GÓC CafeChieu23 + Nô: ập các công cụ khôi phục và chẩn đoán lỗi

Trong phần tiếp theo này chúng tôi sẽ giới thiệu cho các bạn cách sử dụng đĩa khởi động DaRT 6.5 để khắc phục sự cố các máy tính Windows.

Trong hai phần đầu của loạt bài này, chúng ta đã được biết về tập công cụ Diagnostic and Recovery Toolset (DaRT) của Microsoft cũng như cách cài đặt DaRT, tạo CD khởi động DaRT và sử dụng các công cụ DaRT trên CD để giải quyết một số vấn đề làm cho máy tính Windows không thể khởi động. Trong phần ba chúng tôi đã giới thiệu cho các bạn về cách sử dụng System File Checker (SFC), một thành phần trong tập các công cụ của DaRT; trong phần bốn này, chúng tôi sẽ giới thiệu thêm cho các bạn một số công cụ khác trong DaRT.

Một số công cụ khác trong DaRT

Chúng ta hãy trở về màn hình MSDaRT Tools, đây là màn hình xuất hiện khi chúng ta khởi động máy tính gặp sự cố bằng CD DaRT và đã trả lời tất cả các nhắc nhở (xem phần trước của loạt bài này để biết cách khởi động máy tính bằng CD DaRT):

Hình 1: Màn hình MSDaRT Tools

Chúng ta hãy đi khám phá một số công cụ khác của DaRT. Kích tùy chọn Explorer trên màn hình MSDaRT Tools, Windows Explorer sẽ xuất hiện:

Hình 2: Windows Explorer

Lưu ý các file ẩn và các file hệ thống sẽ được hiển thị mặc định trong cửa sổ Explorer. Bằng cách sử dụng tùy chọn có sẵn trong menu và từ menu chuột phải được hiển thị khi kích phải vào các mục, bạn có thể thực hiện một số nhiệm vụ như tạo thư mục, copy file,… Bạn cũng có thể bản đồ hóa các ổ đĩa mạng nếu cấu hình kết nối mạng thủ công hoặc thông qua DHCP. Nếu không muốn bản đồ hóa lại ổ đĩa khi khởi động từ CD DaRT, bạn sẽ thấy partition System Reserved ẩn, nơi lưu trữ các file cơ sở dữ liệu cấu hình khởi động cho máy tính.

Kích tùy chọn ERD Registry Editor trên màn hình MSDaRT Tools sẽ xuất hiện ERD Registry Editor:

Hình 3: ERD Registry Editor

Sử dụng ERD Registry Editor, bạn có thể thực hiện một số thay đổi đối với registry trên máy tính gặp sự cố. Lưu ý rằng không có HKEY_CURRENT_USERS hive hiển thị ở đây vì không có người dùng nào đăng nhập vào máy tính bạn đang khắc phục sự cố. Lưu ý rằng, chúng ta có thể duyệt và chỉnh sửa các nhánh con SAM và SECURITY trong HKEY_LOCAL_MACHINE hive. Các nhánh con này mặc định được đặt ở trạng thái ẩn trên các cài đặt Windows thông thường.

Kích tùy chọn Search trên màn hình MSDaRT Tools sẽ xuất hiện hộp thoại File Search:

Hình 4: Hộp thoại tìm kiếm file

Sử dụng hộp thoại này, bạn có thể tìm kiếm các file và thư mục trên máy tính mục tiêu. Bạn có thể tìm kiếm theo tên, theo thời gian, tìm kiếm file nằm trong dải kích thước nào đó. Khi đã tìm ra được file hoặc thư mục cần tìm, kích phải vào nó để hiển thị các thuộc tính của nó (chúng ta cũng có thể thực hiện điều này từ bên trong công cụ Explorer):

Hình 5: Xem thuộc tính của thư mục

Kích nút Permissions sẽ cho phép bạn xem các đặc quyền NTFS trên file hoặc thư mục.
Bạn cũng có thể kích phải lên thư mục trong trang kết quả tìm kiếm và mở nó trong Explorer:

Hình 6: Mở thư mục trong Explorer

Kích đúp vào file bản ghi sẽ cho phép xem file bằng Notepad:

Hình 7: Xem file CBS.log bằng Notepad

Kích tùy chọn Hotfix Uninstall trên màn hình MSDaRT Tools sẽ mở Hotfix Uninstall Wizard:

Hình 8: Hotfix Uninstall Wizard

Nếu hệ thống mục tiêu không ổn định sau khi download và cài đặt hotfix bảo mật mới nhất từ Windows Update, bạn có thể sử dụng wizard này để hủy bỏ cài đặt từng hotfix một cho tới khi hệ thống trở về trạng thái ổ định. Ngoài ra nếu có thể khởi động vào Windows, bạn sẽ có thể sử dụng System Restore đơn giản hơn, tuy nhiên chúng ta ở đây đang giả định hệ thống không thể khởi động.

Kích Next, DaRT sẽ tìm kiếm tất cả các hotfix được cài đặt trên hệ thống:

Hình 9: Danh sách các hotfix đã được cài đặt

Tìm đến các hotfix mới nhất, chọn và kích Details, tiện ích Deployment Image Servicing and Management (DISM) sẽ mở gói phần mềm và hiển thị các thông tin chi tiết có liên quan đến hotfix:

Hình 10: Xem thông tin về hotfix

Để remove một hotfix ra khỏi hệ thống, hãy chọn hộp kiểm cho hotfix và tiếp tục thực hiện theo những gì trong wizard.

Một số kịch bản khắc phục sự cố (thêm vào đó là một cặp công cụ DaRT) cần kết nối mạng để giải quyết được vấn đề gặp phải. Nếu ban có máy chủ DHCP trong mạng của mình, DaRT có thể mượn địa chỉ IP như đã mô tả trong phần trước của loạt bài. Mặc dù vậy nếu không có DHCP server, bạn có thể kích tùy chọn TCP/IP Config trong màn hình MSDaRT Tools để mở hộp thoại TCP/IP Configuration, hộp thoại này sẽ cho phép bạn cấu hình thủ công địa chỉ IP, subnet mask, cổng mặc định và các địa chỉ DNS server cho hệ thống mục tiêu:

Hình 11: Tự gán địa chỉ IP cho hệ thống mục tiêu

Đôi khi máy tính có thể không khởi động được do tiêm nhiễm malware. Nếu gặp phải trường hợp này, hãy khởi động máy tính của bạn bằng DaRT CD và kích tùy chọn Standalone System Sweeper trong màn hình MSDaRT Tools để khởi chạy Standalone System Sweeper:

Hình 12: Bước 1 trong sử dụng Standalone System Sweeper

Khi Standalone System Sweeper được khởi chạy, hãy kích nút Check For Updates Now ở đây:

Hình 13: Bước 2 trong sử dụng Standalone System Sweeper

Kích Download để nhận các nâng cấp định nghĩa malware mới nhất từ Microsoft Malware Protection Center. Lưu ý rằng bạn cần phải có kết nối mạng (và Internet) để thực hiện hành động này:

Hình 14: Bước 3 trong sử dụng Standalone System Sweeper

Màn hình tiếp theo hiển thị các định nghĩa malware mới nhất đang được download. Quá trình này sẽ diễn ra trong vài phút:

Hình 15: Bước 4 trong sử dụng Standalone System Sweeper

Khi các định nghĩa đã được download, bạn có thể sử dụng nút Scan trên thanh công cụ để quét malware trên hệ thống mục tiêu. Ở đây bạn có một số tùy chọn như quét nhanh, quét toàn bộ hoặc tùy biến:

Hình 16: Bước 5 trong sử dụng Standalone System Sweeper

Màn hình tiếp theo hiển thị quá trình quét. Biểu tượng (!) màu vàng chỉ thị rằng nó đã tìm được malware trong hệ thống:

Hình 17: Bước 6 trong sử dụng Standalone System Sweeper

Khi quá trình quét kết thúc, bạn có thể kích Clean System để remove sự tiêm nhiễm malware hay có thể kích Review Detected Items để xem Standalone System Sweeper đã tìm được những gì trên hệ thống. Chúng ta sẽ chọn tùy chọn thứ hai ở đây:

Hình 18: Bước 7 trong sử dụng Standalone System Sweeper

Kích tùy chọn Review Detected Items bạn sẽ gặp một số nhắc nhở gửi thông tin tiêm nhiễm malware tới Microsoft để nó sẽ được add vào cơ sở dữ liệu của họ nhằm phân tích:

Hình 19: Bước 8 trong sử dụng Standalone System Sweeper

Sau khi kích Yes (hoặc No) trong hộp thoại trên, Standalone System Sweeper Warning sẽ được mở và hiển thị danh sách các mục malware bị phát hiện. Kích Action control sẽ cho phép bạn Remove, Quarantine hoặc Allow malware (mặc định là Remove):

Hình 20: Bước 9 trong sử dụng Standalone System Sweeper

Để remove malware, kích Clean System. Nếu việc remove thành công, thông tin này sẽ được chỉ thị bên dưới cột trạng thái:

Hình 21: Bước 10 trong sử dụng Standalone System Sweeper

Một công cụ DaRT hữu dụng khác là Computer Management:

Hình 22: Computer Management

Như những gì bạn thấy ở trên, phiên bản của Computer Management trong DaRT chỉ cho phép bạn có các tùy chọn dưới đây:

Xem thông tin hệ thống
Xem bản ghi sự kiện
Xem các file autorun và xóa tùy biến
Xem driver và dịch vụ (thay đổi chế độ khởi động)
Xem và quản lý đĩa cũng như phân vùng

Một công cụ DaRT khác là File Restore, cho phép bạn tìm các file do người dùng vô tình xóa bỏ và empty cả Recycle Bin:

Hình 23: File Restore

Lưu ý File Restore không khôi phục các file bị xóa nếu chúng đã bị ghi đè.

Một công cụ khác nữa là Locksmith cho phép bạn có thể thiết lập lại mật khẩu tài khoản người dùng trên máy tính mục tiêu:

Hình 24: Locksmith

Locksmith thậm chí còn cho phép thiết lập lại tài khoản Administrator cục bộ nếu bạn quên mật khẩu của nó:

Hình 25: Locksmith có thể thiết lập lại tài khoản Administrator cục bộ

Một công cụ hữu dụng nữa ở đây mang tên Disk Commander:

Hình 26: Disk Commander

Bạn có thể sử dụng Disk Commander để khôi phục bản ghi khởi động chủ của hệ thống và thông tin partition (malware có thể làm lỗi những bản ghi này và làm cho hệ thống không thể khởi động):

Hình 27: Các tùy chọn của Disk Commander

Có một thứ Disk Commander không thể sửa được là các vấn đề liên quan đến cơ sở dữ liệu cấu hình khởi động (BCD). Tuy nhiên nếu BCD của bạn bị lỗi, bạn sẽ thấy hộp thoại bên dưới trước khi vào màn hình MSDaRT Tools: