[分享]女生电脑杀毒奇遇记

关于Ubuntu的故事或对Ubuntu的感慨及心情
回复
杏林小草
帖子: 17
注册时间: 2008-01-24 20:21
送出感谢: 0
接收感谢: 0

[分享]女生电脑杀毒奇遇记

#1

帖子 杏林小草 » 2008-06-21 17:27

卡饭论坛和ubuntu中文论坛同步首发。
一日,可爱女生罗妹妹递来她的爱本,称里头肯定有N多病毒。
我问她,你怎么知道,她说:1.速度慢;2.U盘在公共电脑上用过,拿回家插到本本后杀软没有任何反应。
我觉得她说得有道理,接手这个任务。开机,还算顺畅,杀软是D版卡巴,key早就被封,病毒库停留在三个月以前的,估计里头是病毒乐园了。
我说:“这简单,重装系统就可以了。”
此时,罗妹妹提出一个额外要求:明天就要背着这部机器去东莞,一去就几个月,希望马上能弄好。
我晕倒。她那部机器,装了N个软件,要我一一重装啊,疯掉不说,时间也不够啊。
于是冒险挺进,尝试杀毒。
最先想到的是Avast!的开机扫描,这个功能非常简单实用。你在windows下装好Avast!,在图形界面下升级,然后配置好开机扫描的参数,重启就行了。
不过,Avast!安装到一半,系统就死机了。hoho,看来病毒们不好对付啊。
这时,只能掏出王牌----Linux Live CD!
开源的操作系统果然零舍不同,可以运作于光盘之上。你猜到了,这种CD就叫Live CD。能屈能伸,既能做成只有命令行界面,也能做成具有图形界面,拿它做系统拯救盘非常合适。我选择的是ubuntu live CD,因为我自己用的就是ubuntu,我有它的安装盘,而且,它的安装盘就是一个live CD。
把ubuntu live CD放到本本的光驱中,重启,进入BIOS的启动设备菜单,选择从CD-ROM启动。少顷,就进入ubuntu的桌面。即使运行于光盘之上,这个操作系统依然功能完备,常见应用软件一应俱全,例如Firefox浏览器、open office软件等。唯一的遗憾是,干嘛不预装一个杀毒软件呢?
没办法,只得自己下载。在Linux下杀毒,我喜欢用红伞,因为它和win版一样的够狠。
从官网下载deb包,安装。我已经熟悉Linux命令行了,所以,不安装GUI。如果你不熟悉,可以安装GUI,但是需要另行安装java支持。
安装完成,打开一个终端,键入命令开始联网升级:sudo antivir --update
为防止误删有用文件,还需要创建一个隔离区:
mkdir /home/ubuntu/quarantine
升级完成,开始扫描:
antivir -s -z -v --moveto=/home/ubuntu/quarantine /media/disk
antivir -s -z -v --moveto=/home/ubuntu/quarantine /media/disk-1
这个命令是什么意思呢?-s代表扫描所有子目录,-z代表扫描所有文件,-v代表彻底扫描,--moveto=指定了隔离区的位置,/media/disk是扫描的起始位置。
在罗妹妹的例子中,她的电脑有2个分区,均为NTFS格式,ubuntu能正确识别,并挂载在/media/目录下面,两个分区分别叫disk、 disk-1,这些名字未必每台机器都相同,但是ubuntu都是把它挂载在/media下面的,自己找找,然后依葫芦画瓢就可以了。借助于Linux卓越的并行计算能力,我可以同时打开多个终端,并行扫描不同分区,如果分区太大,还可以并行扫描多个目录,这样可以提高扫描速度。
正夸赞着Linux的时候,突然所有antivir进程几乎同时崩溃,桌面也变得非常缓慢。我大吃一惊,莫非遇到跨平台的牛B病毒?!Linux也感染了?!还是遇上antivir免杀?!
跨平台恶意代码其实很常见,一个最简单的例子,设计一段所有浏览器都能执行的恶意javascript代码,就可以借助浏览器攻击Linux、BSD、 mac、win平台上的用户。但是,要设计跨平台的二进制可执行文件,难度非常大,因为不同的操作系统平台,其可执行文件的格式截然不同。因此,寄生在可执行文件中的跨平台病毒极其罕见。而且,Linux的用户权限设计得很好,不容易遭到可执行文件的攻击。我觉得跨平台病毒可能性很小。
遭到免杀也是可能的。针对扫描器的漏洞,开发出畸形的压缩包,在扫描器扫描到该压缩包时,导致扫描器崩溃。这样的攻击手法并不少见。可是,这不好解释所有独立的antivir进程同时崩溃啊,莫非它们同时遭遇畸形包?这么巧?!
还有什么可能呢?此时,请出Unix家族的一个独家武器:虚拟终端。我先在终端窗口里执行sudo passwd root,输入root帐户的新密码,这样就激活了root帐户(注:root帐户就是Linux下的超级管理员,在ubuntu的Live CD会话期间,root帐户是默认关闭的)。由于系统很卡,所以,费了好大的劲才输入命令并执行。命令成功执行后,按下ctrl+alt+F1,此时屏幕切换到一个命令行界面。这个界面与刚才的图形界面是平行的,互不干扰的,强大吧!我在新的命令行界面中以root的身份登录,然后检查谁在疯狂地占用系统资源。我用top命令观察。这个命令每隔3秒钟更新一次进程信息,默认按占用CPU的百分比排列各个进程。我注意到系统概览中提示的内存量已经非常少了。谁占用了内存?在top界面中,我输入大写的M字母,系统自动按内存占用百分比排序,咦,最大的一个进程才占用了百分之一出点头,内存都到哪里去了?
纳闷了一下,头脑里灵光一闪,该不会罗妹妹的电脑病毒超多,挤爆隔离区了?马上求证:
ls /home/ubuntu/quarantine
酷,列出的文件名占据了一页又一页的显示屏,由于系统很卡,我等得不耐烦了,ctrl+c中断它。
病因找到了!Live CD其实是让用户在不破坏本地硬盘的前提下感受Linux的一种方法。要实现这一点,Linux在内存中开辟空间,创建虚拟硬盘,然后将它自己安装到虚拟硬盘中。我设定的隔离区正好在虚拟硬盘上,换句话说,罗妹妹爱机上的病毒撑爆了隔离区,就等于占用了内存。
对症下药吧,把虚拟硬盘上的隔离区搬到罗妹妹的本地硬盘去:
mv /home/ubuntu/quarantine /media/disk
硬盘在轻轻的呻吟着,我在焦急的等待着。终于,命令完成了。忐忑不安地按下ctrl+alt+F7,切换回图形界面。成功了!运行流畅,只可惜丢了进度,得从头再来。没关系,发挥Linux用户百折不挠的精神
antivir -s -z -v --moveto=/media/disk/quarantine /media/disk
antivir -s -z -v --moveto=/media/disk/quarantine /media/disk-1
(注意,隔离区的位置更换了)
扫描完成,重启,顺利进入xp界面。安装免费的Avast!,升级,配置好开机扫描。为稳妥起见,执行开机扫描。
至此,完成了修复女生电脑的光荣任务,得到罗妹妹奖励的干鱿鱼一包。总结经验教训如下:
1.不要随便接收女生电脑杀毒的任务!我的天,忙了一晚上,就只值一包鱿鱼干?!
2.如果你不会找key,不要装D版杀软,免得key过期了无法升级,导致病毒横行。
3.在一台病毒横行的电脑上,最好格掉重装。
4.运行Linux Live CD杀毒时,要么直接删除,格杀勿论,要么将隔离区设定到本机硬盘。
5.据个人观察,Unix版的antivir解开压缩包的能力不及win版的,所以,我的经验是在Linux下扫毒后仍需启动到win下再次扫毒。两次扫毒的意义不同,Linux下扫毒主要目的是清除可能存在的rootkit,这种恶意软件一旦感染系统,就扎根内核,很难甩掉。Linux治愈了win的痼疾,此时就可以在相对清洁的win下再次扫毒,清除其它趁火打劫进来的病毒。
6.想知道antivir for Unix的命令行参数有什么用吗?请参阅:viewtopic.php?p=809833
头像
ljj_jjl2008
论坛版主
帖子: 14253
注册时间: 2007-09-16 8:29
送出感谢: 94 次
接收感谢: 231 次

#2

帖子 ljj_jjl2008 » 2008-06-21 17:46

不错,支持!
头像
xiooli
帖子: 6956
注册时间: 2007-11-19 21:51
来自: 成都
送出感谢: 0
接收感谢: 3 次
联系:

#3

帖子 xiooli » 2008-06-21 18:15

无win一身轻 :D :D
头像
daf3707
论坛版主
帖子: 12671
注册时间: 2007-06-13 15:57
来自: 在他乡
送出感谢: 49 次
接收感谢: 85 次

#4

帖子 daf3707 » 2008-06-21 18:39

哈哈,不错
头像
solcomo
帖子: 2838
注册时间: 2007-04-25 13:12
送出感谢: 0
接收感谢: 0
联系:

#5

帖子 solcomo » 2008-06-21 18:50

以后给mm杀毒时可以参考了 :D
♜♞♝♛♚♝♞♜
♟♟♟♟♟♟♟♟
♙♙♙♙♙♙♙♙
♖♘♗♕♔♗♘♖

☠☯⚔⚓☣☦☃☕
☹☻☪☭☬⚖⚛⚜
ℜℳℬ™ ℋℯℓ℘ ℳℭ
sƂɐʍ рǀɹoʍ əɥʇ oS
头像
leeaman
帖子: 30702
注册时间: 2007-02-02 18:14
系统: debian sid
送出感谢: 1 次
接收感谢: 23 次

#6

帖子 leeaman » 2008-06-21 18:58

厉害厉害啊 :D
醉了星星,醉月亮●●●●●The Long Way To Go(*^_^*)
头像
eexpress
帖子: 58428
注册时间: 2005-08-14 21:55
来自: 长沙
送出感谢: 4 次
接收感谢: 256 次

#7

帖子 eexpress » 2008-06-21 19:08

查出了什么?
● 鸣学
头像
yangyuruc
帖子: 385
注册时间: 2007-09-26 17:23
来自: 云南-香格里拉
送出感谢: 0
接收感谢: 1 次

#8

帖子 yangyuruc » 2008-06-21 19:43

厉害厉害
不过弱弱的问下,livecd下可以装软件么?因为我没实验过,咨询下安装过的人
自打用上ubuntu,我决定做一个不盗版的好公民
头像
trigger
帖子: 1588
注册时间: 2006-10-25 18:08
送出感谢: 1 次
接收感谢: 0

#9

帖子 trigger » 2008-06-21 20:12

看成鲍鱼了 :oops:
头像
xiooli
帖子: 6956
注册时间: 2007-11-19 21:51
来自: 成都
送出感谢: 0
接收感谢: 3 次
联系:

#10

帖子 xiooli » 2008-06-21 20:22

yangyuruc 写了:厉害厉害
不过弱弱的问下,livecd下可以装软件么?因为我没实验过,咨询下安装过的人
可以,不过要比较小的,或者你内存够大。
头像
冲浪板
论坛版主
帖子: 7466
注册时间: 2007-05-06 8:19
送出感谢: 0
接收感谢: 5 次

#11

帖子 冲浪板 » 2008-06-21 20:27

其实那本有一键恢复的....
头像
hcym
帖子: 15634
注册时间: 2007-05-06 2:46
送出感谢: 0
接收感谢: 2 次

#12

帖子 hcym » 2008-06-21 20:35

冲浪板 写了:其实那本有一键恢复的....
真不识趣,这不又不哲学了

:em05
头像
hethe
帖子: 3666
注册时间: 2005-08-01 9:14
送出感谢: 0
接收感谢: 0

#13

帖子 hethe » 2008-06-21 20:44

还不如格了舒坦
Gedanken ohne Inhalt sind leer .Anschauungen ohne Begriffe sind blind.
头像
zhexuezhuzi
帖子: 884
注册时间: 2008-01-23 14:02
来自: 吉林大学
送出感谢: 0
接收感谢: 0
联系:

#14

帖子 zhexuezhuzi » 2008-06-21 22:02

楼主的杀软的deb版还有吗?我在官网看到的不是deb的阿……能给我一个吗?

邮箱地址为 liulizhucn在gmail点com

好像qq的邮箱支持大附件
头像
sammysun
帖子: 4088
注册时间: 2007-12-08 23:33
来自: SCUT-guangzhou
送出感谢: 0
接收感谢: 0

#15

帖子 sammysun » 2008-06-21 23:19

顶了,哈哈~~
回复

回到 “Ubuntu故事和感慨”