Linux下杀Win毒--Windows的“系统外”扫描综述

B.K

不可否认的，光盘、u盘系统的确有它的应用价值……
但在个人计算机的维护与管理上，可携式操作系统不是个符合效益的方法。
现在应该没有人不给纯净新系统，备一份Ghost 映像档的吧？
咱们平时只要养成「把重要文件存放到系统磁盘以外可携带装置」的习惯。
就算系统已经感染得无药可医也无妨啊，Ghost 还原……不多花你10分钟。
何必硬要尝试拯救被感染过的破系统呀？简单、快速、有效的方法为何弃之不用？
其实有些人装个防毒软件，是让自己知道什麽时候该还原系统……
再装个防火墙，防止重要机密外泄……也就够咯。
说实在的……一个被感染过的系统就算给修复了，人家还是不敢用！
不管时代怎个推进，恶意程序再怎麽刁钻顽固……
这些个老招数依然很管用……「防患未然」这是资料维护的根本之道。
用最快、最简单的操作来排除问题，这是知识与科技发展的最终目的。

B.K

大家貌似是在谈论 Linux ……
虽然 Ubuntu 很好，但 Wine 还不够好。
很多工作还是必须依靠晕到死的软件才能完成。
当然还有很多很多的游戏…… 没游戏、毋宁死！
嗯嗯……等到 Linux 能够 100%支援了 Win App ……
应该全世界都会无条件飞奔投靠这个GNU平台。

SIGKILL

yes，至少红伞用了3年多很安全，没什么文件损失的情况，说实话我根本不会去用什么hips，firewall还是要带的，反正c盘没什么大变化，基本的东西都ghost了，还原下就是几分种的事情，还做了次最好的磁盘整理，根本无所谓杀毒，基本毒中到那程度了，也不要指望能挽回所有损失。

游戏是不用指望的，除非游戏公司都像Id Software那般，不过机器破了几年我对游戏也没任何欲望了。

杏林小草

原帖由 SIGKILL 于 2008-3-5 00:15 发表
恩，如果很多不明白，ubuntu上手还是不错的，至少到处能求助，软件也丰富。

不过我已经format了，太慢了，尤其是开了ff，后来只好换epiphany和风博士，gcc还有那么点问题，其他发行版上正常的程序出来core dump， ...

和我的遭遇有点类似！
所以，小草选择了openSuSE～德国佬的东东确实不错，稳健，文档搞得井井有条，配置文件也容易看懂，还内置dazuko和antivir(都是德国自产的东东)～
对德意志民族的严谨，小草一向推崇备至。

杏林小草

原帖由 B.K 于 2008-3-5 09:06 发表
不可否认的，光盘、u盘系统的确有它的应用价值……
但在个人计算机的维护与管理上，可携式操作系统不是个符合效益的方法。
现在应该没有人不给纯净新系统，备一份Ghost 映像档的吧？
咱们平时只要养成「把重要文件 ...

您的观点是对的，如果系统完整性被破坏，最好还是从可靠的来源重建系统。拙文想说的是，检测内核级Rootkit的一些方法。我们知道，很多内核级Rootkit隐藏很深，在已经感染的系统上很难侦测到它的存在，所以，最好是用干净的系统进行引导，然后执行扫描。为了避免感染扩散，发现原来的系统出问题后，最好不要用原来的系统更新备份。上次备份之后，到目前未再备份的资料最好也用这个干净的系统备份。所以，小草认为“可携式操作系统”对个人计算机也是有一定作用的。

杏林小草

原帖由 B.K 于 2008-3-5 09:17 发表
大家貌似是在谈论 Linux ……
虽然 Ubuntu 很好，但 Wine 还不够好。
很多工作还是必须依靠晕到死的软件才能完成。
当然还有很多很多的游戏…… 没游戏、毋宁死！
嗯嗯……等到 Linux 能够 100%支 ...

呵呵，其实Linux才是小草最想在拙文中推荐的东东啦～
一般的应用Linux可以完全胜任有余，比如文档处理等。今日的Linux世界已不同以往，应用、驱动都很全。
BK说的游戏，的确也是目前Linux的硬伤，不过，Linux平台也有不错的开源游戏，可惜小草不是游戏迷，没有多少心得分享。如果读者玩电脑的目的是游戏，特别是只有win平台的游戏，那么Linux不适合你日常使用。如果你愿意，也可以使用Linux维护那个win。

Linux阵营中有一派力主全面支持win API，这样win平台下的所有程序都可以平稳过渡到Linux平台，不过，似乎实现这一点困难重重，涉及版权法、文化等等多方面的因素，主流的看法还是主张Linux与Windows划清界限的，这便是为什么长得非常像XP的红旗Linux在国际社区上备受批评的原因。

小草个人还是主张Linux要实现兼容win平台的软件，团结一切可以团结的软件，将人家的好东西拿来主义。

B.K

大多检查rookit 的工具是直接读取Ring0的，似乎不需要系统外扫描。
rookit 利用驱动注入Ring0，多数防护软件也运行於Ring0，谁强谁弱呢？
而且目前有能力撰写厉害rootkit 程序的小黑其实不多，这点我就不担心咯。

对於光盘系统的应用，我的认为是这样的：「一个可携带又不会受软件破坏的系统」。
因为系统不需要被写入，也不能被写入数据，它就不会坏……除非你的光盘给刮花了。

Linux 要不要或能不能全面支援Win32API 呐？很多人都在等。
基於Windows的普及，多数市面上显卡都是偏向DirectX 运行效能的……
光是不能良好发挥显卡的硬件效能，就很郁闷了（现在算是一半解决这个问题咯）。
在某些使用者而言，Wine 这个计画什麽时候完备，就什麽时候无痛转换平台。

bill361410

原帖由 杏林小草 于 2008-3-5 20:07 发表

和我的遭遇有点类似！
所以，小草选择了openSuSE～德国佬的东东确实不错，稳健，文档搞得井井有条，配置文件也容易看懂，还内置dazuko和antivir(都是德国自产的东东)～
对德意志民族的严谨，小草一向推崇备至。

严重同意！！ 今天回家观察一下 opensuse  呵呵 谢谢楼主推荐！！

墨色丹青

这文章我收藏了````
呵呵```
蛮不错的```

杏林小草

原帖由 B.K 于 2008-3-6 07:52 发表
大多检查rookit 的工具是直接读取Ring0的，似乎不需要系统外扫描。
rookit 利用驱动注入Ring0，多数防护软件也运行於Ring0，谁强谁弱呢？
而且目前有能力撰写厉害rootkit 程序的小黑其实不多，这点我就不担心咯。
...

像Windows这样的闭源操作系统，开发内核级Rootkit难度比较大，不过，精通逆向工程(即反编译)和内核调试技术的小黑仍能写出不错的Rootkit，而且往往能"Root"得很深。进入内核的方法很多，除了驱动之外，还有很多途径。从《Windows Internal》一书介绍的系统结构看，处于内核模式的模块有执行体、内核、驱动和硬件抽象层，硬件抽象层比驱动还要底层，而且，即使大家同为驱动，似乎也有高低之分。发生在小草身边的实例是McAfee 8.5i和LNS。在咖啡开启全端口保护，LNS完全阻断网络活动的情况下，从日志可以看出，所有的联网请求都被咖啡阻断，LNS没有任何记录。两个软件都是利用驱动控制网络操作，但似乎咖啡在更底层。

Linux目前似乎没有计划在底层支持win32 API，倒是有不少软件项目试图虚拟化，wine就是其中一例，不过有些API M$并没有提供具体文档，听说就是为了阻止专有软件进入Linux平台。

如果真有心学Linux，不妨双系统，小草目前就是双系统，不过，Win已经N久没碰了。

Linux不支持Direct X，但是显卡的性能并非靠Direct X发挥的呀，OpenGL也很优秀。

[ 本帖最后由 杏林小草 于 2008-3-6 18:46 编辑 ]