- 积分
- 615
- 最后登录
- 2017-2-8
- 精华
- 1
- 阅读权限
- 205
- 主题
- 83
- UID
- 203576
- 帖子
- 806
- PB币
- 5329
- 威望
- 48
- 贡献
- 0
- 技术
- 1
- 活跃
- 7
- UID
- 203576
- 帖子
- 806
- PB币
- 5329
- 贡献
- 0
- 技术
- 1
- 活跃
- 7
|
发表于 2009-4-14 23:41:09
IP属地上海
本帖最后由 淡泊明志 于 2009-4-21 17:29 编辑
很久没发新帖了,今天稍微整理了下个人对安软杀软的想法,写得十分的凌乱(想到什么写什么,真正的我手写我口,哈哈),大家凑合着看看吧,老鸟勿喷,谢谢
操千曲而后晓声,观千剑而后识器:
这个是我想重点讨论的问题,也是对各位的一个忠告,那就是不要总是觉得自己的安软是最强的。我见过很多同学朋友,装了个卡巴甚至是瑞星就高枕无忧了,我也见很多坛友比较狂热的追某个杀软比如BD、KAV、NOD等等,原因就是别人告诉我这个很好很强大杀毒能力很牛,我一直是在干嘛干嘛就突然冒出来跟我说某某文件是病毒问你怎么办。但是,说得搞笑点,这就是没有实际问题实际分析。记得一句很经典的话:最好的杀软和最强的病毒在你的机器上体现出的效果是一样的——卡死你!举个例子,你在128M的机器上跑KIS 09或者F-Secure,后果是什么?有兴趣的朋友可以去虚拟机里试下......退一万步讲,即使机器跑的动,作为主题的人呢?使用者的不同和使用环境的不同决定了不可能有一个杀软适合所有人,我喜欢这个的特殊功能,他喜欢那个的简洁界面。如此,对于别人的建议,你都是照单全收?至少在我个人看来,自己去试试杀软是很有必要的,就如我,最早是品牌机自带的江民,后来觉得KV2005太垃圾就换了号称最牛的卡巴,但是在使用了将近1年后我还是选择了半裸奔(当然,墙和HIPS是有的),再后来,觉得红伞不错,就一直用到现在,很顺手。强烈建议不要受外界影响而使用自己不熟悉的安软杀软,一定一定自己试过才行!
(P.S.:这里补充几点,针对甚嚣尘上的TOP10的排名就那个BD排第一的榜,再次强调,那个不是杀软的技术排行榜而是性价比排行榜!其实toptenreviews不算测试,而只是一个消费指南。希望各位不要再拿这个来忽悠人了。)
宜未雨而绸缪,毋临渴而掘井:
这个算是承接上文的。很多杀软都在强调自己的杀毒能力多少多少牛,病毒库多少多少的大,然后忽悠你上当。这里打个比方你就知道哪里被坑了:你是希望小偷不进家门呢,还是希望他进来结果什么都没偷到就被轰出去呢(有虐人倾向的闪...)。明白了吗?防重于杀,而不是杀重于防,也就是一个杀软的能力在很大程度上取决于他的监控,这也是我不用卡巴的原因:监控比较弱,等毒进来再查出来好玩啊?高手可以不用杀软,但是好像他们的HIPS什么的都不会少吧?同时和防范于未然有关的就是启发了,这个也是决定了防重于杀得是否可行的关键因素。遥想当年,X星号称第N代启发式引擎,碰到熊猫不还死(死的真彻底,连专杀工具清除病毒之后还是启动不了,算是彻底消停了......)。高启不是你能吹出来的是要做出来的,你看连启发最强的NOD和红伞都没那么吹,你吹什么?这也就回到了第一个话题,别被别人忽悠,自己试用才行。
赠人玫瑰,手有余香:
本来这里想自己写的,但是看到一篇文章写的真是太好了(原文出自卡饭论坛,作者evabo),这里摘录如下:
“卑之无甚高论,总见一些朋友就哪个杀毒软件好,哪个杀毒软件差争论不休。我很喜欢一句话:存在即道理! 这款杀毒软件能够屹立不倒,就肯定有他好的地方, 就肯定有他生存法门。 这个就交给市场经济去评价,不好的杀毒软件,总有一天,会被市场无情的淘汰。当生则生,当死则死! .............
所以朋友要我介绍杀毒软件,不是单纯的推荐某某杀毒软件。而是先把这个理念灌输给他,这不是通过抨击一款杀软,来推荐一款杀毒软件;也不是纯粹的塞给他一款杀毒软件了事;更不是挂出某某杀毒软件排名第一的头衔。。
这就是理念的重要。只要不是他觉到、悟到的,你给不了他,给了他也拿不住。
只有他自己觉到、悟到的,才有可能做到,他能做到的才是他的。 这就是推荐理念比推荐这款软件的重要。
这是一种文化,关于杀毒软件,甚至这个企业的文化。你可以引申到更高层次:不仅仅是一款杀毒软件,而在生活面前,人们也往往有一种‘掠夺’的心态。每个人似乎都有以‘自我’为中心的本能,只是表现的程度有别,其实,若能站在他人的角度考虑一下,问题是不是就变的简单多了?”
这里还需要我啰嗦些什么呢?
知己知彼,百战不殆:
对于你正在使用的杀软安软,你了解多少?对于病毒你又了解多少?相信九成的朋友会说不知道。连自己和敌人都不清楚你就上?不败才怪,于是乎中了毒就开始骂这个杀软怎么那么那么垃圾,呵呵,不被“大方之家”嘲笑就很好了呢自己还感觉良好......拜托,用任何软件之前请先仔细研究下它,无论是自己摸索还是去找网友的心得,搞明白了、设置好了再用。举例:Comodo V3直接上手用?180的智商估计都嫌低......设置好了,毛豆的墙和HIPS能抵挡至少九成五以上的攻击;设置不好,“怎么那么烦的啦,老是弹窗提示!别烦了用学习模式————啊?怎么中毒了?垃圾毛豆......”很多谣言就是这么来的。
对于病毒的认识和了解,其实不用很深刻,研究它们的任务是杀软厂商的工程师的任务,我们只要知道它们喜欢干嘛,喜欢躲哪里,碰到问题模式化解决(指杀软没用或被K.O.掉的时候,不过个人喜欢手动来搞病毒,嘿嘿)。因为本人就前年中过一次“橙色八月”里的某个毒,后来就再没碰到过,所以对于这里只能是平时看到的一些,肯定不全,大家自己去网上搜搜就好了。
病毒喜欢呆的地方:%windir%\Fonts %windir%\Cursors %windir%\system32 %tmp% IE缓存(不好意思这个文件夹貌似没环境变量还是我忘了?) P.S.:以上除了%tmp%和IE temporary之外其他地方的文件除非有100%把握否则不要删,我同学就是不小心把%windir%\system32\userinit.exe(大家都知道这个玩意是控制登陆界面的)当病毒给干了结果......出了事本人不负责!
病毒喜欢干的事:添加自启动、注册服务、IFEO劫持、破坏显示隐藏文件和系统文件的注册表键值、往各个盘里注入AUTO病毒、双进程守护、线程插入、修改文件关联(比如把.exe的给改了,恶心......),其他诸如下载其他病毒、后门什么的太常见了地球人都知道。
模式化解决方式:【个人的步骤,绝对不是最好的,但一定有效】
1.确认自己的机器的确中毒了 2.如果杀软可用,就全盘扫描(其实只扫系统盘也可以,只要保证其他盘里没AUTO就好)
3.如果杀软不可用,尝试改名运行 4.还不行?一种方法是SREng扫份日志发到网上求人解决,或者拿出冰刃等工具上 5.压制双进程守护(有的话),直接shift+delete掉文件,删不掉就unlocker,过程略...... 6.后期清理修复,过程略。
众里寻他千百度,蓦然回首,那人却在灯火阑珊处——组策略(GroupPolicy):
【这个..说来惭愧,本人家里的电脑是XP HOME版本的(没办法品牌机>_<)所以没组策略功能,虽然试过从专业版移植但老是不成功,只好在学校里的机子上试了,所以相对经验较少,也可能有错误,希望大家多多指正。】
估计组策略这个名词大家听得不是很多(远景才搜出77条,晕了),这里稍微解释下。组策略,在“运行“里打gpedit.msc就能看到了(家庭版的就算了...盖茨大叔够抠),又称软件限制策略,是系统自带的类似HIPS的东西,能够执行AD(程序保护)、FD(文件保护),和完整的HIPS就差个RD(注册表保护),是XP里不可多得的好东西。下面拿它跟HIPS做下比较:优势是很明显的,它直接隶属于系统,是最底层的保护,连什么驱动都免了(不是说没,是指不用你装),兼容性问题=0,占用内存=0,只要是XP专业版都能跑而不管你内存多少(跑得动XP就行,老机有福音了),这些事HIPS无法企及的;当然劣势也很明显,没用户交互界面,碰到问题直接查询规则而不是询问用户,非常死板苛刻,万一规则写错了,哼哼,有你受的。下面是组策略的工作原理(搜来的)
请勿使用多线程下载工具下载论坛附件!
其实组策略用好了真的是可以裸奔的,当然前提是用好。举例:恶心的AUTO病毒用两条规则就OK了:
?:\autorun.inf 不允许的
?:\*.* 不允许的(总觉得这条规则有问题,我用U3的优盘怎么办...但实在没其他好的了)
再举例:某些恶心的病毒会冒充系统文件名(system、svchost....),怎么办?杀错了就等重启吧。很简单,方法如下:
使用组策略的绝对路径优先权高于相对路径的设定,先允许如上的文件(一定用绝对路径!!!),然后再禁止以上文件名的文件(用相对路径,千万别反,不然连系统都进不了!!切记!!)就可以了。
抱歉,本人对组策略就懂些皮毛,更深奥的怕误导大家就不写了,有兴趣的可以自己去搜。
最后提供个完成的组策略规则(作者:雨林木风斑竹尐小三~γ)
GroupPolicy.rar
(56.53 KB, 下载次数: 117)
【运行前,先备份C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol 这个文件
如果导入规则出现不良反应,可以用原文件替换回去
有兴趣的朋友可以深入研究,不良反应究竟是触发了哪一条规则,如何设置能达到最佳效果】 |
-
4
查看全部评分
-
|