windows下的木马病毒能在LINUX下运行么?
听说有几个实验性质的 windows 病毒。可以借助 linux 下的 wine 这个模拟运行 Windows 程序的环境在 linux 中发作。但大部分不行。
------
update:wine 的问题在于,Linux 默认是不起动 wine 的,也就是病毒在开始进入 Linux 时,不能自动运行,需要以某种方式让 wine 来运行他,有点类似于某些捆绑了木马的程序。
但因为 wine 有自己虚拟的文件系统,相对想绕过 wine 的文件系统限制,也有很大的制约(不过默认的 Wnie 设置可以访问根目录,安全的设置,只能访问部分个人目录(虚拟的 Windows C 盘,以及硬盘上其他一般数据分区),同时 wine 还受制于 Linux 的权限系统,使得 Wine 病毒只能在当前用户下面发作。Wine 的模拟效果也是问题,很多病毒需要的功能无法提供,比如隐藏自己的 windows rootkit 技术。不过不隐藏自身,只复制自己到目录中,等待别人运行的底端文件型病毒,有一定的发展可能。
所以目前没有什么实际有效的双系统病毒,现在一个流行的趋势是在两个系统下面都能直接运行的程序,但是实现比较困难。
像冰河这种程序不能运行,因为他缺少 windows 特有的一些功能接口。比如自动运行,后台隐藏服务进程,驱动级别的监控。wine 都不能实现。
但是一些简单的 u 盘病毒或许反而可以运行,他运行后就四处寻找可以写入的文件夹把自己写入,并且建立 autorun.inf 还是可行的。
为什么有的木马可以在局域网内访问另一个局域网内的计算机!
木马的有关知识和发展方向
基础知识:
木马的定义应该是具有隐蔽性的在完成一些有趣功能的同时也做了用户不想的功能,并且最终危害到用户的软件,这是我对木马的定义呦。
远程控制软件是在远方机器知道,允许的情况下,对远方机器进行远程控制的软件。
server端:应用于目标机器上的软件
client端:控制目标机器的软件
木马的特征:
1. 隐蔽性。很多人的对木马和远程控制软件有点分不清,实际上他们两者的最大区别就是在于这一点,首先举个例子,象国内的血蜘蛛,国外的PCanywhere等应该是远程控制软件,血蜘蛛等server端在目标机器上运行时,目标机器上会出现很醒目的标志。而木马类的软件的server端在运行的时候应用各种手段隐藏自己,例如大家所熟悉的修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式。有些把server端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式,可以让人在使用trojan化的程式时,木马也入侵了系统,甚至我听说有个程式能把exe文件和图片文件绑定,在你看图片的时候,木马也侵入了你的系统。
还有些木马可以自定义通信端口,当然这样可以是木马更加隐秘。更改server端的图标,让它看起来象个zip或图片文件,如果你一不当心,那么就糟了。
2. 功能特殊性。通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令,设置口令,扫描ip发现中招的机器,键盘记录,远程注册表的操作,以及颠倒屏幕,锁定鼠标等功能比较特殊的操作,而远程控制软件的功能当然不会有这么多的特殊功能,毕竟远程控制软件是用来控制的,并非hack的。
这里谈的只是很大一部分的木马工具,但还有些木马工具的功能比较“专”,而且工作的方式也不是client/server的方式,例如passwd sender(中译名:口令邮差)的功能就是潜伏在目标机器里,搜集各种口令的信息,在目标上网的时候,秘密发送到指定的邮箱。在unix下,还有些hacker们修改ps的原代码,让ps在使用时故意不显示某特殊的进程名,譬如说在系统内的sniffer等,还有些hacker则修改login,passwd,su等软件完成一些搜集口令信息或者开放一个后门等功能,这些程序,我们都称之为木马。
木马的发展方向:
1. 跨平台性:主要是针对windows系统而言,木马的使用者当然认为一个木马可以在95/98下使用在NT,windows2000下也可以使用更好。在95/98下也许大家没感觉,但NT和windows2000都具有了权限的概念,这和95/98是不同的,黑客NT,windows2000的木马需要更高的手段,如控制进程等,现在的一些木马也的确做到了这一点。
2. 模块化设计:似乎模块化设计是一种潮流,winamp就是模块化的典范,现在的木马也有了模块化设计的概念,象bo,netbus,sub7等经典木马都有一些优秀的插件在纷纷问世就是一个很好的说明。
3. 更新更强的感染模式:传统的修改ini文件和注册表的手法已经不能适应更加隐秘的需要,目前的很多的木马的感染方式已经开始在悄悄转变,象前一阶段的YAI事件就给了我们很多的启发,象病毒一样的感染,感染windows下的文件,我认为这件事对木马设计者们有很多的启发。
4. 即时通知:木马是否已经装入?目标在哪里?如果中招的人是使用固定ip的话,还好说,如果目标使用的是动态ip那么怎么办,扫描?太慢,现在的木马已经有了即时通知的功能,如IRC,ICQ通知等,但还是太少,我不使用ICQ,也不是每次都用IRC,但是以后会更加的完善的,也许说不定某天木马们的即时通知功能变成了一个专门的软件也说不定。
5. 更强更多的功能:每个人都是不满足的,每当出现强大功能的时候,我们就期望更强大的功能,以后的木马的功能会如何呢?我也不大清楚,也许会让大家大吃一惊的。
好了,讲了这么多,只是希望大家对木马这个东东有个基本的概念,不要对它心存畏惧,也不要漠然视之。
在这里我还是要提醒大家一句,千万不要随意运行陌生人的软件,这些软件很可能就是一只木马呦。
木马病毒是一个客户端一个服务器端吗
不是,黑客用生成器生成的盗取别人帐号的程序就是客户端,也是木马病毒
QQ盗号木马怎么彻底清除
一、木马ShareQQ 这是一款QQ密码窃取软件。清除方法如下:1、删除文件。用进程管理软件终止spolsv.exe这个进程(或到纯DOS下),然后到windows\system文件夹下将spolsv.exe文件删除,顺便删除的还有debug.dll、MSIME5f594f58.dll两个文件,再到Windows目录下删除winin.exe文件。2、检查注册表。在“开始”菜单的“运行”中输入regedit检查注册表,到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下,删除名为“netconfig”的字符串。再到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce下,删除“winin”字符串即可。3、重新启动电脑一切OK!二、木马BladeRunner首先展开注册表到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,你会看到字符串值System-Tray,其键值为c:\something\something.exe,事实上c:\something\something.exe是可以任意变化的,就看给您下木马的人怎么设定了,所以你看到的可能与我说的不同,但这不影响我们查杀它。根据木马在注册表中建立的的键值记下木马的名字与所在文件夹,然后退回到纯DOS下,找到此木马文件并删除掉。重新启动计算机,然后到注册表中找到我们前面提到的木马文件所建立的字符串值及其键值,删除之即可。 三、木马广外女生广外女生是广东外语外贸大学“广外女生”网络小组的处女作,它的基本功能有:文件管理方面有上传,下载,删除,改名,设置属性,建立文件夹和运行指定文件等功能;注册表操作方面:全面模拟Windows的注册表编辑器,让远程注册表编辑工作有如在本机上操作一样方便;屏幕控制方面:可以自定义图片的质量来减少传输的时间,在局域网或高网速的地方还可以全屏操作被控方的鼠标(包括单击,双击,右键,拖动等);其他功能还有远程任务管理、邮件IP通知、邮件服务等。广外女生与其他同类软件相比,其主要特点是:服务端程序体积小,大家熟悉的“冰河”是260多KB,而广外女生只有96KB!服务端占用系统资源少,最多时只占用3M的内存,不会影响服务端计算机的速度。隐蔽性好,不容易被发现。同时还自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样,如果发现就将该进程终止,也就是说它会使防火墙完全失去保护作用! 广外女生的清除方法该木马程序运行后,将会在系统的SYSTEM目录下生成一个木马文件名为DIAGCFG.EXE,并关联EXE文件的打开方式,如果直接删除该文件,将会导致系统中所有的EXE文件无法打开。1、到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它;2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下所有exe文件都将无法运行。找到Windows目录中的注册表编辑器Regedit.exe,将它改名为“Regedit.com”;3、回到Windows模式下,运行Windows目录下的Regedit.com程序;4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成"%1" %*;5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices,删除其中名称为“Diagnostic Configuration”的键值;6、关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。7、重新启动电脑,就OK了。四、木马BrainSpy1、检查注册表。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,你会在右边的窗口中看到有字符串值***="C:\WINDOWS\system\BRAINSPY.exe",其中“***”是随意改变,但其键值不变恒为“C:\WINDOWS\system\BRAINSPY.exe”,删除此字符串值和键值。 2、删除文件。用进程管理软件终止“BRAINSPY.exe”这个进程(或重新启动电脑到纯DOS下),然后到C:\WINDOWS\system文件夹下删除BRAINSPY.exe文件即可清除木马BrainSpy。五、木马FunnyFlashFunnyFlash的图标为FLASH图标,很容易使人上当受骗,千万不要以为它是个FLASH文件而运行。清除方法:1、检查注册表。到注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下,删除串值“723”及其键值“c:\`.exe”。 2、删除木马文件。分别到C盘根目录、C:\WINDOWS和C:\WINDOWS\SYSTEM文件夹下找到“`.exe”文件,删除之,再到C:\WINDOWS\TEMP下删除“FunnyFlash.exe”文件即可清除木马。六、QQ密码侦探特别版 这也是一款QQ密码窃取密码,木马文件名为QQSPYSP.EXE,文件大小379,904byte。它的清除方法:重启电脑到纯DOS状态下,然后将C:\WINDOWS\SYSTEM文件夹中的Internat.exe文件删除,再将该文件夹下的smaxinte.exe文件重命名Internat.exe,最后删除Windows文件夹下的Internat.exe和uttnskf.ini文件,重新启动电脑即可清除该木马。七、木马IEthiefIEthief的图标与浏览器IE的图标很是相似,不同之处其图标在右端的“e”字开口处添加了一排“牙齿”,这是识别它与正常的IE文件的好方法。清除方法:清除方法:1、删除C:\WINDOWS\SYSTEM文件夹下的木马文件和相关的信息记录文件:IEthief.exe、firstrunIE.dat、IEcfg,这一步可以在纯DOS下进行。2、更改注册表:到注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下,删除串值“ierun”及其键值“C:\WINDOWS\SYSTEM\IEthief.exe”即可。 八、木马QEyes潜伏者QEyes潜伏者是个QQ密码窃取木马,它的清除方法如下:1、在“开始”菜单中的“运行”中输入msconfig,找到Win.ini标签,删除“[windows]”字段下的“run=”下的字符串“c:\windows\thereadmsg.exe”。2、检查注册表在“开始”菜单的“运行”中输入regedit,到注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下,删除字符串值netservice及其键值c:\windows\nesmsg.exe;再删除字符串值system及其键值c:\windows\system\kerne132.exe;最后再删除字符串值boot及其键值c:\windows\system\kerne116.exe。3、清除文件到Windows所在安装目录下删除nesmsg.exe、thereadmsg.exe、wininet.ini、raddr.txt和addr.txt文件,再到Windows\system文件夹下删除kerne116.exe、kerne132.exe文件,最后到C盘根目录下删除process.dll文件即可清除该木马。 九、木马蓝色火焰蓝色火焰是一款没有客户端的木马,你的电脑中几乎任何和网络相关的程序都可以用来控制它,如Telnet、sterm、cterm、Zmud、Ftp、IE、Netscape、Opera、Flashget、Cuteftp……由于没有客户端,甚至可以跨平台来操控服务端,如在Unix、linux系统下……蓝色火焰客户端与服务端连通讯通过19191端口进行;如果是微型版蓝色火焰(这是只有10K大小的微型版蓝色火焰),则使用9191端口连接。所以,也可以通过这个方法来发现“蓝色火焰”,方法是在MS-DOS窗口下(在Win2000下称作命令提示符下)运行netstat -a命令即可,如果发现有19191或9191端口开放,就表示你中木马了(这部分介绍参考了笔友的文章)。清除方法:1、删除木马在注册表中建立的键值。在“开始”菜单的“运行”中输入Regedit,到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下,删除串值Network Services及其键值C:\WINDOWS\SYSTEM\tasksvc.exe。2、恢复文件关联:到注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command之下,将C:\WINDOWS\SYSTEM\sy***pl.exe %1更改为:NOTEPAD.exe %13、删除文件。到C:\WINDOWS\SYSTEM下,将tasksvc.exe、sy***pl.exe、bfhook.dll这三个文件删除即可清除木马蓝色火焰。十、木马Back Construction清除方法 1、检查注册表。到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,删除右边窗口中的“C:\WINDOWS\Cmctl32.exe”。 2、删除木马文件。重新启动到纯DOS下,或用进程管理软件终止进程“Cmctl32.exe”,然后到C:\WINDOWS文件夹下删除木马文件Cmctl32.exe即可。/b
木马病毒
以下几种类型的病毒为用户经常会遇到的病毒
◇引导型病毒
◇文件型病毒
◇蠕虫病毒
◇宏病毒
◇木马病毒
1.引导型病毒
引导型病毒是一种感染系统引导区的病毒。引导型病毒利用操作系统的引导模块物力位置固定的特点,抢占据该物理位置,获得系统控制权,而将真正的引导区内容转移或替换,待病毒程序执行后,再将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。由于引导型病毒多使用汇编语言编写,所以执行速度很快,用户很难察觉。
传播方式
引导型病毒通常是通过移动存储介质来传播的,用户只要在相互拷贝文件的时候注意一下,就可以减少感染引导型病毒的机会。
感染对象
引导型病毒按其寄生对象的不同又可分为两类,即MBR(主引导区)病毒、BR(引导区)病毒。MBR病毒也称为分区病毒,将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中,典型的病毒有大麻(Stoned)、2708、INT60病毒等。BR 病毒是将病毒寄生在硬盘逻辑0扇或软盘逻辑0扇(即0面0道第1个扇区),典型的病 毒有Brain、小球病毒等。
病毒典型代表——小球病毒
小球病毒是我国发现的第一个计算机病毒,通过使用带有小球病毒的软盘启动计算机,就可以把病毒传染给计算机,再使用该计算机读取没有病毒的软盘,就又会把病毒传染给软盘。小球病毒发作时在屏幕上显示一个小球,呈正弦曲线般跳动,干扰用户的正常使用,可以说算是病毒中比较温和的一个了。
2.文件型病毒
文件型病毒是主要感染可执行文件的病毒,它通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序再执行宿主程序。
传播方式:
当宿主程序运行时,病毒程序首先运行,然后驻留在内存中,再伺机感染其它的可执行程序,达到传播的目的。
感染对象:
扩展名是COM或者EXE的文件是文件型病毒感染的主要对象。
病毒典型代表——CIH
CIH病毒,别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,主要感染Windows95/98下的可执行文件,在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,危害最大的是v1.2版本,此版本只在每年的4月26日发作,又称为切尔诺贝利病毒(前苏联核事故纪念日)。
CIH病毒只在Windows 95/98环境下感染发作,当运行了带毒的程序后,CIH病毒驻留内存,再运行其它.exe文件时,首先在文件中搜索“caves”字符,如果没有发现就立即传染。CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖,造成硬盘数据特别是C盘数据丢失,并破坏部分类型的主板上的Flash BIOS导致计算机无法使用,是一种既破坏软件又破坏硬件的恶性病毒。
3.蠕虫病毒
蠕虫病毒和一般的计算机病毒有着很大的区别,对于它,现在还没有一个成套的理论体系,但是一般认为:蠕虫病毒是一种通过网络传播的恶性病毒,它除具有病毒的一些共性外,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身,然后在网络中传播,严重的占用有限的网络资源,最终引起整个网络的瘫痪,使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失,因此它的危害性是十分巨大的;有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能,更是严重的危害到用户的系统安全。
传播方式:
蠕虫病毒常见的传播方式有2种:
1.利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷,通过网络主动的将自己扩散出去。
2.利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中,随电子邮件扩散到整个网络中,这也是是个人计算机被感染的主要途径。
感染对象:
蠕虫病毒一般不寄生在别的程序中,而多作为一个独立的程序存在,它感染的对象是全网络中所有的计算机,并且这种感染是主动进行的,所以总是让人防不胜防。在现今全球网络高度发达的情况下,一种蠕虫病毒在几个小时之内蔓延全球并不是什么困难的事情。
病毒典型代表——震荡波
震荡波(Worm.Sasser)病毒仅感染Windows 2000,Windows XP操作系统。病毒发作时,在本地开辟后门,监听TCP 5554端口,做为FTP服务器等待远程控制命令,黑客可以通过这个端口偷窃用户机器的文件和其他信息。同时,病毒开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。
4.宏病毒
宏病毒是利用软件所支持的宏命令而编写的具有复制、传染和破坏功能的宏程序,它通常寄存在文档或模板的宏中。宏病毒是一种跨平台的病毒,在Windows, OS/2, Macintosh System等操作系统中均可表现出病毒行为。宏病毒用Word Basic语言编写,Word Basic语言提供了许多系统级底层调用,如使用DOS系统命令, 调用Windows API,调用DDE或DLL等,这些操作均可对系统构成直接威胁,而Word在指令安全性、完整性上检测能力很弱,破坏系统的指令很容易被执行,所以宏病毒的危害性极大。
传播方式:
用户一旦打开感染了宏病毒的文档,包含在其中的宏就会被执行,于是宏病毒就会被激活,转移到了计算机上,并将自身复制到文档或者Normal模板中,从此以后,所有被打开或者关闭的文档都会感染上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
感染对象:
宏病毒是传染数据文件的病毒,仅向WORD,EXCEL和ACCESS编制的文档进行传染,不会传染可执行文件。但是由于Office软件在全球具有广泛的用户,所以宏病毒的传播仍然十分迅速和广泛。
病毒典型代表——新爱虫
新爱虫病毒的传播主要以Word文档为主,该病毒为周期性爆发,激活病毒的条件是计算机日期为“3、6、9、12”月份,并且日期为5号时,此时病毒会改写C盘下的重要系统文件autoexec.bat,把一条删除C盘数据的命令写进去,当用户重新启动计算机时,就会发觉C盘下的所有文件已被删除,受破坏的用户的损失将不可估量。
5.木马病毒
木马病毒的名称来自于希腊神化《木马屠城记》中那只有名的木马,因此又被叫做“特洛伊木马”。完整的木马病毒程序一般由两个部分组成,一个是服务器程序,一个是控制程序,被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马,就如同你的家被人偷偷的装上了后门一样,将变得毫无秘密可言。拥有控制程序的人随时可以检查你的文件,做系统管理员才能做的工作(例如格式化磁盘),你的计算机上的所有文件、程序,以及在你使用到的所有帐号、密码都会被别人轻松的窃走。
传播方式:
木马程序通常通过伪装自己的方式进行传播,常见的伪装方式有:
伪装成小程序,通常会起一个很诱人的的名字,例如“FlashGet破解程序”,用户一旦运行这个程序,就中了木马
伪装成网页,网页的链接通常会起一个十分暧昧的名字,诱使用户去点击它,用户一旦点击了这个链接,就中了木马
把自己绑定在正常的程序上面,高明的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件,一旦用户安装winzip程序,就会不知不觉地把木马种下去
伪装成邮件附件,邮件主题可能会是“好消息”,“你想赚钱吗?”等等,一旦你好奇的打开附件,木马就安置在了你的计算机中
感染对象:
木马程序感染的对象是整台计算机。
病毒典型代表——网银大盗
网银大盗(Trojan/PSW.HidWebmon)是 2004年4月18日被江民反病毒中心率先截获的木马病毒,该木马偷取XX银行个人网上银行的帐号和密码,发送给病毒作者,给成千上万用户的资金安全带来严重威胁;紧接着,又出现了网银大盗的变种病毒,窃取的网上银行帐号和密码的范围从1家直接扩展到数十家,是木马病毒中具有严重危害性的一个。
祝你好运 ^_^
双系统,一个系统中病毒或木马会影响另一个系统吗
我给你看一篇,我试过了,可以在双系统下依然很有效 ----如果觉得好请把分加给我吧,我快没分了 想和大家分享一下,我们几个防毒爱好者在不断的测试各种防毒试验和不断思考中新发现的一个方法。用它可以实现对光盘操作系统和写保护的u盘的写入,也可以用在虚拟光驱虚拟出来的光盘上。 大家都知道windows7吧,以它强大的安全特性确实成为一批使用者的青睐,那么能不能让XP系统的电脑的防护也竟可能的借鉴一下它的安全性呢? 我想WIN7可以有效阻止内存中运行的进程之间的通话,对防御木马病毒是很有效的,不过我比较喜欢它的另一个特性,就是它如何保持8G大小的系统文件不让病毒进入。其实win7的内核机制在发挥作用,有一个阻止所有的外来文件对系统做任何修改和写入和删除的机制,把系统文件固化在了硬盘上,第三方软件不太可能对系统做任何改动的,同时它使用了重定向的功能,把所有的改动都移动在一个专门的目录里,也就相当于影子的缓冲区了。 我认为这套思路很好,固化+重定向的组合,毕竟影子系统只有重定向的功能,没有固化呀!穿了影子后就可以随便做破坏了。既然如此我就要对自己的电脑做一下尝试,让自己的硬盘里也拥有固化(即堵)+重定向(即疏导)的功能。呵呵。。。。 这样设置的电脑还有哪些防毒漏洞?还有人能让这样的设置的电脑也中病毒吗?[fly]欢迎大家来完善或借鉴到自己的安全设置中[/fly] 防御病毒组合思路。记得,一定要组合,因为一个软件总有不足,需要配合。 防御病毒我分为硬盘防毒和内存防毒。内存防毒呢,主要是防御进程中的病毒(内存防毒主要是组策略和HIPS,我还没有理出头绪,请高手指点吧)。而硬盘防毒也就是FD吧,入口防御。硬盘防毒,我们又可以分为系统区和非系统区以及引导区防毒。 先说非系统盘分区,看了下面的图片就知道,这个思路的基础了, 首先,我们把所有的文件时间都被改成了2088年8月 8日8:08,这样做能对影子类软件和权限的保护起到一个监视的作用。同时预防理论上极少数BIOS类病毒,怕它们在系统启动前就从BIOS里进入硬盘,方便大家按时间的变化找到被修改过的文件。同时这样也很美观,呵呵。。。。。。这是用 TOUCHPRO修改的(是电脑爱好者杂志推荐下载),发现同类软件里只有这个软件可以修改文件目录的时间。用这个方法我们也可以检测出绿色软件有没有在运行和做了设置后,回写了目录里的一些文件,并帮助我们成功得把一些绿色杀毒软件设置能只读权限,不怕病毒破坏。 在非系统分区里,我们可以大胆的把扫描后确认安全的目录和文件,设置能只读权限(几秒钟的事情)。不过光靠这样来保护是不行的,一方面一些病毒的底层格式化行为还是会破坏这样的权限的,另一方面也会妨碍有程序回写文件,所以我们还是需做一些协同的操作。 沙盘在防御病毒的同时,①竟然可以往被写保护的硬盘分区和目录里面写文件(重定向模拟的),②同时沙盘会拦截各种底层的磁盘操作和驱动的加载,有效地保护了只读权限。③可以模拟那些被写保护的文件的回写操作。④另外由于发现有少数绿色软件还是会向硬盘甚至C分区写文件(制作了不太好啊,推荐用 VMware 公司的安装扫描软件VMware ThinApp 4.0.1绿色版来自制绿色软件),沙盘也正好起到避免系统垃圾产生的作用。 同样的,就算有病毒穿透了沙盘,那也没什么大用处,不太可能再穿透只读权限。经测试,下载一个普通的病毒样本,因为硬盘数据大都是只读的,写保护的,写不进去,所以它只能乖乖地在我们提供的沙盘里运行,别无出路。 ---------在这里由于不可能完全保证沙盘能100%防御住所有的病毒,用只读权限就大大的保证了可靠性。可谓完美的组合。 如此设置,数据便无忧矣 与硬盘之比寿兮 安之若素 数据之永无恙兮 岂敢毁伤 诸毒从此无所归兮 若丧家之犬 拒之于堤外兮 曰篱笆高筑 疏之于渠内兮 曰因势利导 惟斯之妙术兮 曰禹王再世 ================================================================================= 二楼 经过上面的设置,非系统分区基本上就不怕病毒了(包括极少数格式化病毒)。如果还担心沙盘总是反复读写硬盘同一个地方,从而缩短了硬盘寿命的话,如果电脑的内存够大的话,我们可以用RAMDISK,在内存中划出一个空间,用沙盘自带的功能把“保存的文件夹”设置到内存中去。经测试效果很好。p:内存更大的话,还可以把 WINRAR\IE\FLASHGET\迅雷\WMP\播放器的缓存目录也放到内存去,打造一个很少写硬盘(包括系统分区)的电脑(网上有篇文章,制作Windows光盘运行版” ,有兴趣可以去看看),上网和下载BT时,我的硬盘很少亮灯,呵呵。。 再来谈谈,系统分区和引导区。建议用影子系统,配合TOUCHPRO来完成。TOUCHPRO的效果同上,建议在每次启动电脑后,可以看看系统分区,一般 windows文件夹里只有5个文件会发生写操作,这是系统自己回写的。影子系统能不能和只读权限配合,这个我还没有测试过。希望有朋友来测一下(但沙盘和只读权限完全可以搭配)。 有兴趣的话,可以在网上查查影子系统防穿测试,下载自己喜欢的影子(我推荐用RVS,SD),影子系统挑选可有讲究了,比如防穿透性,是否写入引导区等等,是内存模式还是硬盘模式等等,听说有款影子确实很有特色(是ShadowUser Pro),在安装需要重新启动的软件时,比如杀毒软件,重启后文件不会丢失。这个功能很有意思,和虚拟机的增量备份功能还有WINDOWS7的重定向差不多了,有病毒或设置出现问题的话,可以回到原来的影子状态,很不错。有的影子系统可以进入全硬盘保护模式,这个也很好。还有一个FBWF能实现对只读的或固化的文件(比如光盘)的写入修改模拟和按目录保护而不是按分区保护,也有的影子可以实现一次休眠,多次启动。可以根据自己喜好来挑选。 但是影子系统不是完美无缺的,有个问题 -------最怕驱动型病毒,比如机器狗磁碟机类病毒穿透后写入真实的系统,所以RVS等影子就多了一个HIPS(主机防御)的监控功能来对付驱动加载,所以没有hips的影子可以挑选一个hips的软件,推荐毛豆防火(含规则包)。 上网时,我基本上不用杀毒软件的,因为我的网速还是不太快(无线)。对了,再配合用最强悍的也是免费的毛豆防火墙(不带杀毒版本)来对付黑客还是很好的。还有一个原因,因为byshell内核级的木马运行的时候,很多杀毒软件的hips都发现不了,当然它穿不透影子,一般不用害怕。并且毛豆的 HIPS功能可以发现这个BYSHELL的行动,很强悍,还有也可以提醒机器狗类驱动的加载。 ================================================================== 那么在影子模式下,如果要安装一些软件该怎么办呢?可以使用免费的云端软件平台,它和影子系统可以完美的组合,弥补影子下不能安装软件的问题。而且这个重定向软件本身就是绿色软件,比如安装卡巴,NOD32,小红伞等杀毒软件,我都用它安装,这很符合有些人使用绿色杀毒软件的爱好。下载的网上的东东,就可以用三个杀毒软件一起查,特别方便。要删除的话,呵呵,直接手动删掉安装的目录就可以了。 如果觉得云端不好用的话(占了19M内存,有可能有驱动兼容问题),也可以直接下载绿色的杀毒软件(我的NOD32就是绿色带监控的)。经过测试,发现杀毒软件的隔离区因为不在安装目录里,所以完全可以把杀毒软件的安装目录设置只读权限。不用的时候也不会中毒,也照样可以随时启动杀毒。------只读权限就是强大。 如果你是个精力旺盛的反病毒斗士,我推荐你到无忧论坛学习制作单文件操作系统(像WINpe一样),然后把系统设置成只读权限。一个文件很好维护吧!!!再用FBWF控制台(微软开发的写入过滤器),实现所有的文件重定向,好了你的系统和WINODOWS7一样的安全了吧!!! 最后推荐大家广泛的使用重定向软件来保护硬盘里的文件不被破坏,有条件安装WIN7也是个好的选择,它的重定向等防御能力比XP已经强了不少。 ============================================ 再提供一个有趣的用途 有很多软件(特别是游戏类软件)不允许用户同时运行多个实例,但在Sandboxie中可以通过建立多个沙盘来突破这个限制。因为每一个沙盘都是一个独立的虚拟区域,在不同的沙盘中运行的同一个软件都只能检测到自身的存在而误以为只有一个实例在运行。 以QQ游戏大厅为例,为了防止作弊,它是不允许在同一个计算机上同时开启多个客户端的。但我们在Sandboxie中建立了两个沙盘,并分别在两个沙盘中运行QQ游戏大厅,非常简单地就实现了“双开”。 只要计算机的性能足够强劲,我们在理论上甚至可以无限制地开启任意多个QQ游戏大厅。