phục hồi dữ liệu, khôi phục hệ thống và phát hiện xâm nhập

Chúng ta có thể sử dụng chức năng này để khôi phục lại máy tính của chúng ta về một trạng thái trước đó khi có một vấn đề không mong muốn xảy ra.. System restore sẽ thay đổi trang thái h

Phục hồi dữ liệu, khôi phục hệ thống và phát hiện xâm nhập

 Giới thiệu 1 số phần mềm phục hồi trạng thái hệ thống, dữ liệu bị xóa bị format

1 Khôi phục lại hệ thống bằng

Tool Windows System Restore

2 Khôi phục dữ liệu bị xóa, format bằng

Phần mềm EasyRecovery

 Thu thập chứng cứ xâm nhập bằng

Tạo điểm khôi phục và phục hồi với

Windows Restore Point

 System Restone là gì ?

System restore là một thành phần của hệ điều

hành Windows Chúng ta có thể sử dụng chức năng

này để khôi phục lại máy tính của chúng ta về một

trạng thái trước đó khi có một vấn đề không mong

muốn xảy ra.

System restore sẽ thay đổi trang thái hệ thống, các chương trình ứng dụng, đã cài vào hệ thống hoặc gỡ

bỏ, nó không khôi phục lại các file dữ liệu của bạn lưu trên ổ cứng

Restore Point - điển khôi phục

 Restore Point điểm khôi phục là điểm mà cho phép chúng ta khôi phục lại máy tính về trạng thái tại thời điểm này

 Máy tính sẽ tự động tạo các điểm khôi phục (Restore Point) theo lịch đông đều hoặc trước khi các chương trình nào đó được cài vào hệ thống hoặc gỡ bỏ khỏi hệ thống

Restore Point - điển khôi phục

phục này bằng cách sử dụng chức năng “Create a

Restore Point” trong System Restore Đối với chức

năng này thì chúng ta chỉ cần đặt một cái tên cho điểm khôi phục mà mình tạo, thời gian của điểm này

là thời gian hiện tại của hệ thống và sau khi tạo chúng ta không thay đổi được điểm này nữa.

chúng ta tạo đều được lưu trong lịch khôi phục của System restore.

Restore Point - điển khôi phục

 Các bạn có thể tạo điểm khôi phục trước khi làm điều gì đó thay đổi trạng thái hệ thống, bạn có thể tạo nó và khi có vấn đề xảy ra

bạn có thể quay về trạng thái ban đầu được

 Start  Programs  Accessories 

System Tools  System Restore để chạy chức năng “Windows System restore”.

Chọn “Create a restor point” và click

“Next”, để mở cửa sổ tạo Restore point.

Đặt tên cho điểm khôi phục và Click

vào “Create” để tạo

Phục hồi hệ thống bằng Windows

System Restore

 Chức năng Windows System Restore cho

phép chúng ta khôi phục lại trạng thái hệ

thống tại một thời điểm trước được xác định

trong điểm khôi phục “Restore Point”.

 Vào cửa sổ chính của System Restore và

chọn

“Restore my computer to an earlies time” 

Click “Next”

Phục hồi hệ thống bằng Windows

System Restore

Chọn một điểm “Restore Point” và

Click “Next”

Thiết đặt System Restore

Chọn “My computer”  Properties  System Restore

Setting đặt dung lượng tối thiểu của ổ đĩa dành System Restore

Phần mềm EasyRecovery

 EasyRecovery là một phần mềm có thể khôi phục dữ liệu đã bị xóa, dữ liệu trên các

ổ đĩa đã bị format, hoặc các file bị hỏng cấu trúc Ngoài ra còn chức năng kiểm tra các vấn đề với ổ đĩa, cấu trúc thư mục

 Bạn có thể download free tại đại chỉ sau:

http://www.download.com/EasyRecovery-Professional/3000-2248_4-10309798.html

Yêu cầu đối với hệ thống

 Hệ điều hành Windows 98, Windows ME, Windows XP

 Ngoài ra còn một số bản Easy Recovery có khả năng chạy dưới DOS hoặc các hệ điều hành khác như Windows 95, 98, NT

 Internet Explorer 4.0 trở lên

 RAM tối thiểu là 64 MB

 Ổ cứng trống ít nhất 150 MB

Cài EasyRecovery

– Chạy file “Setup.exe” để cài đặt

– Tiếp theo lựa chọn ngôn ngữ cho giao diện

– Click “OK” để chọn ngôn ngữ

– Click “Next” và chọn thư mục cài đặt

– Theo các chỉ dẫn để thực hiện và hoàn thành.

 Sử dụng chức năng EasyUpdate để Update

Sử dụng chức năng EasyUpdate để

Update tính năng mới.

Giao diện chính

Chức năng Disk Diagnostics

 Đây là các công cụ dùng kiểm tra ổ đĩa với các vấn đề lỗi vật lý, lỗi cấu trúc thư mục

trạng thái sử dụng các ổ

– DriveTests

 Quick Diagnostic: kt nhanh các vấn đề vật lý

 Full diagnostic: các những sector khó đọc

– SmartTests: kiểm tra và ngăn ngừa dữ liệu có thể

bị mất do lỗi ổ cứng.

– SizeManager: ktra trạng thái sử dụng ổ.

Chức năng Data Recovery

Chức năng Data Recovery này cung cấp nhiều công cụ khác nhau nhằm khôi phục lại các file dữ liệu đã bị xóa, bị format, hoặc bị hỏng do virut hay nguyên nhân nào đó

Các công cụ của Data Recovery sẽ khôi phục lại các file từ máy tính với định dạng FAT

và NTFS, chúng không làm hỏng dữ liệu mà chỉ đọc dữ liệu

Làm 3 bước: chọn vùng, chọn Partition và chọn đường dẫn để copy dữ liệu tìm được ra

Chức năng Data Recovery

 DeletedRecovery

Khôi phục các file dữ liệu đã bị xóa, lựa chọn loại file

 FormatRecovery

Cho phép khôi phục dữ liệu trên Ổ đĩa đã bị format,

ta phải chọn ổ đĩa và partition (FAT hoặc NTFS) của ổ

để khôi phục.

 RawRecovery

Công cụ RawRecovery cho phép chúng ta khôi

phục dữ liệu từ Partitions đã bị hỏng cấu trúc thư mục

Chức năng Data Recovery

 ResumeRecovery

Cho phép chúng ta lấy lại các quá trình

đã và đang khôi phục Sau khi khôi phục xong hoặc đang khôi phục ta có thể lưu trang thái này vào 1 file.dat và khi cần sẽ sử dụng Resume Recovery để lấy lại dữ liệu từ trạng thái này

Chức năng Data Recovery

– Dùng đĩa mềm (đã format) hoặc địa CD trắng đưa vào ổ.

– Vào Data RecoveryEmergencyMedia.

– Chọn “Perform Media Verification” sau đó Click “OK”

bắt đầu

Chức năng File Repair

 Chức năng này cho phép bạn sửa một số loại file dữ liệu cơ bản như: Word, Excel, Access, PowerPoint và các file Zip

 Chẳng hạn sửa file Word bạn chỉ cần chọn: FileRepairWordRepair, sau đó chọn thư mục để lấy file cần sửa

Email Repair và Update

 Email Repair

Khôi phục sửa lại đối với Outlook và

OutlookExpress

Software Updates

 Bạn có thể kết nối vào Internet để Update

các components mới hoặc Update bản mới của phần mềm

ProductNews

Thu thập chứng cứ xâm nhập với

phần mềm KFSensor

 KFSensor là phần mềm cho phép phát hiện

và lưu lại dấu vết sự xâm nhập từ các máy tính khác vào hệ thống của bạn khi hệ thống này kết nối vào mạng(LAN, Internet….)

 KFSonser sẽ chặn các cổng trao đổi thông tin trên máy để phát hiện các kết nối, phiên trao đổi thông tin giữa máy của bạn với một máy khác trong mạng Các kết nối, phiên làm việc này có thể là có chủ định hoặc có thể là những truy cập trái phép vào hệ thống

Thu thập chứng cứ xâm nhập với

 Các thông tin: Địa chỉ IP, Port, tên máy,

ID của kết nối, thời gian kết nối, tốc độ trao đổi, dịch vụ sử dụng, giao thức sử dụng … Được KFSonser lấy ra từ phần Hearder của các gói tin nó băt được

Yêu cầu đối với hệ thống

 KFSensor là phần mềm hoạt động dựa trên cơ chế chặn bắt gói tin nó sử dụng thư viện chặn

bắt gói tin WinPcap, bản WinPcap_3_1.exe

 Hệ điều hành: Windows 2000, Windows 2003, Windows ME, Windows XP

 RAM : 512 MB

 Ổ cứng dành riêng 500 MB trở lên

 Phải cài đặt WinPcap trước khi cài KFSonser

Cài đặt KFSensor

Giao diện chính

Menu File

 Export: cho phép bạn ghi chi tiết các sự kiện

xâm nhập ra 1 file có định dạng: HTML, XML, TSV, SCV, khi cần xem lại bạn có thể chọn Import để View các sự kiện đó ra

+ Event List: Ghi tất cả sự kiện đang

hiển thị ra file

+ Selected Event: Chỉ ghi những sự kiện

nào được chọn ra file

Menu File

 Import Logs into Database: Load các sự kiện

từ file log trong Database

 Sensor Connection: đóng và mở kết nối để

kích hoạt dịch vụ KFSensor

 Service:

– Stop: dừng dịch vụ Active KFSensor

– Start: khởi động dịch vụ Active KFSenser

– Restart: restart lại dịch vụ Active

– Shutdown Windows

Menu Views

 Event Details…: Hiển thị chi tiết một sự kiện

bạn chọn trong cửa sổ

 Port view: chọn để hiện danh sách sự kiện

xâm nhập vào hệ thống theo số hiệu cổng

 Visitors view: chọn để hiển thị sự kiện xâm

nhập hệ thống theo địa chỉ IP và tên máy xâm nhập

(Xanh : đang chạy, đỏ bị lỗi, nâu không

chạy)

Menu Views

 Load Events: sử dụng hộp thoại Load

Events để load các sự kiện cũ trong CSDL của KFSenser ra màn hình, bạn có thể lựa chọn theo ngày xảy ra sự kiện

Menu Views

 Hide Events : cho phép bạn ẩn một số sự

kiện từ cửa sổ hiển thị theo một số lựa chọn

“Option Hide Event”

Menu Views

 Newest Event First và Oldest Event First:

Sắp xếp các sự kiện theo thứ tự thời gian nó xâm nhập vào hệ thống

 Add/Remove Columns: thêm hoặc bỏ một cột

trong cửa sổ hiển thị danh sách sự kiện

 Hide port with No Event: ẩn những cổng mà

không có sự kiện xảy ra

Giao diện hiển thị sự kiện

 ID: số id của sự kiện

 Start, start Date, Start Time: Thời gian bắt đầu xảy

ra sự kiện, có thể tính là ngày tháng, giờ, phút, giây hoặc tính theo ngày hoặc tính theo giò, phút , giây.

 End, End Date, End Time: thời gian kết thúc sự kiện.

 Visitor IP, Visitor Port: Địa chỉ IP và số hiệu cổng của

máy xâm nhập

 Sensor IP, Sensor Port: Địa chỉ IP và số hiệu cổng

trên máy bị xâm nhập.

 Domain: Tên miềm của máy xâm nhập

 Visitor: Tên hoặc đại chỉ IP của máy xâm nhập

 Name: Tên của dịch vụ truy cập