Hệ điều hành Windows đi kèm với một loạt các công cụ khắc phục sự cố tích hợp sẵn. Task Manager có thể giúp giải quyết các vấn đề phổ biến, trong khi các công cụ dòng lệnh như Command Prompt và PowerShell hữu ích để xử lý các vấn đề về mạng. Tuy nhiên, những công cụ này có thể không đủ khi đối phó với các sự cố phức tạp hơn trên máy tính Windows của bạn. Trong những trường hợp như vậy, bạn cần đến bộ công cụ Sysinternals – một tập hợp gồm hơn 70 tiện ích miễn phí do Microsoft cung cấp, nhằm hỗ trợ các quản trị viên CNTT và nhà phát triển trong việc khắc phục sự cố hệ thống và ứng dụng Windows. Bài viết này sẽ đi sâu vào lý do tại sao các công cụ Sysinternals lại cần thiết để giải quyết các vấn đề Windows phức tạp.
1. Kiểm tra hệ thống chi tiết
Theo dõi mọi hoạt động trên PC của bạn
Các công cụ Sysinternals là không thể thiếu để chẩn đoán các sự cố Windows nâng cao bởi vì chúng cung cấp những khả năng vượt xa các tiện ích hệ thống tiêu chuẩn. Chẳng hạn, Task Manager cung cấp cách để xem tất cả các tiến trình đang chạy trên PC của bạn, nhưng nó không cung cấp nhiều chi tiết về những tiến trình này.
Giao diện Process Explorer của Sysinternals với các tiến trình được mã hóa màu sắc để dễ dàng theo dõi.
Ngược lại, các công cụ Sysinternals như Process Explorer (Procexp.exe, Procexp64.exe) mang đến cho bạn cái nhìn sâu sắc về những gì đang diễn ra trên PC thông qua nền màu được mã hóa. Các tiến trình vừa được khởi động sẽ được đánh dấu bằng màu xanh lá cây, trong khi những tiến trình đang bị chấm dứt sẽ xuất hiện bằng màu đỏ. Công cụ này thậm chí còn tiết lộ các chi tiết như sự phụ thuộc của tiến trình, các mô-đun đã tải và các luồng đang chạy. Điều này đặc biệt hữu ích để xác định các tiến trình ngốn tài nguyên, hành vi bất thường hoặc các ứng dụng bị lỗi.
2. Phát hiện và kiểm tra mã độc
Xác định tập tin mà mã độc có thể truy cập
Windows Security và các phần mềm diệt virus bên thứ ba làm rất tốt công việc phát hiện phần mềm độc hại trên hệ thống của bạn. Tuy nhiên, bạn cũng có thể sử dụng Sysinternals Process Explorer để kiểm tra mã độc. Nếu bạn nhận thấy bất kỳ tiến trình đáng ngờ nào, chỉ cần nhấp chuột phải và chọn ‘Search Online’ từ menu ngữ cảnh. Thao tác này sẽ bắt đầu tìm kiếm web cho tên tiến trình, cung cấp cho bạn thêm thông tin chi tiết.
Màn hình Process Monitor hiển thị các sự kiện hoạt động của hệ thống Windows chi tiết.
Bạn cũng có thể xem chương trình đang truy cập những tệp nào, mục đăng ký (Registry) hoặc tài nguyên mạng nào, điều này giúp bạn phát hiện bất kỳ hành vi không mong muốn nào. Để làm điều này, bạn có thể sử dụng Process Monitor (Procmon.exe, Procmon64.exe). Tuy nhiên, đây không phải là một tác vụ dễ dàng, vì hầu hết các chương trình liên tục truy cập ổ cứng hoặc mạng, nên có thể khó chọn lọc những thông tin quan trọng từ tất cả dữ liệu.
3. Tăng tốc máy tính chậm
Ngăn các ứng dụng tự khởi động
Khi một máy tính Windows cũ đi, nhiều chương trình có xu hướng tự thiết lập để khởi động tự động trong quá trình cài đặt. Đây là một trong những lý do chính khiến một PC Windows mới cài đặt khởi động nhanh chóng và chạy mượt mà, trong khi một PC cũ hơn bắt đầu chậm dần.
Giao diện Autoruns của Sysinternals liệt kê các ứng dụng tự khởi động, cho phép quản lý dễ dàng.
Các chương trình tự khởi động không thực sự cần thiết – chúng chủ yếu chỉ kiểm tra các bản cập nhật hoặc chờ các sự kiện trong nền, điều này không quan trọng nhưng có thể hữu ích. Tuy nhiên, chúng có thể làm chậm quá trình khởi động Windows và khiến hệ thống trì trệ. Bạn có thể sử dụng Sysinternals Autoruns để tắt các chương trình tự khởi động này. Chỉ cần chạy Autoruns, và nó sẽ hiển thị các ứng dụng tự khởi động hiện đang được cấu hình cùng với danh sách toàn diện các vị trí trong Registry và hệ thống tệp được sử dụng cho cấu hình tự khởi động. Các vị trí này bao gồm các mục đăng nhập, tiện ích mở rộng trình duyệt, các điểm hijacks hình ảnh, các DLL thông báo Winlogon, các dịch vụ Windows và nhiều hơn nữa. Bạn có thể chuyển đổi giữa các tab để xem các mục tự khởi động từ các danh mục khác nhau. Để ngăn một chương trình tự động khởi động, chỉ cần bỏ chọn hộp bên cạnh nó. Thao tác này sẽ không xóa bất kỳ thứ gì, và nếu sau này bạn muốn chương trình tự khởi động lại, bạn chỉ cần chọn lại hộp đó.
4. Phân tích sự cố bảo mật
Theo dõi hoạt động của hệ thống
Nếu bạn đang điều tra một sự cố bảo mật trên Windows, Sysinternals là một công cụ không thể thiếu. Một trong những lựa chọn tốt nhất cho việc này là System Monitor (Sysmon). Sau khi bạn cài đặt, Sysmon sẽ duy trì hoạt động ngay cả sau khi hệ thống khởi động lại, theo dõi hoạt động của hệ thống và ghi lại vào Nhật ký sự kiện Windows (Windows Event Log).
Sysmon cung cấp cho bạn thông tin chi tiết về những thứ như việc tạo tiến trình, kết nối mạng và thay đổi thời gian tạo tệp. Bằng cách thu thập các nhật ký này với Windows Event Collection hoặc các công cụ SIEM, bạn có thể phát hiện hoạt động đáng ngờ và có được cái nhìn rõ ràng về cách các kẻ tấn công hoặc mã độc đang hoạt động trên mạng của bạn. Sysmon chạy như một tiến trình được bảo vệ, ngăn chặn hầu hết sự can thiệp từ chế độ người dùng.
5. Khắc phục sự cố mạng
Netstat là chưa đủ
PowerShell và Command Prompt có rất nhiều công cụ để khắc phục sự cố mạng, nhưng Sysinternals nâng tầm nó lên một cấp độ mới. Với TCPView, bạn có thể có cái nhìn chi tiết về tất cả các điểm cuối TCP và UDP trên hệ thống của mình, bao gồm địa chỉ cục bộ và từ xa cũng như trạng thái của từng kết nối TCP. Nó thậm chí còn hiển thị tên của tiến trình sở hữu từng điểm cuối.
Bảng điều khiển TCPView hiển thị chi tiết các kết nối TCP và UDP đang hoạt động trên hệ thống.
TCPView giống như một phiên bản thân thiện với người dùng và nhiều thông tin hơn của chương trình Netstat đi kèm với Windows. Ngoài ra, còn có Tcpvcon, một phiên bản dòng lệnh với các tính năng tương tự, nếu bạn thích làm việc từ terminal.
Sysinternals mang lại nhiều hơn thế
Dù bạn muốn có một cái nhìn tổng thể về mọi thứ đang diễn ra trên PC của mình với Process Explorer, các chi tiết cụ thể từ Process Monitor, hay kiểm soát hoàn toàn các chương trình khởi động cùng hệ thống với Autoruns, Sysinternals đều có thể đáp ứng. Chúng ta mới chỉ chạm đến bề mặt những gì bộ công cụ Sysinternals có thể làm được.
Bộ công cụ Sysinternals thực sự là một kho tàng giá trị, không thể thiếu cho bất kỳ quản trị viên hệ thống, nhà phát triển hoặc người dùng nâng cao nào muốn kiểm soát và gỡ lỗi Windows hiệu quả. Việc làm chủ những công cụ này sẽ giúp bạn giải quyết các vấn đề từ đơn giản đến phức tạp, tối ưu hóa hiệu suất và tăng cường bảo mật cho máy tính của mình.
Bạn nghĩ sao về bộ công cụ Sysinternals này? Bạn đã từng sử dụng công cụ nào trong số chúng để khắc phục sự cố Windows chưa? Hãy chia sẻ kinh nghiệm và ý kiến của bạn trong phần bình luận bên dưới nhé!