查看: 4053|回复: 13
收起左侧

[分享] 只是安慰,来撸撸扫描器

[复制链接]
huai168an
发表于 2021-7-30 12:54:42 | 显示全部楼层 |阅读模式
本帖最后由 huai168an 于 2021-7-30 14:51 编辑

只是个分享,个人在使用,因为公司机器在裸奔(也不完全裸奔,sandboxie-Firefox+noscript+trafficlight+VT4Browsers,Malwarebytes Anti-Exploit用于office文档,WFC控制自带防火墙),因为电脑很少关机,偶尔重启下,所以才有这个扫描器的辅助方案。个人电脑啥的,不是很适合,所以只是个分享帖。

不用杀软或较好的安软的原因主要是机器性能问题(其实机器配置还是很高的,8C+32G),即使火绒(之前在用)等都很棒了,但是终有不满意的地方,比如防火墙功能。。唉,用了自带的防火墙,撸撸规则,感觉还是很丝滑,效果也不错。

其实扫描器本身就没啥可撸撸的,下载,扫描,完事。但是有个重要问题就是扫描器不会自动更新,病毒库很容易延迟。所以保持扫描器的较新版本还是很重要,所以要“自动化”。

扫描器中也有“异类”,带的功能真的不错,很是喜欢,就是EmsisoftEmergencyKit,绿色不说,关键是有命令行杀毒、更新病毒库,这就好玩了。

正题了:
主流的几款扫描器下载连接要有,直接下载的那种,之前就有饭友分享:https://bbs.kafan.cn/thread-2165108-1-1.html

我用的卡巴斯基、drweb、微软、EmsisoftEmergencyKit这四款
卡巴斯基、drweb、微软就是替补,主力是EmsisoftEmergencyKit

方案:
1. 定时自动下载四款工具。可用一些下载工具定时下载,我用的win自带的定时任务+bat脚本自动下载,这样少安装了下载软件
2. 定时自动更新EmsisoftEmergencyKit病毒库,这个就要用到它强大的命令了
3. 定时自动扫描系统关键地方,同样也是强大的EmsisoftEmergencyKit命令

-------------------------------------------------------
一:定时任务




二:下载bat脚本,注意的是,里面使用到wget命令,如何在windows系统安装wget或curl自行百度下,简单
  1. @echo off
  2. ::文件夹路径变量,注意的是wget为linux路径格式,其他都是win路径格式
  3. set path_linux="D:/软件/安全软件/扫描器"
  4. set path_win="D:\软件\安全软件\扫描器"

  5. echo 开始时间:%date%-%time%
  6. echo **************************************************************
  7. echo=
  8. echo 更新Emsisoft病毒库
  9. %path_win%\EmsisoftEmergencyKit\bin64\a2cmd.exe /u
  10. echo Emsisoft病毒库更新完成
  11. echo=
  12. echo -----------------------------------
  13. ::--user-agent="Mozilla/5.0" 模拟浏览器下载,主要用于下方微软连接,否则wget无法直接下载,报403
  14. ::EmsisoftEmergencyKit.exe用压缩工具解压,默认是安装在C盘
  15. ::%Date:~0,4%%Date:~5,2%%Date:~8,2%为年月日格式变量:如20210730
  16. echo=
  17. echo 正在下载EmsisoftEmergencyKit.exe
  18. wget --user-agent="Mozilla/5.0" -q --show-progress -O %path_linux%/EmsisoftEmergencyKit-%Date:~0,4%%Date:~5,2%%Date:~8,2%.exe https://dl.emsisoft.com/EmsisoftEmergencyKit.exe
  19. echo EmsisoftEmergencyKit.exe下载完成
  20. echo -----------------------------------
  21. echo=
  22. echo 正在下载KVRT.exe
  23. wget --user-agent="Mozilla/5.0" -q --show-progress -O %path_linux%/KVRT-%Date:~0,4%%Date:~5,2%%Date:~8,2%.exe https://devbuilds.s.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
  24. echo KVRT.exe下载完成
  25. echo -----------------------------------
  26. echo=
  27. echo 正在下载MSERT.exe
  28. wget --user-agent="Mozilla/5.0" -q --show-progress -O %path_linux%/MSERT-%Date:~0,4%%Date:~5,2%%Date:~8,2%.exe https://go.microsoft.com/fwlink/?LinkId=212732
  29. echo MSERT.exe下载完成
  30. echo -----------------------------------
  31. echo=
  32. echo 正在下载Drweb.exe
  33. wget --user-agent="Mozilla/5.0" -q --show-progress -O %path_linux%/Drweb-%Date:~0,4%%Date:~5,2%%Date:~8,2%.exe https://free.drweb.com/download+cureit/gr/?lng=en
  34. echo Drweb.exe下载完成
  35. echo -----------------------------------
  36. echo=
  37. ::删除一天前的文件
  38. set DaysAgo=1
  39. for /f %%i in ('powershell -c "Get-Date (Get-Date).AddDays(-%DaysAgo%) -uformat "%%Y%%m%%d""') do (
  40.     set "DstDate=%%i"
  41. )

  42. :: /Q 直接删除,不确认
  43. echo 删除昨天旧程序
  44. del %path_win%\EmsisoftEmergencyKit-%DstDate%.exe /Q
  45. del %path_win%\KVRT-%DstDate%.exe /Q
  46. del %path_win%\MSERT-%DstDate%.exe /Q
  47. del %path_win%\Drweb-%DstDate%.exe /Q
  48. echo=
  49. echo 脚本执行完成
  50. echo=
  51. echo ***************************************************************
  52. echo 结束时间:%date%-%time%

  53. ::pause加可看到执行信息,不加直接关闭cmd窗口
  54. pause
复制代码

别看那么多行,其实很多都是注释::,或者echo打印输出而已,简单就是wget下载自己定义文件名的地址连接,然后删除昨天的文件,当然还可用进行判断等,太麻烦,这种脚本执行不成功,无所谓的,下次继续执行
要注意windows系统和linux系统的路径差异,wget和curl命令是linux中的工具

三:扫描bat脚本,这个可以配合另一个定时任务使用,扫描功能不需要其他工具的,和下载功能完全独立,单独使用
  1. @echo off
  2. ::EmsisoftEmergencyKit命令行参数参考:https://www.emsisoft.com/en/software/cmd/
  3. set path1="D:\软件\安全软件\扫描器\EmsisoftEmergencyKit"
  4. set logpath="C:\Users\DELL\Desktop"

  5. echo 开始时间:%date%-%time%
  6. echo **************************************************************
  7. echo 更新Emsisoft病毒库
  8. %path1%\bin64\a2cmd.exe /u

  9. ::%path1%\bin64\a2cmd.exe /malware /quarantine=%path1%\Quarantine /log=%logpath%\scan_%Date:~0,4%%Date:~5,2%%Date:~8,2%.log

  10. %path1%\bin64\a2cmd.exe /quick /quarantine=%path1%\Quarantine /log=%logpath%\scan_%Date:~0,4%%Date:~5,2%%Date:~8,2%.log

  11. ::%path1%\bin64\a2cmd.exe /ql

  12. echo ***************************************************************
  13. echo 结束时间:%date%-%time%
  14. echo=
  15. echo=
  16. ::判断是否有隔离文件,如果有,不关闭cmd,没有就关闭cmd
  17. echo ****************************************************************
  18. echo 开始检查是否有隔离文件
  19. if %errorlevel% equ 0 (
  20.     echo 没有发现隔离文件
  21.     ) else (
  22.     echo 警告:有隔离文件,请立即处理!!!
  23.     echo=
  24.     echo 隔离文件信息:
  25.     %path1%\bin64\a2cmd.exe /ql
  26.     pause
  27.     )
复制代码
里面也有备注,扫描参数官方有,扫描器更新库,然后自行选择如何扫描,如果发现问题程序,隔离在指定目录(也是解压EmsisoftEmergencyKit中的默认隔离目录),同时保存下具有当前日期的日志,如果发现有隔离文件,不关闭cmd窗口,没有就关闭cmd

命令行就是比好看的界面香,很快。。。


给两张效果图吧


说实话,有了命令行,真的可以自由定制自己想要的场景,真没想到EmsisoftEmergencyKit那么香,虽然少了实时监控,但是自动定时扫描这个功能有了很好的方案
如果对EmsisoftEmergencyKit不放心,在手动运行其他扫描器

下面再来看下扫描出patch工具的截图:


命令查看隔离的文件:


打开漂亮界面看下隔离情况:



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
蓝雨风暴
发表于 2021-7-30 14:04:29 | 显示全部楼层
直接安装EMSI当主力,我是AVG不安装组件开被动模式当能自动升级的扫描器
huai168an
 楼主| 发表于 2021-7-30 14:11:54 | 显示全部楼层
蓝雨风暴 发表于 2021-7-30 14:04
直接安装EMSI当主力,我是AVG不安装组件开被动模式当能自动升级的扫描器

还是喜欢绿色版
柯林
发表于 2021-7-30 14:22:47 | 显示全部楼层
既然是单位机子,安个影子,比啥都强
huai168an
 楼主| 发表于 2021-7-30 14:34:38 | 显示全部楼层
柯林 发表于 2021-7-30 14:22
既然是单位机子,安个影子,比啥都强

钉钉那些乱七八糟的工具,影子排除太麻烦了
柯林
发表于 2021-7-30 15:42:13 | 显示全部楼层
huai168an 发表于 2021-7-30 14:34
钉钉那些乱七八糟的工具,影子排除太麻烦了

32G内存,土豪!
不知道究竟做啥用,如果是服务器,还是上个专业的吧,国内外企业版一大堆
没啥安全需求的,随便装个智量或火绒,或者卡巴斯基免费版就行了

如有安全控制需求,可以参考:
https://www.dszysoft.com/product.htm
http://www.grabsun.com/monitorusb.html
huai168an
 楼主| 发表于 2021-7-30 15:47:37 | 显示全部楼层
柯林 发表于 2021-7-30 15:42
32G内存,土豪!
不知道究竟做啥用,如果是服务器,还是上个专业的吧,国内外企业版一大堆
没啥安全需 ...

公司个人PC的,大内存要用虚拟机,有时候做实验要开很多虚拟机的,性能必须要高
柯林
发表于 2021-7-30 15:57:41 | 显示全部楼层
huai168an 发表于 2021-7-30 15:47
公司个人PC的,大内存要用虚拟机,有时候做实验要开很多虚拟机的,性能必须要高

照这样子,没啥安全需求,装个卡巴免费版就够了
huai168an
 楼主| 发表于 2021-7-30 16:01:52 | 显示全部楼层
柯林 发表于 2021-7-30 15:57
照这样子,没啥安全需求,装个卡巴免费版就够了

之前试过,感觉还是不流畅,防火墙也阉割,很是不爽,还是自己弄弄规则好得多,内网攻击很多,还是防火墙重要点
柯林
发表于 2021-7-30 18:23:31 | 显示全部楼层
huai168an 发表于 2021-7-30 16:01
之前试过,感觉还是不流畅,防火墙也阉割,很是不爽,还是自己弄弄规则好得多,内网攻击很多,还是防火墙 ...

内网,最严重的无过于ARP,能有效防御ARP的好像没几个墙(包括毛豆的都不行),不知道转向IPV6后会否好点
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 14:26 , Processed in 0.131184 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表