欧卡2中文社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

需要三步,才能开始

只需两步,慢速开始

欧卡2入门方向盘选莱仕达V9莱仕达折叠便携游戏方向盘支架欢迎地图Mod入驻
查看: 7971|回复: 0
收起左侧

[Windows] Linux下杀Win毒--Windows的“系统外”扫描

[复制链接]
知行 发表于 2012-6-21 12:48 | 显示全部楼层 |阅读模式
众所周知,某些恶意代码在windows环境底下是无法被清除的。更有甚者,某些内核级Rootkit感染了windows,运行于该系统的反病毒软件根本无法发现它。处理这些东东,最主要的方法是“系统外”扫描。“系统外”扫描就是跳出染毒的windows环境,启动到另外的操作系统中执行反病毒程序,以此清除windows体内顽固的病毒。最常见的方法就是DOS杀毒或PE杀毒。
        DOS杀毒的好处是制作简单,操作系统文件及反病毒程序体积都不大,很多用户能熟练运用DOS命令。不足之处在于DOS本身是一个老旧的操作系统,无法充分发挥现代计算机硬件的优势,例如,即使你有1G内存,DOS也只能利用其中的小部分,相反,由于DOS内存管理的限制,如果被扫描的对象比较大,可能还会使扫描器崩溃。DOS还是一个单任务的操作系统,无法一边扫描,一边处理别的事情,例如备份文件或者检验系统完整性。最后,DOS对网络支持不足,需要借助Windows完成病毒库的升级,如果Windows自身难保,你还敢在染毒的Windows下升级DOS杀软吗?
        附:作为一个实用的变种,某些反病毒软件可以实现开机扫描(starup scan)。国内的杀软如瑞星,国外的杀软如Avast都可以做到这一点。用户可以方便地使用主程序升级开机扫描的病毒库,设置开机扫描的参数,无需背诵命令,适合想要处理染毒的底层文件,又不懂命令行操作的用户。不过,开机扫描之前要经历引导、挂载引导设备驱动(boot device drivers,这是最基本的驱动,以便操纵显卡显示xp那个进度条)等过程,并不是“纯净”的,无法完全替代“系统外”扫描。据小草所知,已经有概念病毒问世,证实可以感染引导设备驱动,从而污染开机扫描的环境,导致开机扫描失败。相信随着开机扫描的流行,越来越多的恶意软件会破坏开机扫描。
        PE指的是“windows安装前环境”,说白了,就是一个特殊的mini Windows。PE杀毒比DOS杀毒进了一步,可以充分发挥硬件作用,可以利用网络升级,可以执行多个任务等等。不过,PE杀毒存在一个隐忧,那就是PE与普通的windows具有相同的内核,一不小心双击有毒硬盘的盘符,可能病毒就会感染PE。如果PE放置于光盘,重新启动一下就OK了,如果PE安装于U盘,不好彩的话这个杀毒U盘就得重新制作。双击有毒硬盘而导致感染,这只是常见的伎俩,windows背后还隐藏着哪些可被利用的漏洞,我们不得而知。
        其实,除了上述方法外,利用Linux维护Windows也是一个不错的选择。Linux杀毒具有PE杀毒的优点,同时,由于内核的不同,它不易感染windows的病毒。
        如果你想一边拯救硬盘上病入膏肓的windows,一边体验一下Linux世界,ubuntu live CD是一个不错的选择。Ubuntu是Linux的一个发行版。我们知道,Linux是一个开源软件,和吝啬的Gates大叔不同,Linux用户可以免费使用,也可以任意修改、自由发行。因此,Linux的世界充满了形形色色各具特点的发行版。Ubuntu就是众多发行版中优秀的一支。它的特色在于硬件识别能力强、容易上手。Live CD指的是运行于光盘的Linux系统,无需碰触硬盘,适合尝鲜的朋友。现在,可以免费申请Ubuntu live CD,对于有正版洁癖的安全发烧友来说,申请一张是一个不错的选择。使用申请来的或者自行下载刻录的Ubuntu live CD引导系统,你就进入了ubuntu操作系统。这是一个原汁原味的Linux系统,进入系统时会自动识别windows分区,并自动挂载。你可以利用Linux的文件管理器备份重要文件,也可以在应用程序->添加/删除程序菜单中安装免费的开源杀软--ClamAV,然后通过命令行执行升级和扫描任务。如果不喜欢命令行,可以安装ClamTk,这是ClamAV的图形化界面。
        如果你愿意尝试在硬盘安装一个Linux系统,可以使用openSUSE 10.3,它的安装界面中文化做得非常好,翻译到位,不会出现半中半英或语句不通的现象,安装过程都是图形化的,方便初哥使用。最重要的是,openSUSE 10.3安装DVD自带antivir,安装系统时可将antivir选上。安装、登录系统后,在“终端”中执行sudo antivr --update升级,然后执行antivir -s -z /扫描全盘。
        小贴士:可启动多个杀软进程分别扫描不同的目录,这样能加快速度。
        如果你担心误操作会伤及硬盘上的宝贝数据,但是又按耐不住Linux的诱惑,那,还有一个办法,就是在关机状态下拔掉硬盘数据线,插上usb移动存储(移动硬盘或U盘),用Linux的安装光盘重启,把Linux安装到移动存储上经小草测试,ubuntu和openSUSE都可以非常方便地装到移动设备中,就像在内置硬盘上安装的一样。但是,Linux表述设备的方法与windows不同,所以,为绝对稳妥起见,建议初学者拔掉内置硬盘的数据线后再安装。同时,如果移动硬盘上有重要数据,请先备份到内置硬盘。由于openSUSE在安装时可以选择安装哪些软件,所以,可以精简安装量,将openSUSE装到1G的U盘上,而ubuntu Live CD的安装是全部安装,没有提供选择软件包的机会,需要4G的空间(注意,它的安装程序的提示有问题,它的提示是至少2G)。如果将Linux装到移动硬盘上,剩下的空间如果格式化为windows可识别的文件系统格式,则仍可在windows下使用。这个移动硬盘就是双用途的,既是存储器械,又是维护器械。不过,值得注意的是,Linux的文件系统格式ext2、ext3等,都是开源的,理论上存在这种可能,即病毒主要宿主是windows,但是它通过操纵windows内核的底层函数,读取Linux分区,从而也感染或破坏Linux分区。如果移动硬盘主要用于备份数据,小草认为最好还是用移动硬盘启动到Linux,然后操作Linux备份指定的文件比较稳妥。
        如果你对Linux一点认识都没有,那么最简便的方法是下载著名的小红伞救援系统(Avira AntiVir Rescue System)。这是一个exe文件,Avira公司设计得非常周到,下载时已是最新的病毒库,而且该exe文件自己就能操作刻录机,用户无需专门安装刻录软件。在刻录机中放入一张空的CD刻录碟,执行这个exe文件,刻录好CD后,重启计算机,用此CD引导,进入Linux系统后根据提示操作即可进行扫描、修复。稍显遗憾的是,该系统只提供德文版和英文版的界面。详情可参见卡饭zwl2828的《体验小红伞的Rescue CD》(http://bbs.kafan.cn/viewthread.php?tid=206271)

        最后,跟有心转向Linux的同道们分享一下初学者选择发行版的经验。Linux世界百花齐放,发行版多如牛毛,到底选谁好呢?小草把握三个原则,首先,用户群要多,这样碰到技术问题上网一搜就有很多信息。其次,中文支持要好,体现在文字的翻译、字体的美观度等。最后,软、硬件支持要好,安装时能正确识别硬件驱动,安装软件要方便。小草先在著名的distrowatch.com站点上了解各大发行版的关注情况以及他们的简介,随后根据受欢迎程度及中文化水平筛选出ubuntu 7.1、Debian 4、FC8和openSUSE 10.3。为了深入体验,小草专门买了一块硬盘。Debian 4无法识别SATA光驱和网卡,淘汰......FC8无法识别显卡,淘汰......ubuntu 7.1、openSUSE 10.3的硬件识别能力都很好,ubuntu国内有安装源,安装软件省时省力,openSUSE的源在国外,速度较慢。不过,小草最后敲定的是openSUSE 10.3,原因是ubuntu没能成功安装antivir及实时监控模块dazuko,而openSUSE可以。虽然,Linux的主要安全威胁不是病毒,但是,作为老windows用户,总觉得没个杀软监控不放心,所以用着ubuntu有心理阴影......另外,openSUSE的安全中心做得也很不错,防火墙等设置都非常方便,让小草大大的放心一回。加上小草不是软件尝鲜狂,使用的软件不多,有个office、电驴、浏览器什么的就足够了,因此,安装源速度慢不构成障碍。

2008-6-23重要更新,Linux下杀win毒,有可能漏杀寄生于ntfs数据流的病毒!详见http://bbs.kafan.cn/viewthread.php?tid=274264
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联系我们|手机版|欧卡2中国 ( 湘ICP备11020288号-1 )

GMT+8, 2024-3-29 23:39 , Processed in 0.034561 second(s), 10 queries , Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表