光靠杀毒保护不了系统，我想请高手给一个能让硬盘90%的地方百毒不侵的方法

fliger

自从有了免杀技术后，现在大家光靠杀毒来防御病毒已经是“不可能完成的任务了”，


但是我们如果能保证系统和硬盘里安全的区域不再被病毒改写（也包括正常的程序），这样我们不是就能防御住病毒了吗？

只读权限看来是种比较强悍的手段，VISTA以后的系统就这样来保护那个8G大小的肥硕身体，
     但是系统有的地方确实是需要做修改的（比如你增加了个新用户）。所以VISTA和WINDOWS7就再用FBWF来写一些必要的更新
但很多人的内存还不到2G（我780M的，CPU虽然更新到1.66了），我始终不愿意去用WINDOWS7，所以有没有什么法子也让XP系统以及硬盘里别的分区里的许多EXE，DLL文件们都能这样来保护起来，

经过思考，我发现病毒和木马都有一个特点，他们进入电脑后，都喜欢在另一个和自己无关的目录里写些什么，做点修改（特别是恶意病毒），所以我们必须要控制写操作，
我在想FBWF/沙盘/诺顿SVS/影子系统等虚拟重定向技术确实是比较好的控制写操作的工具，能把病毒或程序们的写操作控制起来，

如果Mobile XP 或XPE，能装在带写保护口的U盘里启动，并可以通过FBWF来模拟写操作的话，那么把他们装到硬盘里，设置成只读也就可以做到百毒不侵了，是不是呢？会不会在写的时候跳出“没有权限写入”的提示呢？
    我想请高手给一个能让硬盘90%的地方百毒不侵的方法
如果发现病毒，也不必再去扫描这些地方（保护硬盘呀）
如果发现病毒，直接把重定向的地方手工一删，就还原到原来的样子了（也不要杀毒了，傻瓜都会做）

[ 本帖最后由 fliger 于 2009-5-27 13:43 编辑 ]

dato

用user权限的帐户,就因为很多人用administrator做桌面用户所以才导致系统如此的脆弱

fliger

谢谢，那么硬盘其他的地方呢，如果下载的软件有病毒，那用管理员帐户才能安装，我是说最好能预防安装软件后的出现病毒的方法，

我想说，真的有这样的方法的话，我相信一定在国内会被广泛使用和转载的

[ 本帖最后由 fliger 于 2009-5-19 18:38 编辑 ]

feiyl

这个恐不能完全预防…

julon

可以用影子系统，很好。

feiyl

影子系统一样中毒，只不过是开机还原了而已

野野野

因为很多人用administrator做桌面用户所以才导致系统如此的脆弱

fliger

看来大家都不太怕病毒，
我的问题是，在管理员的权限下，也能防御病毒的方法，同时我也不拒绝病毒进入电脑，但一旦发觉电脑不正常的话，我们怎么样有个法子把做过的修改都删除到，也就是说怎么把发生重定向的部分删除掉呢？希望能够得到一个好的办法，希望高手们能给大家一个好的法子，谢谢

另外，我感觉，现在PE配合FBWF，也能够对PE做些必要的修改，如果我们把PE安装在电脑里，用只读权限防止PE被病毒修改，也具有很强的防御病毒的效果的。
或者有哪位大侠能教大家一个让XP系统配合FBWF+只读权限来防御病毒的方法，现在不是有人能用FBWF对光盘做模拟的写入吗？大家都知道光盘肯定是不会被病毒写入的，在这里不得不说，模拟技术太厉害了，如果能把C分区直接模拟成一个光盘就好了.或者有类似的方法也可以啊

[ 本帖最后由 fliger 于 2009-5-27 13:42 编辑 ]

fliger

原帖由 feiyl 于 2009-5-20 00:15 发表
影子系统一样中毒，只不过是开机还原了而已

其实我们也不必苛求系统不中病毒，但至少，我们要保护的地方一定不能写进病毒去，这样有病毒和木马的话，我们控制把重定向的地方该删的删，不让病毒躲藏就可以了，
或者当初设计系统的时候是否应该规定所有的程序都不能对它所在的目录以外的区域做修改，这样病毒即使进了硬盘里只要对别的目录写东西，就马上被系统认定为病毒，不过现在看来不太现实，所以我们只能通过虚拟重定向来防止重要的地方被写进不干净的东西
所以我们能不能让影子系统保护的区域都变成只读的，这样穿了的话，也写不进去，
但我就是不知道怎么设置，

pcsam

回楼上: ThreatFire 是一种 行为式防毒软件
免费下载,http://www.threatfire.com/cn/download/
免费病毒分析网站 http://www.virustotal.com/zh-tw/
平常我是使用 来宾帐户溜览网站的

pcsam

你要下载东西,就得冒风险

fliger

行为防御病毒，我听说BYSHELL，听说卡巴，麦咖啡，EQ，对对付不了它，现在出了很多的免杀的BYSHELL变种了，
你说该怎么办呢

pcsam

只要你要从来路存疑的地方下载东西回来再打开它,那就说什麼都没用!

netwinxp

病毒本身就是一个程序，理论上讲只要PC机还是用冯诺伊曼架构就无法避开病毒。

fliger

原帖由 netwinxp 于 2009-5-24 23:32 发表
病毒本身就是一个程序，理论上讲只要PC机还是用冯诺伊曼架构就无法避开病毒。

我不怀疑你的说法，我前面也说过了，我并不拒绝病毒，但至少，我们要有能防御硬盘90%的地方不被病毒改写的方法，
我感觉只读权限很强悍，深山红叶前几年的那个XP安全整合光盘就很厉害，确实能防御99%的病毒，
但只读权限和光盘操作系统，还有光盘PE一样，不能做什么设置，因为没有FBWF

但FBWF对防御病毒写进系统也不敢100%的做保证，但他们俩配合一起工作就很不错，目前VISTA和WIN7就是这样做的，但VISTA和WIN7体积太大了，FBWF也保护不了别的分区和引导区，所以才希望有个能让XP系统能和光盘PE一样防御病毒的想法

fliger

原帖由 pcsam 于 2009-5-24 22:50 发表
只要你要从来路存疑的地方下载东西回来再打开它,那就说什麼都没用!

你好，你说的那个软件不知道能不能防御BYSHELL病毒，效果不知道怎么样，
我上次在无忧论坛下的一个东西，还是被红伞报告有病毒，就是到多特上去下也不敢保证，这个年头什么都不敢保证
但只读权限配合重定向还是很强悍的，这点怎么就没有人认同一下呢？能给一个让XP象PE光盘一样能写能修改的方法呢，最好有病毒的话还能象诺顿的SVS那样直接删除层或取消激活层，就能让系统清净点的办法？

netwinxp

现在有些病毒可以用ATA指令直接和硬盘打交道，除非象光盘那样真正只读，否则没法保证。
BTW:连BIOS都会被改写。

m4342105a

对于病毒的侵入只是对于对系统不太熟悉的人就会感到很害怕，其实对于熟悉系统的人来说有病毒的侵入都会有迹可循，寻到即可清除，所以只要熟悉系统病毒就不成威胁，很多方法都可以清除病毒，还原系统都只是一种技术都有可能被破解，破解了就没有作用可言了。

mxy108

楼主的想法非常好，我也觉得如果深入研究的话，应该是可行的。PE作为一种微操作系统都可以做到避免病毒入侵，硬盘应该也可以。理论上讲如果能把量产后的U盘PE一直当做操作系统使用，本身就实现了楼主的想法。

m100120304

想法是好的，那估计无法实现，就像有位朋友说了，BIOS都可以改写，何况是windows呢？因为账户的权限本身就是由系统赋予的(我的表达可能有点错误，忘大家见谅，呵呵)，如果这个病毒可以控制的超越了你的这个权限，这些只读不都成摆设了吗？所以，就像intel提出的那样，防毒，从硬件抓起最有效吧

sunlau

重装就是硬道理，要不这个论坛都没意义了

fliger

原帖由 mxy108 于 2009-5-29 21:40 发表
楼主的想法非常好，我也觉得如果深入研究的话，应该是可行的。PE作为一种微操作系统都可以做到避免病毒入侵，硬盘应该也可以。理论上讲如果能把量产后的U盘PE一直当做操作系统使用，本身就实现了楼主的想法。

谢谢啊，把U盘来装系统，可以保护硬盘的寿命，但感觉每次都要插上一个U盘不方便，PE如果每次启动不要再安装驱动就好了，所以MOBILE XP也是个选择，但这样就又保护不了系统避免被病毒入侵了，问题呀

fliger

原帖由 netwinxp 于 2009-5-28 22:04 发表
现在有些病毒可以用ATA指令直接和硬盘打交道，除非象光盘那样真正只读，否则没法保证。
BTW:连BIOS都会被改写。

如果这样的话，我又在想，现在仿真技术是很厉害的，能不能用什么手段让所有的程序都认为C盘是个光盘呢，要安装什么的话，就再仿真一个刻录机，用它才能写C盘，不然我们提供FBWF等重定向，写到别的地方，不让病毒偷偷写进去

  现在VISTA和WIN7体积太大了，我还是想继续用XP，但很希望XP也能像V系统那样用只读权限配合虚拟重定向服务FBWF（或别的工具），来防止重要的地方被修改，这样，以后这些地方基本就可以免除被病毒破坏的情况发生了），现在光盘PE都能用FBWF来实现修改PE设置了，最好有病毒的话，还能很容易的使用重定向管理工具删除掉，
         病毒和木马都有一个特点，他们进入电脑后，都喜欢在另一个和自己无关的目录里写些什么，做点修改（特别是恶意病毒），而且一些聪明的病毒会设法隐藏自己（让杀毒软件根本扫描不到自己），或让没专业水准的人很难删除自己（比如多进程病毒），所以我们必须要控制好硬盘的写操作，
     当初设计系统的时候是否应该规定所有的程序都不能对它所在的目录以外的区域做修改，这样病毒即使进了硬盘里只要对别的目录写东西，就马上被系统认定为病毒，不过现在看来不太现实，所以我们只能通过虚拟重定向来防止重要的地方被写进不干净的东西

[ 本帖最后由 fliger 于 2009-6-8 18:42 编辑 ]

chb9504

原帖由 pcsam 于 2009-5-24 00:52 发表
回楼上: ThreatFire 是一种 行为式防毒软件
免费下载,http://www.threatfire.com/cn/download/
免费病毒分析网站 http://www.virustotal.com/zh-tw/
平常我是使用 来宾帐户溜览网站的

真是不错，今天学习了。

雅典娜的目光

个人觉得吧，病毒与杀毒软件，就象毛贼与 p-o-l-i-c-e。
你可以去抓贼，可你总不能做到全国90%的地方没贼吧

mxonline

选用主动防御软件吧。。。。。。。。

紫狐

把硬盘锁进柜子里就不会中毒了。

dgxhls

90%的地方百毒不侵顶个屁用，99.9999999999999999999999999999999999999999999999999%的地方百毒不侵都没有任何意义，0.000000000000000000000000000000000000000000001%的地方有毒就OK了。

wwglsh

我用“影子系统2008”，启动“完全影子模式”后，所有分区的更改在重启后都会消失，完全免疫病毒。

fliger

原帖由 dgxhls 于 2009-6-12 12:20 发表
90%的地方百毒不侵顶个屁用，99.9999999999999999999999999999999999999999999999999%的地方百毒不侵都没有任何意义，0.000000000000000000000000000000000000000000001%的地方有毒就OK了。

其实中毒往往是那0.00001%的地方导致很多人发现不了就只能G掉重装。
我发贴的意思其实就是说如果能使90%的地方百毒真的不入的话，那99%的地方也是可能的，以后要查杀病毒太方便了（更别说系统垃圾了），我们首先知道哪些地方没有病毒，自然就知道了哪些地方会有病毒，病毒基本就在剩下的几M--十几M的空间里有（脑子都不需要动），最多就删掉那么点地方的写操作呀。总比G掉1000M的系统好。另外如果想彻底还原系统，我们只要删除清空所有的重定向区域里的文件，系统就还原了，这下GHOST也可以下岗了。如果把虚拟机的增量备份功能移植过来，那不就打造出增量备份的还原软件了吗？（这个功能可以用海尔的酷越保护系统直接实现）

原帖由 雅典娜的目光 于 2009-6-10 09:23 发表
个人觉得吧，病毒与杀毒软件，就象毛贼与 p-o-l-i-c-e。
你可以去抓贼，可你总不能做到全国90%的地方没贼吧

感觉更像是游牧民族入侵定居民族，一个搞游击，所以要有建立个长城才能挡住

[ 本帖最后由 fliger 于 2009-8-2 16:19 编辑 ]