Tại sao tất cả Mọi người Nên vô hiệu hóa VSSAdmin.exe ngay bây Giờ!

Shadow khối Lượng Bản sao có được một năng kể từ cửa Sổ Vista cho phép chụp ảnh hay bản sao lưu, các tập tin của bạn để được lưu lại, ngay cả khi các tập tin là hiện đang sử dụng. Những bức ảnh chụp sẽ cố gắng để được tạo ra mỗi ngày, và cho phép anh để khôi phục lại các tài liệu trước một phiên bản hoặc thậm chí để khôi phục họ nếu họ đã bị xóa. Công nghệ này cùng cũng được sử dụng bởi những cửa Sổ’ Hệ thống Phục hồi năng cho phép bạn cuộn lại cửa Sổ để một trước đây làm việc cấu hình trong trường hợp đó là một vấn đề. Kể từ cửa Sổ Vista, Microsoft đã bị bó một tiện ích được gọi là vssadmin.exe trong cửa Sổ, cho phép người quản trị để quản lý cái Bóng khối Lượng Bản sao đó có trên máy tính. Rất tiếc, với sự nổi lên của Mật Virus, công cụ này đã trở thành một vấn đề hơn một lợi và tất cả mọi người nên vô hiệu hóa nó.

 

Hệ thống Phục hồi là một năng mà dựa vào Bóng khối Lượng Bản sao

Bởi máy sẽ cố gắng để tạo ra cái Bóng mới khối Lượng bức ảnh chụp của bạn C: lái xe mỗi ngày. Kể từ khi các tiêu chuẩn lưu vị trí cho tài Liệu, tập tin là C: lái xe tài liệu của bạn sẽ được sao lưu cũng. Mặc dù, điều này không nên được coi là một thường xuyên phương pháp dự phòng, nó không cung cấp thêm một tấm chăn an ninh ở các sự kiện mà bạn cần để khôi phục lại một thay đổi hay bị xóa các tập tin. Rất tiếc, các nhà phát triển của Mật thật là nhận thức của Bóng tối khối Lượng Bản sao, và thiết kế của họ lây nhiễm, vì vậy mà họ hủy bỏ tất CẢ Bóng tối khối Lượng Bản sao khi virus khác của máy tính. Điều này được thực hiện để ngăn bạn sử dụng Bóng Khối lượng để hồi phục tập tin được mã hóa.

Có một vài phương pháp mà những phần mềm virus phát triển sử dụng để xóa Bóng tối khối Lượng Bản sao, nhưng nhất là sử dụng những vssadmin.exe rõ ràng Tối /tất Cả /Yên tĩnh lệnh. Lệnh này sẽ thực hiện những vssadmin.exe tiện và có nó lặng lẽ xóa tất cả các Bóng khối Lượng Bản sao vào các máy tính. Như là chương trình này đã yêu cầu Hành chính quyền để chạy, một số virus sẽ tiêm mình vào quá trình đang chạy như một quản Trị để tránh một UAC nhắc hiển thị.
 

 

Như vssadmin.exe không phải là một công cụ mà thường được sử dụng bởi một nhà quản lý, đó là đề nghị rằng nó sẽ bị vô hiệu hóa nó bằng cách đổi tên đó. Sau đó, nếu một virus cố gắng sử dụng chương trình để hủy bỏ cái bóng của khối lượng bức ảnh chụp nó sẽ thất bại và cậu sẽ có thể sử dụng chúng để phục hồi các tập tin của bạn. Cái này sẽ hiệu quả 100% so với tất cả lây nhiễm virus? Không,nhưng nó sẽ giúp với một số tiền của họ.

Một nhược điểm để đổi tên vssadmin.exe được rằng, nó đã bị phát hiện ra rằng chương trình được sử dụng bởi cửa Sổ khi nó thực hiện dự kiến sẽ phục hồi điểm. Để làm việc này, chúng ta có thể tạo ra một kế hoạch nhiệm vụ mà các vấn đề một WMIC lệnh rằng có thể tạo ra sự khôi phục lại điểm cho chúng tôi. Này WMIC phương pháp không dựa trên vssadmin và có thể được sử dụng để tạo ra một công việc hàng ngày để tạo ra khôi phục lại điểm để bảo vệ máy tính. Xin lưu ý rằng nhiệm vụ này sẽ chỉ tạo ra khôi phục lại điểm cho lái xe mà bạn đã đặc biệt kích hoạt bảo vệ cho.

Các WMIC lệnh có thể được sử dụng là:

Khi việc mới lên kế hoạch nhiệm vụ, tạo ra nó như là một Nhiệm vụ Mới. Sau đó, trong thẻ Chung hãy chắc chắn rằng bạn có nó để Chạy, cho dù dùng được ghi lại trên hay không và để Chạy với cao nhất đặc quyền như trong hình dưới đây. Các thiết lập này sẽ nhắc anh đến cửa hàng của mật khẩu để nó có thể chạy khi bạn không đăng nhập vào. Cho những ai muốn sử dụng nhiệm vụ này qua bưu điện và không thể đẩy ra mật khẩu để lưu trữ, em có thể chỉnh cho nó chỉ Chạy khi dùng được ghi lại trên đó.

Sau đó, trong Gây nên tab, đặt nó chạy thường xuyên như anh muốn. Tôi chỉ định để có nó thực hiện mỗi 2 tháng, nhưng anh có thể đặt nó cho hàng ngày hoặc thậm chí còn thường xuyên hơn là cần thiết cho môi trường.

Cuối cùng, trong hành Động tab, bấm vào Mới nút và sau đó enter C:WindowsSystem32wbemWMIC.exe vào chương Trình/Kịch bản lĩnh vực này. Trong Thêm tranh cãi trường bạn muốn nhập /không Gian:\gốcđịnh Đường SystemRestore Gọi CreateRestorePoint “NGÀY%%”, 100, 7. Khi nó được thực hiện, nó sẽ trông giống như những hình ảnh dưới đây.

Khi hành động xong, sau đó bạn có thể tiết kiệm lên kế hoạch nhiệm vụ và nó phải tạo mới khôi phục lại điểm tại thời bạn chỉ định. Cho những người muốn đẩy này nhiệm vụ theo lịch trình thông qua bưu điện, bạn có thể thực hiện theo các bước trong bài này bởi Microsoft.

Bây giờ chúng ta có một nhiệm vụ tự động tạo ra dự kiến sẽ phục hồi điểm, chúng ta có thể di chuyển về phía trước với đổi tên vssadmin.exe chương trình.

Rất tiếc, như là tập tin này là thuộc sở hữu của các cửa Sổ đặc biệt được gọi là tài khoản TrustedInstaller, nó không phải là một công việc đơn giản để đổi tên. Để đổi tên vssadmin.exe bạn đầu tiên đã mất quyền sở hữu của các tập tin, hãy cho mình các điều khoản sửa đổi nó, và sau đó, tên đó. Để làm nhiệm vụ này dễ dàng hơn, tôi đã đặt cùng một lô nhỏ tập tin rằng điều này cho anh. Renvbs.bat, mà là dưới đây, sẽ thay đổi quyền sở hữu của những vssadmin.exe tập tin từ TrustedInstaller để ban quản trị nhóm. Sau đó nó sẽ cung cấp cho các nhà quản lý, sự thay Đổi sự cho phép để họ có thể đổi tên đó. Cuối cùng các tập tin batch sẽ đổi tên các tập tin trong những dạng thức vssadmin.vấn-ngày thời gian. Hãy để thay đổi tên của các tập tin đổi tên trong các tập tin hàng loạt cho thêm an ninh.

Trong tương lai nếu bạn cần phải thực sự sử dụng cụ này, bạn chỉ có thể đổi tên nó trở lại vssadmin.exe và sử dụng nó như bình thường. Khi kiểm tra phương pháp này, tôi đã không tìm thấy bất kỳ chức năng bị mất trong các cửa Sổ và chương trình duy nhất mà tôi biết rằng không còn hoạt động, khi nó được đổi tên thành là Shadow Explorer. Một lần nữa, để giải quyết bất kỳ vấn đề mà có thể đi lên, bạn chỉ đơn giản là cần phải đổi tên của các tập tin lại vssadmin.exe.

Các Renvbs.bat lô thấy cũng có thể được tải về từ đây: http://download.bleepingcomputer.com/bats/renvss.bat.

Các RenVBS Lô tập tin:

 

Ý kiến của bạn