hệ thống ñang dùng. Nếu chỉ có 1 ổ cứng duy nhất, ta phải lưu sang phân vùng
khác.
Ví dụ khi dùng Windows XP, ta nên ñể tất cả các phân vùng ở ñịnh dạng NTFS. Ổ
cứng có dung lượng 250GB chẳng hạn, chia làm 5 phân vùng C,D,E,F,G mỗi phân vùng
50GB. Chúng ta có file ghost của ổ C là ñược lưu là D:\MYXP3.GHO , còn dữ liệu ñược
lưu là D:\mydata.zar chẳng hạn( ổ D ñược ñịnh dạng NTFS). Để bảo vệ 2 File trên, ta
thiết lập “từ chối mọi truy cập” vào 2 File trên như sau:
Mở “Command Prompt” lên (vào Start/Run, gõ cmd, nhấn Enter), gõ tiếp các câu
lệnh:
CD\
D:
ATTRIB MYXP3.GHO + R
ATTRIB MYDATA.RAR +R
ECHO Y|CACLS MYXP3.GHO /D EVERYONE
ECHO Y|CACLS MYDATA.RAR /D EVERYONE
Created by thosanxamac@gmail.com ! Pages: 8 /19

Từ giờ trở ñi, 2 Files D:\MYXP3.GHO và D:\MYDATA.RAR sẽ không thể

Rename, Copy, Cut, Delete ñược nữa !
*Khi muốn truy cập lại, chúng ta thực hiện lệnh sau:
ECHO Y|CACLS MYXP3.GHO /G EVERYONE:F
ECHO Y|CACLS MYDATA.RAR /G EVERYONE:F

(* Cách này chỉ có tác dụng với các phân vùng ñịnh dạng NTFS và HĐH Windows, từ
Win 2000 trở lên. Nếu sử dụng ñĩa CD HirenBoot hay HĐH Ubuntu có hỗ trợ NTFS, ta
có thể thực hiện mọi thao tác thông thường mà không bị cấm truy cập gì cả !)

(Ảnh minh họa khi xóa file D:\myxp3.gho trên Windows XP)

*Nếu máy chúng ta cài 2 HĐH bao gồm Windows XP và Ubuntu 10.10 chẳng hạn.
Ta có thể dùng Ubuntu ñể ñịnh dạng cho ổ F là EXT4. Sau ñó ta Cut hoặc Copy 2 file
D:\MYXP3.GHO và D:\MYDATA.RAR vào ổ F. Khi ñó mọi chương trình trên Windows
(kể cả các chương trình Virus) sẽ không thể nào truy cập ñược vào tài nguyên của ổ F, do
Windows không hỗ trợ phân vùng EXT4 của Ubuntu (khi ấy, nếu mở Windows Explorer
lên, ta sẽ không thấy ổ F nữa, còn Disk Managent chỉ nhận biết ñược phân vùng ñó có
dung lượng bao nhiêu, nhưng không hiểu ñược phân vùng ñịnh dạng kiểu gì, do ñó nó
không nhận ñược phân vùng).
Created by thosanxamac@gmail.com ! Pages: 9 /19

2.2.2 Tiến hành các biện pháp bảo mật cho HĐH ñang sử dụng

2.2.2.a Đóng băng ổ cứng:

Đây ñược coi là phương pháp rất “hiệu nghiệm” trong thời ñại “Virus lan tràn” như
hiện nay. Một khi phân vùng ñã ñược ñóng băng, mọi Files trên phân vùng ñó sẽ luôn
nguyên vẹn khi ta khởi ñộng lại hệ thống.
*Phần mềm ñóng băng ổ cứng là gì ?
Đó là 1 chương trình cũng khá ñặc biệt, một khi ñã cài nó vào, sau ñó dùng nó ñể
ñóng băng ổ C (ổ cài ñặt HĐH Windows XP) chẳng hạn. Sau khi ñã ñóng băng ổ C,
chúng ta có thể làm mọi thứ bình thường như khi chưa ñóng băng vậy, chỉ khác 1 ñiều là
chỉ cần khởi ñộng lại máy(hay mất ñiện bất ngờ chẳng hạn) thì mọi thứ trên ổ C vẫn y
nguyên như ban ñầu. Cho dù Virus hay chính chúng ta xóa sạch các File của hệ thống, thì
chỉ với 1 cái nhấn Reset ñể khởi ñộng lại là mọi thứ lại như ban ñầu.
*Dùng ñóng băng ổ cứng có lợi ñiểm gì ?
- Không bao giờ lo hệ thống bị hỏng hóc, lây nhiễm bởi bất cứ chương trình gì( do
vậy, nếu chúng ta muốn tìm tòi về vi tính,ta có thể thoải mái TEST mọi thứ với hệ thống
máy tính của mình: thử xóa một vài file hệ thống nào ñó, thử cho Virus lây nhiễm vào
máy mình v.v...).
Hoặc ñơn giản, nếu chúng ta chỉ dùng máy ñể gõ văn bản, nghe nhạc, xem phim,
lướt web v.v... và cũng không có nhu cầu cần cài thêm phần mềm nào nữa, và chúng ta
muốn hệ thống của mình “cứ cố ñịnh” như vậy, không muốn bận tâm với các loại Virus,
mã ñộc v.v... thì “ñóng băng ổ cứng” là lựa chọn hàng ñầu.
- Chống ñược các hành vi “ác ý” của người dùng.
Ví dụ: Máy chúng ta ñã cài phần mềm diệt Virus, ta ñang vào máy với chế ñộ
Administrator, bỗng chúng ta phải ra ngoài ñi ñâu ñó, trong lúc “vắng chủ” này, có ai ñó
vào máy ngồi, họ vào Start/Run, gõ cmd ñể mở Command Promt lên, gõ tiếp assoc
.exe=”program file” Sau ñó họ ñóng Command Prompt lại. Bây giờ chúng ta quay lại
Created by thosanxamac@gmail.com ! Pages: 10 /19

dùng máy của mình, chúng ta sẽ thấy có sự lạ xảy ra ! Hầu hết các chương trình ñều
không thể chạy ñược nữa !
Đây chỉ là một tình huống ñơn giản về kiểu “hành vi ác ý” của người dùng khác,
thực tế với một người có sự hiểu biết tương ñối về máy tính, nếu cố ý, họ có thể dễ dàng
làm hỏng hóc hệ thống của chúng ta( hỏng mà không hoặc rất khó sửa lại ñược nếu không
cài lại Windows), cho dù máy ñã cài ñầy ñủ các chương trình Anti-Virus, Firewall v.v...

Có khá nhiều phần mềm ñóng băng, như DeepFreeze, Driver Vaccin, Returnil ...
DeepFreeze ñược dùng rộng rãi nhất, do tính ñơn giản, ổn ñịnh, “vững chắc” của nó.
Trên mạng cũng ñã xuất hiện các chương trình UnDeepFreeze. Ra ñời với mục ñích
ñưa DeepFreeze từ trạng thái “ñóng băng - Boot Frozen” sang trạng thái “rã băng - Boot
Thawed” mà không cần mật khẩu ñóng băng ban ñầu. Tuy nhiên, các chương trình
UnDeepFreeze chỉ có tác dụng với các bản DeepFreeze 6.0 trở xuống.
Created by thosanxamac@gmail.com ! Pages: 11 /19

Tuy nhiên cũng có khi chúng ta muốn gỡ bỏ ñóng băng mà không biết mật khẩu thì
sao ? Hoặc chúng ta bị ai ñó trêu ñùa, cài trộm DeepFreeze vào máy, và bị ñóng băng hết
các ổ ?

*Cách này sẽ gỡ bỏ ñược DeepFreeze mà không cần mật khẩu hay phần mềm:

*Phần mềm ñóng băng hoạt ñộng theo nguyên tắc sau:
- Khi máy chưa có phần mềm DeepFreeze: mọi thao tác ghi/xóa file trên mọi phân
vùng ñược thực hiện dựa trên trình ñiều khiển ñĩa cứng của HĐH là
C:\WINDOWS\SYSTEM32\Drivers\disk.sys.
- Khi máy ñã cài DeepFreeze( bản Standard 6.53 chẳng hạn): mọi thao tác ghi/xóa
file trên phân vùng ñóng băng ñược thực hiên dựa trên trình ñiều khiển ñĩa cứng ghi/xóa
ảo C:\WINDOWS\SYSTEM32\Drivers\DeepFrz.sys của DeepFreeze. Còn với các
phân vùng không ñóng băng, vẫn dùng trình ñiều khiển C:\WINDOWS \ SYSTEM32 \
Drivers\disk.sys của HĐH.
Việc quyết ñịnh dùng trình ñiều khiển nào, cho phân vùng nào ñược DeepFreeze
nạp vào HĐH ngay từ khi mới khởi ñộng máy.
==> Chúng ta có thể phá băng bằng cách COPY ñè disk.sys lên DeepFrz.sys, ví dụ
COPY disk.sys thành File có tên là copy-disk.sys chẳng hạn, sau ñó xóa File DeepFrz.sys
ñi ( nhưng trước khi xóa, nên tạo 1 bản backup của File DeepFrz.sys, COPY DeepFrz.sys
thành DeepFrz.bak chẳng hạn), sau ñó ñổi tên copy-disk.sys thành DeepFrz.sys. Tuy
nhiên chúng ta không thể làm ñiều này trong lúc ñang chạy XP ñược( vì có làm cũng
chẳng có tác dụng gì). Chúng có thể dùng 1 ñĩa CD khởi ñộng như Hiren Boot hoặc
Ubuntu LiveCD ñể làm ñiều này.

2.2.2.b Sử dụng các phần mềm Anti-Virus, phần mềm phân tích/giám sát hệ thống,
phần mềm quản lý, xử lý, kiểm tra File...

*Phần mềm Anti-Virus:

Mục ñích: dùng ñể quét các File trước khi cài ñặt hay sử dụng, loại bỏ các ñoạn
mã ñộc do Virus nhiễm vào files, loại bỏ các nhánh/giá trị do Virus ghi vào Registry v.v...
Tuy nhiên, không nên nghĩ rằng dùng 1 phần mềm Anti-Virus tốt là có thể ngăn ngừa, tiêu
diệt mọi loại Virus, mã ñộc. Hoặc khi hệ thống ñã bị Virus phá hoại, sửa ñổi rồi, lúc ấy
mới sử dụng Anti-Virus ñể khắc phục, sửa chữa thì không phải chắc chắn là 100% sẽ ñưa
ñược hệ thống về trạng thái như trước khi bị lây nhiễm.
Trên mạng hiện nay có rất nhiều phần mềm diệt Virus, trong nước/ngoài nước, miễn
phí/mất phí v.v.. Chỉ cần lên Google gõ từ khóa “phần mềm diệt virus tốt nhất” chẳng hạn,
Google sẽ trả về cho chúng ta.... “một ñống những thứ tốt nhất” !
Một số chương trình diệt Virus miễn phí khá tốt, ñược người dùng bình chọn như
Avira Antivir 10 Free Edition, Avast 5 Free Antivirus Edition, AVG 9 Antivirus Free
Edition, Panda Cloud Antivirus v.v...
Sử dụng phần mềm Anti-Virus nào tốt hơn phụ thuộc quan ñiểm, cảm nhận của
từng người. Nhưng nếu chúng ta ñang dùng các phương pháp như ñóng băng ổ cứng và
tạo bản ghost trước rồi v.v… hoặc HĐH chúng ta sử dụng không phải là Windows mà là
HĐH thuộc dòng Linux như Ubuntu, Slackware, RedHat v.v... thì chúng ta cũng không
Created by thosanxamac@gmail.com ! Pages: 12 /19

phải quá bận tâm về việc lựa chọn Anti-Virus làm gì.

*Phần mềm phân tích, giám sát hệ thống:

Mục ñích: giúp giám sát, phân tích hành ñộng các chương trình ñang chạy trên hệ
thống, từ ñó giúp phát hiện các chương trình “ñáng ngờ”, liệt kê danh sách các chương
trình, services v.v... ñang chạy trên hệ thống. Ứng dụng “Windows Task Manager” có sẵn
của HĐH không phải lúc nào cũng liệt kê ñược hết các chương trình ñang chạy ẩn, nó
cũng không hỗ trợ các chức năng Suspend/Restart hay ñóng nhiều chương trình cùng lúc.
Chúng ta có thể sử dụng “Process Explorer” ñể làm việc này.Nếu muốn theo dõi chi tiết
hơn, ta có thể dùng “Process Monitor”. Nó sẽ liệt kê mọi chương trình, services ñang
chạy, truy xuất ñến tài nguyên nào, thay ñổi gì ñến Registry.
Created by thosanxamac@gmail.com ! Pages: 13 /19

*Phần mềm quản lý, xử lý, kiểm tra file:

- Phần mềm quản lý File/Folder:

Ngoài chương trình Windows Explorer có sẵn của Windows, chúng ta có thể sử
dụng các chương trình khác như Total Commander ñể làm việc này. Windows Explorer có
nhược ñiểm là khi gặp một số loại Virus lây nhiễm vào máy sẽ không thể xem ñược ñuôi
file, không xem ñược các File/Folder bị ẩn... Nhưng với Total Commander chẳng hạn thì
không bị “hạn chế” này.

- Phần mềm xử lý, biên tập (Binary Editor) file:

Các phần mềm này giúp chúng ta xem hoặc chỉnh sửa mọi File nhị phân bất kỳ.
Nếu nghi ngờ 1 file nào ñó, ta có thể xem trực tiếp mã nhị phân của nó, nó có thể cung
cấp cho chúng ta một vài thông tin hữu ích.
Ví dụ: Free Hex Editor Neo, Notepad++, Tiny Hexer v.v...

- Phần mềm kiểm tra mã Hash:

Hash còn ñược gọi là “hàm băm” hay “bảng băm”. Hàm băm là một hàm toán học
chuyển ñổi một thông ñiệp ñầu vào có ñộ dài bất kỳ thành một dãy bit có ñộ dài cố ñịnh
(tuỳ thuộc vào thuật toán băm). Dãy bit này ñược gọi là thông ñiệp rút gọn (message
digest) hay giá trị băm (hash value), ñại diện cho thông ñiệp ban ñầu. Hàm băm là hàm
một chiều nên không thể tái tạo lại thông ñiệp ban ñầu từ một chuỗi băm có sẵn. Mọi sự
thay ñổi dù là nhỏ nhất ở thông ñiệp ñầu vào cũng cho ra kết quả là một dãy số hoàn toàn
khác nhau nên ñây là cách tốt nhất ñể kiểm tra tính toàn vẹn của một tập tin. Hiện nay, có
nhiều chương trình kiểm tra mã hash( checksum) ñược phát triển như MD5(128 bit),
SHA-1(160 bit), Tiger(192 bit), SHA224(224 bit), SHA256(256 bit), SHA384(384 bit),
SHA512(512 bit), Whirlpool(512 bit) v.v...
Mục ñích: Kiểm tra tính xác thực của một File.
Ví dụ: Chúng ta cần down 1 chương trình là Portable_Example.exe (có dung lượng
chính xác là 123.456.789 bytes) của Hãng EXAMPLE chẳng hạn. Có nhiều trang WEB
cũng lưu các bản COPY của chương trình này. Chúng ta vào 1 trong các trang ñó, down
về, ta thấy dung lượng của nó vẫn là 123.456.789 bytes. Nhưng liệu chúng ta có chắc
chắn ñó là chương trình thực sự của nhà sản xuất không, hay ñó là chương trình ñã bị “sửa
ñổi” ? Muốn chắc chắn, chúng ta chỉ còn cách vào trang gốc của nhà sản xuất ñể down về(
hoặc yêu cầu nhà sản xuất gửi trực tiếp ñĩa cài ñặt cho chúng ta chẳng hạn). Sau ñó, ta sẽ
phải so sánh lần lượt “từng BYTE một” của 2 file với nhau. Giả sử chúng ta ñã có phần
mềm làm công việc này. Nhưng nếu chúng ta rơi vào tình huống là có 1000 files
Portable_Example_000.exe ñến Portable_Example_999.exe( mỗi file ñều có dung lượng
là 123.456.789 bytes), trong ñó có 50 file khác nhau(giả sử ñó là các chương trình ñã bị
cài “mã ñộc”), khác cả 950 file kia, hãy tìm 50 file ñó ? Lúc này, nếu chúng ta dùng cách
trên sẽ rất mất thời gian. Để nhanh gọn, người ta sử dụng mã Hash. Ví dụ, nhà sản xuất
thông báo trên trang web của họ file Portable_Example.exe có mã MD5 là
8615578c5834c5fa6bdf280288c031cc chẳng hạn, khi down về, chúng ta dùng phần mềm
kiểm tra MD5Sum, nếu cho ra dãy giống trên kia thì “thường” là ñược, còn nếu khác,
“chắc chắn” ñó không phải là của nhà sản xuất. Để chắc chắn thêm, các nhà sản xuất
thường ñưa thêm các mã hash khác nữa như SHA-1, SHA256 v.v...
Created by thosanxamac@gmail.com ! Pages: 14 /19

(Một vài chương trình hash check chạy trong môi trường CMD)

2.2.2.c Cấu hình bảo mật cho HĐH ñang sử dụng:

HĐH Windows XP cũng có các cấu hình bảo mật cho người sử dụng. Để ñược hỗ
trợ tốt nhất, nên ñịnh dạng các phân vùng là NTFS.

*Cấu hình Windows Explorer ở chế ñộ luôn hiện ñuôi file, mọi file ẩn

Nếu chúng ta ñã từng bị nhiễm những loại virus như Kavo chẳng hạn, không thể
hiện ñược ñuôi file, không nhìn ñược các file ẩn( hidden), file hệ thống( system). Thường
chúng ta hay vào menu Tools/ Folder Options/View, chọn “Show hidden files and
folders”, bỏ dấu check trước “Hide extensions for known file types” và “Hide protected
operating system files”. Tuy nhiên cách ñó “vô tác dụng” khi gặp những loại Virus như
Kavo.
Hoặc chúng ta có thể sẽ sửa bằng cách mở C:\WINDOWS\regedit.exe lên, mở
nhánh
[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A
dvanced], sửa lại một số các giá trị như: Hidden - 1, Super hidden - 1, Hide FileExt – 0,
Show superhidden – 1. Tuy nhiên, ngay khi chúng ta sửa xong, ñóng Regedit lại, ñóng/mở
explorer.exe ñể cập nhật Registry, chúng ta vào Windows Explorer xem thì vẫn không có
gì thay ñổi, do Virus nó liên tục sửa ñi sửa lại các giá trị trên theo giá trị của nó, làm cho
chúng ta không thể sửa lại ñược. ==> Cách phòng thủ: khóa “chết” (Dead-Lock) những
nhánh Registry quan trọng, chỉ cho ñọc, không cho tạo mới/sửa chữa các giá trị.
Một số nhánh Registry quan trọng, nên khóa lại, không cho các chương trình tự
ñộng tạo/sửa chữa các giá trị:
Created by thosanxamac@gmail.com ! Pages: 15 /19

1.HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced
2.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer
3.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
4.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\po
licies\system
5.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\po
licies\Explorer

*Cách khóa Dead-Lock nhánh ñầu tiên( các nhánh khác làm tương tự):
Cách làm: loại bỏ toàn bộ các quyền xóa, sửa chữa, tạo nhánh con … chỉ cho quyền
ñọc (Read), truy vấn giá trị( Query Value).
Mở Registry Editor, kích phải chuột vào tên nhánh, chọn “Permission”, chọn tiếp
“Advanced”. Trong phần “Permission”, loại bỏ “thừa hưởng quyền từ nhánh cha”, sau ñó
chọn User hiện tại, nhấn “Edit” ñể sửa các quyền. Sửa lại các quyền thành như bảng sau.

Từ giờ trở ñi, nhánh

HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A
dvanced chỉ có thể ñọc và truy vấn mà không sửa( tự ñộng bởi chương trình) ñược, hay
nói cách khác là Windows Explorer sẽ luôn hiện toàn bộ ñuôi file và các file ẩn, cho dù
chúng ta có cố ý vào Tool/Folder Option/View ñặt cho nó ở chế ñộ không hiện ñuôi file
và file ẩn ñi chăng nữa.
*Một số kinh nghiệm, thủ thuật khác:
- Vô hiệu hóa tính năng Autorun của mọi ổ ñĩa. (Start/Run, gpedit.msc). Vào
Created by thosanxamac@gmail.com ! Pages: 16 /19

“Computer configuration”--> Administrative Templates--> System, chọn “Enable All

Drivers” cho “Turn off Autoplay”. Làm tương tự với nhánh “User configuration”.
Để chống Virus Autorun lây nhiễm vào USB, ta format USB ñịnh dạng NTFS tạo
trước file rỗng Autorun.inf, thiết lập không cho Virus ghi ñè file này. Mở Command
Prompt, ví dụ USB lúc này là ổ G.
CD\
G:
ATTRIB Autorun.inf +R
Cacls Autorun.inf /D EVERYONE (Nhấn Y)

Từ giờ trở ñi file Autorun.inf (File rỗng do chúng ta tạo) sẽ không thể bị xóa/ghi ñè
bởi Virus.
- Thường các chương trình cài ñặt, các loại chương trình Portable hay có dạng
.EXE, ñể tránh Virus “lây nhiễm” vào các Files này, chúng ta nên ñổi ñuôi .EXE sang tên
khác, ví dụ .TXE, .XXE v.v... Vì thường các loại Virus hay căn cứ vào ñuôi của tập tin
ñể xác ñịnh ñối tượng lây nhiễm(còn với loại Virus không căn cứ vào ñuôi Files, mà nó
quét toàn bộ nội dung Files hoặc phần ñầu Header của File ñể xác ñịnh kiểu Files thì cách
này không có tác dụng).
- Nên nén các chương trình hoặc dữ liệu quan trọng thành 1 file nén( nên ñặt cả mật
khẩu). Với cách này, Virus sẽ không thể lây nhiễm vào các chương trình, dữ liệu ñược( ñể
dạng nén cũng có ưu ñiểm là sẽ dễ lưu trữ, di chuyển hơn so với khi không nén).
- Nên khóa hoặc loại bỏ các chương trình, dịch vụ không cần thiết. Ví dụ, ñể vô
hiệu hóa các loại file .VBS, .JS chúng ta có thể khóa 2 files Cscript.exe, Wscript.exe trong
C:\WINDOWS\SYSTEM32 như sau: mở Command Prompt, gõ các lệnh:
CD\
CD C:\WINDOWS\SYSTEM32
ATTRIB Cscript.exe +R
ATTRIB Wscript.exe +R
CACLS Cscript.exe /D EVERYONE (nhấn Y)
CACLS Wscript.exe /D EVERYONE (nhấn Y)

- Nếu máy không ñóng băng và Windows ñang dùng là bản hợp lệ, nên ñể nó ở chế
ñộ tự ñộng cập nhật “Automatic update”, ñể cập nhật kịp thời các bản vá lỗi v.v..

2.2.3.Chạy ứng dụng trong môi trường cách ly( dùng máy ảo)

Ngày nay, cấu hình của máy tính cá nhân ñã mạnh hơn trước rất nhiều, có thể chạy
ñược nhiều ứng dụng nặng, phức tạp. Với các máy tính thế hệ trước, khi muốn dùng nhiều
HĐH, người dùng phải cài mỗi HĐH lên một phân vùng riêng, rồi dùng phương pháp
“Multi Boot” ñể lựa chọn HĐH khi khởi ñộng máy. Nhưng ngày nay, với một chiếc máy
tính có cấu hình “khá”, cộng với sự trợ giúp của phần mềm máy ảo, người dùng có thể
thoải mái cùng lúc sử dụng nhiều HĐH mà không lo ảnh hưởng ñến HĐH ñang dùng.
Ví dụ, HĐH thật sự chúng ta ñang dùng là Windows XP, ta có thể chạy Windows 7,
Windows Server 2003, Ubuntu, BackTrack, RedHat, Slackware v.v.. trên máy ảo( miễn là
HĐH mà phần mềm máy ảo và phần cứng của máy ñang dùng ñó hỗ trợ). Hiện nay có
khá nhiều phần mềm máy ảo như VMware WorkStation, Vmware Player, Microsoft
Created by thosanxamac@gmail.com ! Pages: 17 /19

Virtual PC, Sun Virtual Box, QEMU v.v...

(Vmware Player ñang chạy Windows 7, HĐH chủ là Windows XP)

*Phương pháp này có các ưu ñiểm:

- Giúp người dùng thoải mái nghiên cứu, sử dụng, làm quen với các HĐH khác mà
không phải cài “thật” vào ổ cứng( việc cài ñặt thêm các HĐH khác vào máy không phải
lúc nào cũng suôn sẻ, nhất là với người dùng chưa có nhiều kinh nghiệm). Đến khi nào họ
cảm thấy thực sự thích hoặc cần thiết v.v... thì “cài thật” vào ổ cứng.
- Khi dùng HĐH trong máy ảo, mọi thao tác sẽ không gây ảnh hưởng ñến HĐH
chủ, giúp người dùng thoải mái kiểm tra, thử nghiệm mọi phần mềm( kể cả cố tình chạy
Virus ñể phân tích, Test thử v.v... Đây là phương pháp rất thích hợp cho việc nghiên cứu,
tìm hiểu về Virus).
*Nhược ñiểm: Tốn nhiều năng lực xử lý của hệ thống (CPU, RAM, HardDisk …),
một vài chức năng, ứng dụng không ñược hỗ trợ hoàn toàn …
Created by thosanxamac@gmail.com ! Pages: 18 /19

(HĐH Windows XP “ảo” ñang chạy trên Windows XP thật !)

*Việc sử dụng phần mềm máy ảo ñể chạy hệ thống, tránh không cho Virus lây
nhiễm vào hệ thống thực sự là việc hoàn toàn có thể( thực tế cũng ñã chứng minh), nhưng
mục ñích chính khi dùng máy ảo thường vẫn là mang tính chất nghiên cứu, phân tích về
Virus hơn là ñể phòng tránh nó !

2.2.4 Sử dụng các HĐH khác (HĐH mã nguồn mở Linux, UNIX, MAC …)

Trên 90% số virus ñã ñược phát hiện là nhắm vào hệ thống sử dụng hệ ñiều hành họ
Windows, ñơn giản bởi hệ ñiều hành này ñược sử dụng nhiều nhất trên thến giới. Do tính
thông dụng của Windows nên các tin tặc thường tập trung hướng vào chúng nhiều hơn là
các hệ ñiều hành khác.

Cũng có quan ñiểm cho rằng Windows có tính bảo mật không tốt bằng các hệ ñiều
hành khác (như Linux) nên có nhiều virus hơn, tuy nhiên nếu các hệ ñiều hành khác cũng
thông dụng như Windows hoặc thị phần các hệ ñiều hành ngang bằng nhau thì lượng virus
xuất hiện có lẽ cũng tương ñương nhau.
Created by thosanxamac@gmail.com ! Pages: 19 /19

Để xét xem quan ñiểm nào ñúng, tốt nhất là tự chúng ta “trải nghiệm”. Chúng ta có
thể sử dụng các phương pháp như: dùng máy ảo VMware Player ñể làm quen trước với
một HĐH mã nguồn mở nào ñó, như Kubuntu 10.10 chẳng hạn. Sau ñó, sau khi ñã biết
cách sử dụng, chúng ta có thể cài nó vào ổ cứng, cài ñặt song song với Windows ñang
dùng. Mỗi khi khởi ñộng máy, chúng ta muốn dùng HĐH nào thì chọn HĐH ấy. Sau một
thời gian ñịnh kỳ, ví dụ như 3 tháng một chẳng hạn, chúng ta thử so sánh xem các HĐH
ñã từng bị nhiễm Virus nào chưa, ñã từng bị trục trặc, gặp thiệt hại nào do Virus gây ra
không, mức ñộ thiệt hại ra sao v.v... Từ ñó, chúng ta sẽ ñánh giá ñược HĐH nào phòng
chống Virus tốt hơn.

Tuy nhiên, HĐH mã nguồn mở ra ñời không phải là ñể “phòng chống với Virus của
Windows”. Cho nên, nếu chúng ta chỉ vì Windows hay bị Virus tấn công quá mà chuyển
sang dùng Linux thì cũng không nên, lúc này chúng ta chỉ cần sử dụng phương pháp ñơn
giản là “ñóng băng ổ cứng” lại. Chỉ nên dùng Linux khi chúng ta thấy thực sự có niềm
yêu thích, mong muốn tìm tòi, nghiên cứu về nó ñể phục vụ cho học tập, công việc v.v...
Vì việc sử dụng HĐH Linux thường yêu cầu người dùng phải có những kiến thức nhất
ñịnh ñể sử dụng, còn Windows thì không.

(HĐH mã nguồn mở Kubuntu 10.10)