为什么不在PE下使用绿色版杀毒软件.请看

wsw8810

病毒分为很多种,在这里我就不详细叙述了.普通病毒(通过注册表和启动项加载).在PE自带的杀毒软件(这里以卡巴为例)可以查杀.但是修改SSDT表和文件流.HOOK了系统基准函数地址的高级病毒是无法通过PE自带的杀毒软件能解决的.包括卡巴在内...这类高级病毒,只有提前开起卡巴主动防御和进程保护的时候才能防范此类病毒进入电脑.所以,在中毒后使用PE自带的绿色杀毒软件根本查不到这类病毒.因为注册表和启动项都看不到痕迹...只有恢复SSDT和文件流.把系统基准函数地址恢复过来,病毒的自我保护模块才会失效.只有这样才会看到病毒真正的进程和主程序.
   然而PE中使用卡巴的好处在于.病毒感染了EXE文件.如何把EXE文件中自带的病毒清除掉,而又不破坏EXE原文件.这才是卡巴最大的价值所在...超级巡警近段时间也在针对这类EXE病毒清除技术进行研究(汇编就是好)...清除EXE病毒的效果就我使用后的结果是.卡巴KAV9.0最好,其次是KAV8.0 巡警和瑞星在同一个档次.金山在EXE病毒清除上是它的弱项.我这里很是没搞懂江民..曾经江民出道时.以强大汇编技术为功底,当初瑞星和金山还没进入杀毒领域...市面上唯一能修复MBR病毒的只有江民一家.当初冰河的作者黄某曾经也说过,江民是他见过汇编能做到如此地步之人....(冰河是国内第一款使用SOCKET编程的远程控制软件.江山待有人才出.网络神偷,灰鸽子后来居上.),哎,岁月不饶人啊.

泰立信

支持楼主的观点，已经使用过长风论坛的PE杀毒光盘。推荐看看！
就是更新病毒库比较麻烦，要更换OP.WIM文件。

su0083

楼主的观点很好!可是有个问题就是病毒库一般过个2~3个星期就没怎么用了!更新就成了很大的问题了!

netwinxp

很简单的一个问题，病毒要感染系统的途径不外乎有：
1、感染系统文件和/或一些自启动/服务程序。
2、通过往注册表添加服务、自启动等来获得控制权。
3、通过绑架文件关联、映像等，在特定的条件下被激活。
如果磁盘中存在病毒文件或者被感染的文件，没有防火墙的杀毒软件应该可以查出病毒体。
如果病毒仅修改原系统的注册表，只在联网后才从网上下载到内存(当然，仅靠注册表实际上是很难实现这个功能的)，那么由于PE使用的是自身的注册表，不管有没有防火墙同样查不到病毒。
如果原系统有病毒文件却查不出来，那只能是杀毒软件能力的问题。

liuhangtnnd

在原系统下和恶劣的病毒斗智斗勇是一种兴奋；在PE系统下杀毒就像宰羔羊一样是一种快感。
PE独特的环境使得以前有时要拆硬盘的情况不复存在，难道不感觉很好很强大吗。

zds1210

实践证明，PE下用卡巴杀毒，还是相当干净的啊。嗯。
杀完以后，再在原系统下用360安全卫士修复一下系统注册表及走掉一些木马，系统基本上都可以修复。netwinxp 版主说得太好了。嗯。

xiaopanxie

原帖由 泰立信 于 2008-7-1 08:47 PM 发表
支持楼主的观点，已经使用过长风论坛的PE杀毒光盘。推荐看看！
就是更新病毒库比较麻烦，要更换OP.WIM文件。

长枫的PE杀毒光盘是支持病毒库在U盘的，不一定非要更换OP.WIM文件，更新很方便～～

cnn_5454

其实修复受损的EXE文件并不是很容易的事情，很多情况下，无法清除EXE文件病毒，或者说，出了删除染毒的EXE，杀毒软件也没有任何办法

fans896

技术是不断进步的，到时候病毒会感染压缩文件也不是没有可能吧。

papago

学习了 综合楼主和netwinxp版主的观点