[分享]女生电脑杀毒奇遇记
-
- 帖子: 17
- 注册时间: 2008-01-24 20:21
[分享]女生电脑杀毒奇遇记
卡饭论坛和ubuntu中文论坛同步首发。
一日,可爱女生罗妹妹递来她的爱本,称里头肯定有N多病毒。
我问她,你怎么知道,她说:1.速度慢;2.U盘在公共电脑上用过,拿回家插到本本后杀软没有任何反应。
我觉得她说得有道理,接手这个任务。开机,还算顺畅,杀软是D版卡巴,key早就被封,病毒库停留在三个月以前的,估计里头是病毒乐园了。
我说:“这简单,重装系统就可以了。”
此时,罗妹妹提出一个额外要求:明天就要背着这部机器去东莞,一去就几个月,希望马上能弄好。
我晕倒。她那部机器,装了N个软件,要我一一重装啊,疯掉不说,时间也不够啊。
于是冒险挺进,尝试杀毒。
最先想到的是Avast!的开机扫描,这个功能非常简单实用。你在windows下装好Avast!,在图形界面下升级,然后配置好开机扫描的参数,重启就行了。
不过,Avast!安装到一半,系统就死机了。hoho,看来病毒们不好对付啊。
这时,只能掏出王牌----Linux Live CD!
开源的操作系统果然零舍不同,可以运作于光盘之上。你猜到了,这种CD就叫Live CD。能屈能伸,既能做成只有命令行界面,也能做成具有图形界面,拿它做系统拯救盘非常合适。我选择的是ubuntu live CD,因为我自己用的就是ubuntu,我有它的安装盘,而且,它的安装盘就是一个live CD。
把ubuntu live CD放到本本的光驱中,重启,进入BIOS的启动设备菜单,选择从CD-ROM启动。少顷,就进入ubuntu的桌面。即使运行于光盘之上,这个操作系统依然功能完备,常见应用软件一应俱全,例如Firefox浏览器、open office软件等。唯一的遗憾是,干嘛不预装一个杀毒软件呢?
没办法,只得自己下载。在Linux下杀毒,我喜欢用红伞,因为它和win版一样的够狠。
从官网下载deb包,安装。我已经熟悉Linux命令行了,所以,不安装GUI。如果你不熟悉,可以安装GUI,但是需要另行安装java支持。
安装完成,打开一个终端,键入命令开始联网升级:sudo antivir --update
为防止误删有用文件,还需要创建一个隔离区:
mkdir /home/ubuntu/quarantine
升级完成,开始扫描:
antivir -s -z -v --moveto=/home/ubuntu/quarantine /media/disk
antivir -s -z -v --moveto=/home/ubuntu/quarantine /media/disk-1
这个命令是什么意思呢?-s代表扫描所有子目录,-z代表扫描所有文件,-v代表彻底扫描,--moveto=指定了隔离区的位置,/media/disk是扫描的起始位置。
在罗妹妹的例子中,她的电脑有2个分区,均为NTFS格式,ubuntu能正确识别,并挂载在/media/目录下面,两个分区分别叫disk、 disk-1,这些名字未必每台机器都相同,但是ubuntu都是把它挂载在/media下面的,自己找找,然后依葫芦画瓢就可以了。借助于Linux卓越的并行计算能力,我可以同时打开多个终端,并行扫描不同分区,如果分区太大,还可以并行扫描多个目录,这样可以提高扫描速度。
正夸赞着Linux的时候,突然所有antivir进程几乎同时崩溃,桌面也变得非常缓慢。我大吃一惊,莫非遇到跨平台的牛B病毒?!Linux也感染了?!还是遇上antivir免杀?!
跨平台恶意代码其实很常见,一个最简单的例子,设计一段所有浏览器都能执行的恶意javascript代码,就可以借助浏览器攻击Linux、BSD、 mac、win平台上的用户。但是,要设计跨平台的二进制可执行文件,难度非常大,因为不同的操作系统平台,其可执行文件的格式截然不同。因此,寄生在可执行文件中的跨平台病毒极其罕见。而且,Linux的用户权限设计得很好,不容易遭到可执行文件的攻击。我觉得跨平台病毒可能性很小。
遭到免杀也是可能的。针对扫描器的漏洞,开发出畸形的压缩包,在扫描器扫描到该压缩包时,导致扫描器崩溃。这样的攻击手法并不少见。可是,这不好解释所有独立的antivir进程同时崩溃啊,莫非它们同时遭遇畸形包?这么巧?!
还有什么可能呢?此时,请出Unix家族的一个独家武器:虚拟终端。我先在终端窗口里执行sudo passwd root,输入root帐户的新密码,这样就激活了root帐户(注:root帐户就是Linux下的超级管理员,在ubuntu的Live CD会话期间,root帐户是默认关闭的)。由于系统很卡,所以,费了好大的劲才输入命令并执行。命令成功执行后,按下ctrl+alt+F1,此时屏幕切换到一个命令行界面。这个界面与刚才的图形界面是平行的,互不干扰的,强大吧!我在新的命令行界面中以root的身份登录,然后检查谁在疯狂地占用系统资源。我用top命令观察。这个命令每隔3秒钟更新一次进程信息,默认按占用CPU的百分比排列各个进程。我注意到系统概览中提示的内存量已经非常少了。谁占用了内存?在top界面中,我输入大写的M字母,系统自动按内存占用百分比排序,咦,最大的一个进程才占用了百分之一出点头,内存都到哪里去了?
纳闷了一下,头脑里灵光一闪,该不会罗妹妹的电脑病毒超多,挤爆隔离区了?马上求证:
ls /home/ubuntu/quarantine
酷,列出的文件名占据了一页又一页的显示屏,由于系统很卡,我等得不耐烦了,ctrl+c中断它。
病因找到了!Live CD其实是让用户在不破坏本地硬盘的前提下感受Linux的一种方法。要实现这一点,Linux在内存中开辟空间,创建虚拟硬盘,然后将它自己安装到虚拟硬盘中。我设定的隔离区正好在虚拟硬盘上,换句话说,罗妹妹爱机上的病毒撑爆了隔离区,就等于占用了内存。
对症下药吧,把虚拟硬盘上的隔离区搬到罗妹妹的本地硬盘去:
mv /home/ubuntu/quarantine /media/disk
硬盘在轻轻的呻吟着,我在焦急的等待着。终于,命令完成了。忐忑不安地按下ctrl+alt+F7,切换回图形界面。成功了!运行流畅,只可惜丢了进度,得从头再来。没关系,发挥Linux用户百折不挠的精神
antivir -s -z -v --moveto=/media/disk/quarantine /media/disk
antivir -s -z -v --moveto=/media/disk/quarantine /media/disk-1
(注意,隔离区的位置更换了)
扫描完成,重启,顺利进入xp界面。安装免费的Avast!,升级,配置好开机扫描。为稳妥起见,执行开机扫描。
至此,完成了修复女生电脑的光荣任务,得到罗妹妹奖励的干鱿鱼一包。总结经验教训如下:
1.不要随便接收女生电脑杀毒的任务!我的天,忙了一晚上,就只值一包鱿鱼干?!
2.如果你不会找key,不要装D版杀软,免得key过期了无法升级,导致病毒横行。
3.在一台病毒横行的电脑上,最好格掉重装。
4.运行Linux Live CD杀毒时,要么直接删除,格杀勿论,要么将隔离区设定到本机硬盘。
5.据个人观察,Unix版的antivir解开压缩包的能力不及win版的,所以,我的经验是在Linux下扫毒后仍需启动到win下再次扫毒。两次扫毒的意义不同,Linux下扫毒主要目的是清除可能存在的rootkit,这种恶意软件一旦感染系统,就扎根内核,很难甩掉。Linux治愈了win的痼疾,此时就可以在相对清洁的win下再次扫毒,清除其它趁火打劫进来的病毒。
6.想知道antivir for Unix的命令行参数有什么用吗?请参阅:viewtopic.php?p=809833
一日,可爱女生罗妹妹递来她的爱本,称里头肯定有N多病毒。
我问她,你怎么知道,她说:1.速度慢;2.U盘在公共电脑上用过,拿回家插到本本后杀软没有任何反应。
我觉得她说得有道理,接手这个任务。开机,还算顺畅,杀软是D版卡巴,key早就被封,病毒库停留在三个月以前的,估计里头是病毒乐园了。
我说:“这简单,重装系统就可以了。”
此时,罗妹妹提出一个额外要求:明天就要背着这部机器去东莞,一去就几个月,希望马上能弄好。
我晕倒。她那部机器,装了N个软件,要我一一重装啊,疯掉不说,时间也不够啊。
于是冒险挺进,尝试杀毒。
最先想到的是Avast!的开机扫描,这个功能非常简单实用。你在windows下装好Avast!,在图形界面下升级,然后配置好开机扫描的参数,重启就行了。
不过,Avast!安装到一半,系统就死机了。hoho,看来病毒们不好对付啊。
这时,只能掏出王牌----Linux Live CD!
开源的操作系统果然零舍不同,可以运作于光盘之上。你猜到了,这种CD就叫Live CD。能屈能伸,既能做成只有命令行界面,也能做成具有图形界面,拿它做系统拯救盘非常合适。我选择的是ubuntu live CD,因为我自己用的就是ubuntu,我有它的安装盘,而且,它的安装盘就是一个live CD。
把ubuntu live CD放到本本的光驱中,重启,进入BIOS的启动设备菜单,选择从CD-ROM启动。少顷,就进入ubuntu的桌面。即使运行于光盘之上,这个操作系统依然功能完备,常见应用软件一应俱全,例如Firefox浏览器、open office软件等。唯一的遗憾是,干嘛不预装一个杀毒软件呢?
没办法,只得自己下载。在Linux下杀毒,我喜欢用红伞,因为它和win版一样的够狠。
从官网下载deb包,安装。我已经熟悉Linux命令行了,所以,不安装GUI。如果你不熟悉,可以安装GUI,但是需要另行安装java支持。
安装完成,打开一个终端,键入命令开始联网升级:sudo antivir --update
为防止误删有用文件,还需要创建一个隔离区:
mkdir /home/ubuntu/quarantine
升级完成,开始扫描:
antivir -s -z -v --moveto=/home/ubuntu/quarantine /media/disk
antivir -s -z -v --moveto=/home/ubuntu/quarantine /media/disk-1
这个命令是什么意思呢?-s代表扫描所有子目录,-z代表扫描所有文件,-v代表彻底扫描,--moveto=指定了隔离区的位置,/media/disk是扫描的起始位置。
在罗妹妹的例子中,她的电脑有2个分区,均为NTFS格式,ubuntu能正确识别,并挂载在/media/目录下面,两个分区分别叫disk、 disk-1,这些名字未必每台机器都相同,但是ubuntu都是把它挂载在/media下面的,自己找找,然后依葫芦画瓢就可以了。借助于Linux卓越的并行计算能力,我可以同时打开多个终端,并行扫描不同分区,如果分区太大,还可以并行扫描多个目录,这样可以提高扫描速度。
正夸赞着Linux的时候,突然所有antivir进程几乎同时崩溃,桌面也变得非常缓慢。我大吃一惊,莫非遇到跨平台的牛B病毒?!Linux也感染了?!还是遇上antivir免杀?!
跨平台恶意代码其实很常见,一个最简单的例子,设计一段所有浏览器都能执行的恶意javascript代码,就可以借助浏览器攻击Linux、BSD、 mac、win平台上的用户。但是,要设计跨平台的二进制可执行文件,难度非常大,因为不同的操作系统平台,其可执行文件的格式截然不同。因此,寄生在可执行文件中的跨平台病毒极其罕见。而且,Linux的用户权限设计得很好,不容易遭到可执行文件的攻击。我觉得跨平台病毒可能性很小。
遭到免杀也是可能的。针对扫描器的漏洞,开发出畸形的压缩包,在扫描器扫描到该压缩包时,导致扫描器崩溃。这样的攻击手法并不少见。可是,这不好解释所有独立的antivir进程同时崩溃啊,莫非它们同时遭遇畸形包?这么巧?!
还有什么可能呢?此时,请出Unix家族的一个独家武器:虚拟终端。我先在终端窗口里执行sudo passwd root,输入root帐户的新密码,这样就激活了root帐户(注:root帐户就是Linux下的超级管理员,在ubuntu的Live CD会话期间,root帐户是默认关闭的)。由于系统很卡,所以,费了好大的劲才输入命令并执行。命令成功执行后,按下ctrl+alt+F1,此时屏幕切换到一个命令行界面。这个界面与刚才的图形界面是平行的,互不干扰的,强大吧!我在新的命令行界面中以root的身份登录,然后检查谁在疯狂地占用系统资源。我用top命令观察。这个命令每隔3秒钟更新一次进程信息,默认按占用CPU的百分比排列各个进程。我注意到系统概览中提示的内存量已经非常少了。谁占用了内存?在top界面中,我输入大写的M字母,系统自动按内存占用百分比排序,咦,最大的一个进程才占用了百分之一出点头,内存都到哪里去了?
纳闷了一下,头脑里灵光一闪,该不会罗妹妹的电脑病毒超多,挤爆隔离区了?马上求证:
ls /home/ubuntu/quarantine
酷,列出的文件名占据了一页又一页的显示屏,由于系统很卡,我等得不耐烦了,ctrl+c中断它。
病因找到了!Live CD其实是让用户在不破坏本地硬盘的前提下感受Linux的一种方法。要实现这一点,Linux在内存中开辟空间,创建虚拟硬盘,然后将它自己安装到虚拟硬盘中。我设定的隔离区正好在虚拟硬盘上,换句话说,罗妹妹爱机上的病毒撑爆了隔离区,就等于占用了内存。
对症下药吧,把虚拟硬盘上的隔离区搬到罗妹妹的本地硬盘去:
mv /home/ubuntu/quarantine /media/disk
硬盘在轻轻的呻吟着,我在焦急的等待着。终于,命令完成了。忐忑不安地按下ctrl+alt+F7,切换回图形界面。成功了!运行流畅,只可惜丢了进度,得从头再来。没关系,发挥Linux用户百折不挠的精神
antivir -s -z -v --moveto=/media/disk/quarantine /media/disk
antivir -s -z -v --moveto=/media/disk/quarantine /media/disk-1
(注意,隔离区的位置更换了)
扫描完成,重启,顺利进入xp界面。安装免费的Avast!,升级,配置好开机扫描。为稳妥起见,执行开机扫描。
至此,完成了修复女生电脑的光荣任务,得到罗妹妹奖励的干鱿鱼一包。总结经验教训如下:
1.不要随便接收女生电脑杀毒的任务!我的天,忙了一晚上,就只值一包鱿鱼干?!
2.如果你不会找key,不要装D版杀软,免得key过期了无法升级,导致病毒横行。
3.在一台病毒横行的电脑上,最好格掉重装。
4.运行Linux Live CD杀毒时,要么直接删除,格杀勿论,要么将隔离区设定到本机硬盘。
5.据个人观察,Unix版的antivir解开压缩包的能力不及win版的,所以,我的经验是在Linux下扫毒后仍需启动到win下再次扫毒。两次扫毒的意义不同,Linux下扫毒主要目的是清除可能存在的rootkit,这种恶意软件一旦感染系统,就扎根内核,很难甩掉。Linux治愈了win的痼疾,此时就可以在相对清洁的win下再次扫毒,清除其它趁火打劫进来的病毒。
6.想知道antivir for Unix的命令行参数有什么用吗?请参阅:viewtopic.php?p=809833
- ljj_jjl2008
- 论坛版主
- 帖子: 14255
- 注册时间: 2007-09-16 8:29
不错,支持!
闻到死太贵, 麦克价更高。 有了笨笨兔, 二者皆可抛。
+ 我的六轮折腾
+ 折腾6轮的结果(对40余种WM的测试和分析,多种DE和WM并存的方案)
+ 折腾的中间成果:可以独立运行的一个Wharf(图标化的启动菜单)
+ 强烈推荐----折腾的终极成果:一个自己开发的DE环境
+ 签名空闲链接位置招租
+ 我的六轮折腾
+ 折腾6轮的结果(对40余种WM的测试和分析,多种DE和WM并存的方案)
+ 折腾的中间成果:可以独立运行的一个Wharf(图标化的启动菜单)
+ 强烈推荐----折腾的终极成果:一个自己开发的DE环境
+ 签名空闲链接位置招租
- solcomo
- 帖子: 2838
- 注册时间: 2007-04-25 13:12
- leeaman
- 帖子: 30702
- 注册时间: 2007-02-02 18:14
- 系统: debian sid
- yangyuruc
- 帖子: 385
- 注册时间: 2007-09-26 17:23
- 来自: 云南-香格里拉
- xiooli
- 帖子: 6956
- 注册时间: 2007-11-19 21:51
- 来自: 成都
- 联系:
- hethe
- 帖子: 3666
- 注册时间: 2005-08-01 9:14
- zhexuezhuzi
- 帖子: 884
- 注册时间: 2008-01-23 14:02
- 来自: 吉林大学
- 联系: