Khắc phục hậu quả của Windows XP/Vista Recovery

Nhưng không phải chỉ có chúng ta mới biết được cách làm này, mà những hacker sơ nhập cũng nắm được nguyên lý đơn giản này, do vậy tin tặc đã tiếp tục sáng tạo ra một số phần mềm bảo mật giả mạo với mục đích cố tính di chuyển các file hoặc dữ liệu quan trọng của người dùng vào thư mục temp này. Những trường hợp phổ biến thường gặp nhiều nhất là phần mềm bảo mật giả mạoWindows Recovery và Windows Restore trong hệ điều hành Windows XP hoặc Vista ngày nay, nhiều file hệ thống...
Nội dung trích xuất từ tài liệu:
Khắc phục hậu quả của Windows XP/Vista Recovery Khắc phục hậu quả của Windows XP/Vista RecoveryNhưng không phải chỉ có chúng ta mới biết được cách làm này, mà nhữnghacker sơ nhập cũng nắm được nguyên lý đơn giản này, do vậy tin tặc đãtiếp tục sáng tạo ra một số phần mềm bảo mật giả mạo với mục đích cố tínhdi chuyển các file hoặc dữ liệu quan trọng của người dùng vào thư mục tempnày.Những trường hợp phổ biến thường gặp nhiều nhất là phần mềm bảo mật giảmạoWindows Recovery và Windows Restore trong hệ điều hành WindowsXP hoặc Vista ngày nay, nhiều file hệ thống của người dùng sẽ “bí mật”chuyển tới thư mục %temp%smtmp. Sau khi hệ thống bị lây nhiễm, cácbạn tuyệt đối không được xóa bỏ dữ liệu trong thư mục này như cách thườnglàm, hoặc sử dụng những công cụ hỗ trợ khác như Ccleaner... cho tới khihoàn tất quá trình khắc phục và mọi việc trở lại như bình thường.Cụ thể hơn, các chương trình giả mạo trên sẽ tạm ẩn và chuyển hết toàn bộshortcut chương trình trên nềnDesktop và Start Menu vào thưmục %temp%smtmp, sau đó tiếp tục tạo thêm 4 thư mục con khác: %Temp%smtmp1 => Allusers Start Menu %Temp%smtmp2 => Allusers Quick Launch %Temp%smtmp3 => Quick LaunchUser PinnedTaskBar %Temp%smtmp4 => AllUsers DesktopNếu không “làm sạch” thư mục temp thì chúng ta hoàn toàn có thể khôiphục lại những shortcut này, còn trong trường hợp còn lại, các bạn hãy dùngtiện ích restoresm để lấy lại các shortcut thường dùng (download, giải nén vàchạy file restoresm.bat).Một số bước tiếp theo cần tiến hành:Để tiếp tục, các bạn hãy thực hiện các bước hướng dẫn như phần dưới đây.Cụ thể, chúng ta sẽ tìm hiểu kỹ hơn về chương trình giả mạo WindowsRecovery – được ngụy trang khéo léo dưới vỏ bọc của 1 tiện ích phân tíchvà tối ưu hóa hệ thống, sau khi cài đặt vào Windows chúng sẽ hoạt động vàđưa ra nhiều thông tin sai lệch và tình trạng hiện thời của hệ điều hành, đồngthời đưa ra những biện pháp cải thiện bằng các chức năng cao cấp – nhữngchức năng này chỉ được kích hoạt khi người dùng đồng ý trả phí qua một sốhình thức phổ biến. Và về bản chất, Windows Recovery được cài đặt thôngqua con đường trojan lây nhiễm vào Windows, trong những lần tiếp theo,chương trình này sẽ tự khởi động cùng hệ thống, và với mỗi lần như vậy, cácthông báo sai lệch về tình trạng hệ điều hành, phân vùng lưu trữ hoặc ổ cứnglại hiển thị.Mặt khác, để người dùng “tin tưởng” rằng hệ điều hành đang hoạt động bấtổn, Windows Recovery đã làm cho phần dữ liệu bên trong của các thư mục“biến mất” hoàn toàn, ví dụ khi người dùng mở một số đường dẫnnhưC:WindowsSystem32, thay vì nhìn thấy danh sách các thư mục và filehệ thống như thường lệ, họ sẽ chỉ nhìn thấy một vài thư mục khác lạ, bêntrong không hề có chứa dữ liệu. Chúng làm được việc này bằng cách bí mậtgán thêm thuộc tính Hidden – ẩn và file và thư mục chứa file, đồng thờithay đổi thiết lập cơ chế hiển thị của Windows, do vậy người dùng khôngthể nhìn đc file và thư mục ẩn.Bên cạnh đó, Windows Recovery còn khiến cho người dùng không thể khởiđộng và sử dụng được bất cứ chương trình nào trên máy tính. Biểu hiện củaviệc này là khi bạn khởi động 1 chương trình bất kỳ, chương trình đó sẽ tựđộng biến mất, và thay vào đó là thông báo lỗi rằng ứng dụng hoặc ổ cứnglưu trữ đang gặp vấn đề. Mục đích của tin tặc khi làm việc này là để tự bảovệ chương trình giả mạo khỏi các phần mềm bảo mật khác.