|
徹底殺毒!新手當學習 老手當復習
|
|
|
作者:嫣然回首 發布時間:2003-12-10 9:13:16 | 【字體: 大 中 小】
|
在論壇注冊有幾天了,在里面轉了也有一些時日,發現大家(特別是新手)經常詢問,“為什么XXX病毒殺不掉”,“為什么XXX病毒當時殺掉,過兩天又來了”,等等問題。看者他們焦急的樣子,作為先驅者的我真是不忍心啊。畢竟我也是從那中懵懂的過程走過來的,其中坎坷,也只有自己知道。所以還是抽些時間,發篇小文,希望能給大家指點迷津。
其實這樣的問題很簡單也很容易解決,但是需要一點病毒的基礎知識,在下不才,
提示一些注意的方面,旨在給新手一些提醒,并希望達到拋磚引玉的效果,請各位DX以及老前輩們不吝賜教。現在,請各位聽我慢慢道來。
早在win95盛行的年代,流行在機器上的病毒,也不過就是一些文件型病毒和引導區型病毒,最大的破壞效果也就是導致系統運行變慢、文件不能運行,遇到BT一點的,還會刪除或者格式化硬盤和破壞硬盤分區表。那時的網絡沒有現在這樣普及,個人上網還是一件“奢侈”的事情。NTFS分區也沒有應用到個人家庭的PC中(僅僅在NT操作系統中應用)。所以那個時候病毒也沒有現在這樣厲害,在傳播性和殺傷程度上都不如現在,也沒有很多的木馬病毒,最多也就是“冰河木馬”和“ BO ”。但是由于他們的病毒機制和語言編寫方面的原因,導致他們的客戶端隱蔽性不好,可以在按下“ctrl+alt+del”鍵的時候,被用戶發現運行在內存中。對于注冊表的修改,也僅僅限于修改啟動項目,使自己可以開機加載。在那個年代,我們防范病毒的意識也僅僅停留在D版軟件和軟盤的使用方面。到現在我還清楚的記得,當時學校機房的老師不允許使用自己的軟盤時的情景――臉拉的老長,在每個人身邊渡來渡去的,要是被發現誰偷偷使用,輕者遭到橫眉冷對,重者會被“驅逐出境”。而且在不了解內情的情況下,還會遭到“千夫指”――眾多同學認為你是害群之馬,拋以鄙夷的眼光。(其實是老師生氣,不許玩那時經典的、盼望以久的、打發時間的好游戲-“瑪力兄弟”)
在那個時候殺毒也顯得是那么簡單(技術方面)的事情,插入張D版的K***的軟盤(那時玩電腦的人手一張,代替計算機系學生證了),啟動機器,一陣硬盤配合小喇叭(那時沒有音箱)“滴、滴..”的聲音響過,和滿屏幕的“found xxxx virus ,killed!!不停的閃過,病毒就解決完了。
但是現在的病毒遠遠沒有那么簡單,不論是傳播方法還是殺傷力,都更勝一籌。由于操作系統的不斷升級(98-->98se-->me-->2000-->xp),病毒也在不斷的升級。過去DOS下的引導區病毒已經不是病毒世界的中心(有消息說最近引導型病毒有回升的趨勢),開始發展到以木馬病毒為主的局面。由于現在網絡的飛速發展和普及,幾乎每個人都可以上網,所以給病毒帶來了傳播的“溫床”。以哲學角度看問題,這些都是不可避免的(事物個有利弊么),唯有加緊防范。而現在的木馬病毒遠非最初的“冰河”和“BO”那么簡單。開后門、監聽端口、自我隱藏、復制、偷取游戲密碼、銀行、股票賬號及機器上其他重要信息、惡意刪除文件、甚至是偷偷干掉正在運行的各種實時殺毒監控程序……等等,讓我們感到防不勝防。
最初的木馬不過是通過文件合并器合并成其他類型的文件引誘用戶運行或者D版軟件盤上本身攜帶,通過郵件傳播的都很少。但是現在的網絡安全隨著我們網絡更加平民化顯得更加脆弱。多少年前,我們從沒有想到過瀏覽一個網站,就會使機器中毒的事情,現在層出不窮、筆筆皆是。(很多網友莫名其妙的中毒也是由于此類惡意網站所至)如何防范網絡安全,如何使自己免受病毒困擾,成了現在每個人關心的話題。畢竟病毒帶給我們的損失太大了。當年CIH病毒肆虐的時候導致主板報廢的消息,震驚了多少業界人士。
在這里我提醒大家注意的一點就是:“千萬不要以為殺毒軟件是萬能的,有了正版殺毒軟件和最新病毒庫就‘無敵’了!”這是極其錯誤的概念。畢竟病毒數據庫都是在出現新病毒之后,分析出病毒代碼填充的,才可以查殺。萬一哪天“橫走江湖”的你正好“倒霉”,遇見“新品種”,偏偏又是一個“狠角”%#……^#¥^#%#…… 恐怕到時候預哭無淚啊!殺毒軟件永遠是跑在病毒后面的“追捕”,而不是預知災難和未來的“先知”。先有雞和先有蛋的問題也許我們永遠也弄不清楚,但是病毒和殺毒軟件兩者,永遠是病毒在先!請大家時刻注意自我安全防范。謹記!!
病毒的簡單發展和危害,我想給大家介紹的差不多了,接著就是要回答大家提出的為什么有些病毒“殺不掉”或者“再次回來”這個問題。其實這兩個問題涉及的完全是同一個方面,就是是如何殺毒?別笑,殺毒不是每個人都會的。有人認為“不就是簡單的WIN操作么?在windows下運行瑞星就可以了,我常常那么殺,也沒有什么問題啊?”實際非也。我只能說那是你老兄運氣好,運氣不好的可是大多數。絕對不要在帶毒環境下殺毒,那樣做幾乎是零效果。
現在擁有電腦的朋友們,很多沒有經歷過DOS時代(絕非以老賣老),僅僅是在圖形桌面和鼠標點擊下成長的,所以對于引導區、病毒的傳染、復制方面不是很了解,有的甚至跟本就不了解。甚至是談“毒”色變,把機器一切不正常現象都歸于-“是有病毒了吧?”非也,告訴大家病毒很簡單,人做的程序而已,別怕。其實病毒機理無非就是“感染-》優先運行-》自我復制-》隱藏、破壞-》傳播”幾個步驟。熟悉了這些,我們就可以知道,殺毒到底要從什么方面入手。先就簡單的說說病毒的感染和傳播方法。
1、 引導區型病毒 感染啟動扇區(包括軟盤),在每次開機時讀區引導區也就激活了病毒 加入內存。傳播方式是通過軟盤的讀寫。
2、 文件型病毒 感染 .exe \.com為擴展名的可執行文件,常駐內存,感染此后加載到內存的應用程序。修改程序文件,導致文件不能使用。
3、 破壞型病毒 惡意刪除文件或者格式化硬盤,第一時間加入內存,實行破壞活動
4、 木馬型病毒 自我復制、自我隱藏、開機加載、竊取破壞于一身的病毒
5、 惡意網站 通過惡意代碼和IE漏洞侵害用戶,偷偷下載和運行帶有木馬的程序
剩下的宏病毒和腳本病毒先不討論
不難發現,所有病毒的感染方式都是以第一時間占領機器,取得領導權,并且常駐內存,感染所有今后進入內存的程序為目的。所以對他們下手,也就有了初步的思路。這就是你和病毒之間,到底誰能先擁有機器的“領導權”問題。如果先讓病毒占領機器,無疑你就是“攻擊戰”,攻擊戰看似簡單,但是可惜和病毒使用的武器是同一個東東――“你的愛機”。如果你的愛機先聽了病毒的指揮,恐怕攻擊戰不好打啊,既要奪“武器”,又要“擒賊首”,太被動了。有的時候,愛機跟本不會幫你解決問題,就是因為病毒先占領了機器。
舉個例子,比如很多時候,我們殺毒時遇見“文件正在使用“或者”清除失敗”這樣的報告,原因就是如此,病毒先占領了機器,啟動了windows。Windows是決不會允許你對正在運行的程序進行殺毒和刪除的。(加一個特殊情況:當檢查到壓縮文件的時候,瑞星可能提示,需要解壓縮之后才可以刪除病毒。因為瑞星不能改變你的壓縮文件內部結構,所以你最好乖乖的聽話,把這個壓縮文件解壓到一個臨時目錄下 殺毒后 再次壓縮打包就可以了。如果這個壓縮文件不是很重要,就直接刪除好了,再次去下載新的無毒的壓縮文件,不要解壓的時候處理不善 造成病毒泄露)
而很多病毒在當時被報告“已清除”但是再次開機或者過幾天再次出現的原因是因為病毒有復制功能,并且先占領機器并執行了自己,只要讓它先擁有了機器的“領導權”,他會再次將自己復制,并再次感染。這樣的惡夢循環不斷。所以這就是為什么常常我們在windows下殺毒殺不掉或者殺掉之后再次感染的原因。
既然問題分析清楚了,那么解決的辦法也應運而生,那就是脫離windows環境殺毒,爭取第一時間取得機器領導權是首要問題。也就是我們常說的使用DOS啟動盤殺毒(瑞星A盤)。為什么使用DOS啟動盤殺毒就可以真正的殺掉病毒呢?不是啟動盤里的瑞星更厲害,而是用軟盤啟動的時候,不通過硬盤引導,不啟動windows。Windows啟動的時候根據注冊表加載了大量的程序,其中就包括病毒程序,因為經過病毒的修改,啟動項目和其他驅動一樣被寫進了注冊表啟動項目。但是一但通過軟盤引導系統,就不會執行windows注冊表配置,病毒自然也就無法第一時間占領機器了。機器已經歸我們所有了,病毒只能是束手就擒。同志們!殺啊!殺 殺!!解氣去!!
有很多朋友是瀏覽網頁的時候,不知不覺的中了“招”。解決辦法只能是防范第一,殺毒第二。主要是打開瑞星監控并及時的把IE的補丁打上,升級最高版本。打上系統補丁。但是對于病毒,我們始終只能是防范,而不是先知。所以給各位常在網上走的朋友提個醒“防患于未然,多多提高警惕吧”!
回答一些朋友的問題
很多朋友說我的機器是2000系統和XP系統 系統分區是NTFS的,據我看瑞星說明書,瑞星A盤具有殺NTFS分區的功能,請各位放心好了。
還有朋友說自己的機器上沒有軟驅怎么辦?我只能說很遺憾,也許你可以殺毒(安全模式),但是遠不如DOS下殺的更徹底。我在這里建議大家配機器的時候,給自己的機器加個軟驅有利無害!大家肯定都懂得什么是有備無患,真正遇見問題的時候,我想遠不是幾十塊錢鈔票可以解決的吧,鈔票不能恢復數據,不能殺毒,不能啟動!還是加個軟驅吧。
看了很多朋友的回復帖子,發現很多人建議在安全模式下殺毒。我一直對這個方法持不贊成態度。實際安全模式也僅僅是不加載一些驅動程序,當你執行安全模式的時候,相信你也能看見一大堆.dll文件執行了(2000和xp)。對于是不是所有病毒都不會運行在安全模式,這個有待考證。我只能說這個方法是沒有軟驅朋友的唯一可行方案,但不是其他朋友的最佳方案。強烈建議DOS下殺毒,盡管麻煩,盡管慢 ,但是出于安全角度考慮,犧牲這點時間還是值得的。
(附言)
DOS下殺毒前的準備工作
1、 保證自己的瑞星A盤B盤內的DOS版殺毒和病毒數據庫為最新或接近最新!
2、 升級瑞星A盤之后,一定要打開寫保護,避免A盤帶毒,否則殺毒無效
3、 將機器調整為軟盤啟動(對于電腦盲的 提醒)
4、 殺毒時選擇“所有文件”而非“程序文件”
|
|
文章來源:瑞星社區
|
|
|
·國產三大殺毒軟件盜版升級指南
·殺毒軟件在線升級文件的備份與恢復
|
