查看: 5863|回复: 33
收起左侧

[讨论] 病毒免疫,你会用么?

  [复制链接]
bluewing009
发表于 2011-6-7 13:41:00 | 显示全部楼层 |阅读模式
本帖最后由 bluewing009 于 2011-6-7 13:50 编辑

写在前面
      大家都知道,但从名称上划分,病毒可分为固定文件名和随机文件名
      固定文件名包括普通的和迷惑性的, 比如  svch0st expl0rer 同名异路径等等
      随机文件名就相当明显,数字+字母 或者 纯数字.......

      大家在区里可以看到有两个帖子是关于病毒免疫的,一个是鄙人的《批处理版系统安全工具》(传送门),另一个则是《让你的电脑免疫当前流行的木马病毒》


原理
      免疫既是针对固定路径或者固定文件名的病毒,通过建立同名文件夹(或者文件),保护该免疫文件夹(或者文件),使的病毒无法释放文件、运行病毒体,达到免疫病毒的目的。
      对免疫文件的保护,一般采用畸形文件夹 ..\ 和 利用任意访问控制列表 (ACL) 对免疫文件夹进行访问控制(在《让》一帖中,则是使用attrib修改文件属性),还有一种免疫则是直接借助注册表IEFO劫持病毒。


      无论如何,对于cacls进行访问控制是比较好的一种免疫方式,但是局限于NTFS格式。下面是重点:对于访问控制列表来说,只要是管理员权限就可以对它进行操作。即只要当前是管理员,那么可以添加、删除控制列表
     那么问题就来了:如果病毒获取的权限也是管理员,那么可以先进行cacls 解除锁定,然后再删除免疫文件夹,这样,免疫就变成一纸空谈试问有多少人登录的账号不是管理员权限呢?

     如果想免疫病毒,那么就要有一个良好的权限意识:xp下添加user账户,平时上网就够了;win7下则要使用好UAC,不要嫌每次都要问就干脆关闭。

     免疫病毒只是一种辅助手段,不要以为运行一下搞个免疫就万事大吉了。在一个坏的习惯下,任何NB的安全软件都会显得脆弱无力,不是软件太水,而是使用者不给力。
liulangzhecgr
发表于 2011-6-7 15:25:59 | 显示全部楼层
我,不用免疫病毒!不好意思...!
wuyongliang
头像被屏蔽
发表于 2011-6-7 15:58:15 | 显示全部楼层
我也不用  ,
边缘vip
发表于 2011-6-7 18:09:04 | 显示全部楼层
除单位电脑或专用类电脑外,貌似使用电脑的人都是管理员权限,
bluewing009
 楼主| 发表于 2011-6-7 20:32:36 | 显示全部楼层
一看上面的回复我就明白:即使WIN 8出来,XP依然占据半壁江山…………
xingxingal
发表于 2011-6-7 20:54:40 | 显示全部楼层
我不想用
iczeo
发表于 2011-6-7 21:02:02 | 显示全部楼层
病毒免疫太弱了,不具有普遍性,所以不用
要不就用HIPS,要不就上小白杀软,要不就某些游走这两者之间的软件
webweb
发表于 2011-6-7 21:16:13 | 显示全部楼层
畸形文件夹 ..\  早已经不好使了 我不能删除 也不能新建 但是我可以改名 给你把这个畸形文件夹改了名字就可以突破
访问控制则涉及的是权限,所谓没有攻不破的盾,一定能绕开或者突破,你总不能每个地方都加载驱动进行控制吧
所以说 只能是理想化的东西
nazisoft
发表于 2011-6-7 21:54:32 | 显示全部楼层
这个方法没有从原理上防御,还不如用HIPS
bluewing009
 楼主| 发表于 2011-6-7 23:33:28 | 显示全部楼层
webweb 发表于 2011-6-7 21:16
畸形文件夹 ..\  早已经不好使了 我不能删除 也不能新建 但是我可以改名 给你把这个畸形文件夹改了名字就可 ...

就像我在帖子后面说的,一个坏习惯即使有再NB的安全软件也没辙~

病毒免疫的主要作用是在病毒运行之前防范,想你所说的,如果病毒是底层驱动级的话,当然另说,不过即使这样,驱动级病毒也需要加载吧,比如sys,在其获得权限之前还不是需要按照我设定的规则来~就像HIPS区里利用组策略一样,“免疫”这个词本身隐含的意思中就指明了病毒还没在运行状态。
按照先到先得的选择,如果驱动病毒还在运行(这说明安全软件没有运行),即使是再NB的工具最多也只是冲突蓝屏吧
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 23:04 , Processed in 0.126599 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表