Shadow Defender最新版1.1.0.331遭病毒破坏！！！

mvcneo

FreeEquFraT 发表于 2011-6-23 14:02
我还是觉得应该是我前面想的那样，因为这2个病毒单独测试都不能穿SD，这次应该是机缘巧合突破了SD的回写， ...

我感觉应该还是SD的MBR回写机制的问题，这个X64的系统按理应该会拦截未签名驱动。如果驱动放行了，也就是同意了SD的加驱行为，而这时恰好又有MBR的修改，两者共同干扰了MBR的回写，或阻止了MBR的回写。用了360保护器，其实是拦截了驱动行为，相当于单一测试

mvcneo

快雪时晴 发表于 2011-6-25 09:44
这样不先比较一下就回写，是不是很伤硬盘

伤硬盘谈不上，但是会对应能有影响。现在的机器体现不大，如果是老机器，很明显的。开启SD和关闭影子速度有不同

mvcneo

nazisoft 发表于 2011-6-24 20:26
相互学习

又见到您了，问个问题再……FBWF这个工具说是基于文件系统的影子吧，他对一般非驱动型病毒是否有防御能力呢？还有一个很费解的问题，C盘的HOSTS文件，我用xuetr（管理员模式允许）修改后，居然开机后HOSTS文件被修改了，但是HOSTS文件是在保护中的，我能否理解为，xuetr穿透了FBWF?
还有就是EWF这个工具能否用于WIN7 32位，网上都是用于64的，说32用可能开不了机，我怕折腾系统了，呵呵

FreeEquFraT

mvcneo 发表于 2011-6-28 17:10
我感觉应该还是SD的MBR回写机制的问题，这个X64的系统按理应该会拦截未签名驱动。如果驱动放行了，也就是 ...

虚拟机内的系统是32位的，楼主是在虚拟机内的32位系统做的测试，对SD比较了解的应该都明白是怎么回事。

skyfre

全开都被穿了？有点汗。多个病毒还是小心点的为好！

mvcneo

FreeEquFraT 发表于 2011-6-28 18:07
虚拟机内的系统是32位的，楼主是在虚拟机内的32位系统做的测试，对SD比较了解的应该都明白是怎么回事。

除非作者能来看看了，不过貌似很多还原都有这个问题

nazisoft

mvcneo 发表于 2011-6-28 17:17
又见到您了，问个问题再……FBWF这个工具说是基于文件系统的影子吧，他对一般非驱动型病毒是否有防 ...

      我对MS的EWF和FBWF不大了解。EWF是扇区级别的过滤，拥有控制整个文件系统的能力，通过对扇区的保护达到保护文件系统的功能，所以EWF没有文件排除功能。FBWF是基于文件系统的保护，它不会对整个磁盘进行盲目的保护。
      EWF和FBWF似乎对无驱动穿透没有过滤，如果受保护的是可写入硬盘，还是不可避免的会被穿透。我看了一下MSDN上面的介绍，这两种工具是用于嵌入式开发的，可以对光盘、写保护的闪存、磁盘进行重定向。如果重定向的对象是写保护的存储器，那么从硬件层次上保证了还原的强度，永远不会被病毒穿透
      XueTr对hosts文件的修改只是普通的文件读写，没有写入文件所在磁盘的绝对偏移量，所以不应该穿透的，FBWF对某些文件是不过滤的，不知道hosts文件是否在这个“可写入列表中”
      EWF似乎不兼容Windows 7 32位

mvcneo

nazisoft 发表于 2011-6-28 20:09
我对MS的EWF和FBWF不大了解。EWF是扇区级别的过滤，拥有控制整个文件系统的能力，通过对扇区的保护 ...

您的回复收到了，解释的太清晰了。我明白了很多，我这就去仔细琢磨下，打搅您了，工作愉快。

pdatx

mvcneo 发表于 2011-6-28 20:03
除非作者能来看看了，不过貌似很多还原都有这个问题

作者知道不？

77171587

来看看。。。