查看: 2434|回复: 6
收起左侧

[讨论] 360卫士急救箱

[复制链接]
yclycl2046
发表于 2019-11-13 09:42:27 | 显示全部楼层 |阅读模式
本帖最后由 yclycl2046 于 2019-11-13 09:44 编辑

360卫士急救箱,点击顽固引导区木马(鬼影,魅影,魔影)专杀,就会开始检测MBR,这是硬盘格式还是Windows恢复区?如果我的win10系统用的GPT格式,UEIF引导啊,怎么还是检测MBR?
waitlight
发表于 2019-11-13 17:15:25 | 显示全部楼层
MBR好像是磁盘分区表,检测这个可能是看是否被木马修改过吧
Anan20060615
发表于 2019-11-13 21:34:28 | 显示全部楼层
这倒确实是个问题
不过GPT不是完全GPT,绝大多数硬盘还是用MBR开头,然后引出GPT分区表
具体我也不知道@360主动防御
PanzerVIIIMaus
发表于 2019-11-13 21:50:24 | 显示全部楼层
本帖最后由 PanzerVIIIMaus 于 2019-11-13 23:00 编辑

首先要说明MBR病毒存在于硬盘MBR主引导扇区,UEFI病毒存在于主板UEFI固件,二者就存在位置上是两个概念

系统启动时会不会被存在于MBR主引导扇区的病毒感染的判断依据是是否通过BIOS+MBR引导

鬼影等MBR病毒只是MBR病毒,不是UEFI病毒,既然是“鬼影专杀”自然是针对(硬盘MBR)的检查和清洗
先不论是MBR还是GPT,都是存在于硬盘的东西,至少通过UEFI引导(不论你有没有MBR分区表的硬盘)是可以免疫MBR病毒的(不经过MBR扇区读取引导信息——你在这条路截买路财,我换一条你摸不到的路就是)
如果你肯动手,你甚至可以通过“分区助手”、“DiskGenius”这些简单的硬盘分区工具在另一个干净存储设备引导的系统(比如U盘PE系统)中直接重建MBR,有效而彻底

针对UEFI的威胁是这几年才出现的,在去年,ESET公布了他们(在“当时”的“最近”)发现的第一次实际威胁攻击
现在有部分杀毒软件能够支持扫描存在于UEFI中的威胁(我明确记得ESET和Dr.Web已经加入扫描UEFI的技术,其他的杀毒我不知道,你可以自己发帖问一下)

当前几乎所有的针对UEFI引导的病毒只要在主板设置开启Secure Boot就可以得到免疫(它们未获得正确签名,因此已感染的UEFI病毒虽然存在,但不会被加载),当你关闭Secure Boot后,已感染的UEFI病毒仍旧会被加载和发作。

现在没有杀毒软件能够清除这个位置上的威胁(杀毒软件支持扫描UEFI的作用类似于“死亡回放”,你不能说还没加入UEFI扫描的反病毒软件厂商“做杀毒不走心”),只能通过更新UEFI固件清除,如果用户不懂得如何更新UEFI固件,你可能需要将整块主板送修(如果是品牌机或者笔记本,可能需要联系售后服务整机送修)以更换干净的UEFI固件

文字不多虽然经过多次修改,但仍旧容易出纰漏,有大佬发现有误还请指正

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 版区有你更精彩: )

查看全部评分

wowocock
发表于 2019-11-18 10:05:29 | 显示全部楼层
这个功能是以前遗留的,虽然现在修改MBR对GPT没什么影响。不过由于有些老木马还是会修改MBR,不管你是否GPT引导,而很多国外的杀软因为也是根据特征码来处理MBR的,所以可能会被反复报毒。所以如果能检测到有问题的修复即可。而且该功能本就是独立出来供高级用户使用。不合并在默认扫描里。一般也没必要使用。
lydysyxx
发表于 2019-11-18 13:37:01 | 显示全部楼层
以前用过。
runfrog
发表于 2019-12-3 19:36:04 | 显示全部楼层
怎么还是检测MBR?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 19:45 , Processed in 0.119576 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表