[分享]女生电脑杀毒奇遇记

[杏林小草]

卡饭论坛和ubuntu中文论坛同步首发。
一日，可爱女生罗妹妹递来她的爱本，称里头肯定有N多病毒。
我问她，你怎么知道，她说：1.速度慢；2.U盘在公共电脑上用过，拿回家插到本本后杀软没有任何反应。
我觉得她说得有道理，接手这个任务。开机，还算顺畅，杀软是D版卡巴，key早就被封，病毒库停留在三个月以前的，估计里头是病毒乐园了。
我说：“这简单，重装系统就可以了。”
此时，罗妹妹提出一个额外要求：明天就要背着这部机器去东莞，一去就几个月，希望马上能弄好。
我晕倒。她那部机器，装了N个软件，要我一一重装啊，疯掉不说，时间也不够啊。
于是冒险挺进，尝试杀毒。
最先想到的是Avast!的开机扫描，这个功能非常简单实用。你在windows下装好Avast!，在图形界面下升级，然后配置好开机扫描的参数，重启就行了。
不过，Avast!安装到一半，系统就死机了。hoho，看来病毒们不好对付啊。
这时，只能掏出王牌----Linux Live CD！
开源的操作系统果然零舍不同，可以运作于光盘之上。你猜到了，这种CD就叫Live CD。能屈能伸，既能做成只有命令行界面，也能做成具有图形界面，拿它做系统拯救盘非常合适。我选择的是ubuntu live CD，因为我自己用的就是ubuntu，我有它的安装盘，而且，它的安装盘就是一个live CD。
把ubuntu live CD放到本本的光驱中，重启，进入BIOS的启动设备菜单，选择从CD-ROM启动。少顷，就进入ubuntu的桌面。即使运行于光盘之上，这个操作系统依然功能完备，常见应用软件一应俱全，例如Firefox浏览器、open office软件等。唯一的遗憾是，干嘛不预装一个杀毒软件呢？
没办法，只得自己下载。在Linux下杀毒，我喜欢用红伞，因为它和win版一样的够狠。
从官网下载deb包，安装。我已经熟悉Linux命令行了，所以，不安装GUI。如果你不熟悉，可以安装GUI，但是需要另行安装java支持。
安装完成，打开一个终端，键入命令开始联网升级：sudo antivir --update
为防止误删有用文件，还需要创建一个隔离区：
mkdir /home/ubuntu/quarantine
升级完成，开始扫描：
antivir -s -z -v --moveto=/home/ubuntu/quarantine /media/disk
antivir -s -z -v --moveto=/home/ubuntu/quarantine /media/disk-1
这个命令是什么意思呢？-s代表扫描所有子目录，-z代表扫描所有文件，-v代表彻底扫描，--moveto=指定了隔离区的位置，/media/disk是扫描的起始位置。
在罗妹妹的例子中，她的电脑有2个分区，均为NTFS格式，ubuntu能正确识别，并挂载在/media/目录下面，两个分区分别叫disk、 disk-1，这些名字未必每台机器都相同，但是ubuntu都是把它挂载在/media下面的，自己找找，然后依葫芦画瓢就可以了。借助于Linux卓越的并行计算能力，我可以同时打开多个终端，并行扫描不同分区，如果分区太大，还可以并行扫描多个目录，这样可以提高扫描速度。
正夸赞着Linux的时候，突然所有antivir进程几乎同时崩溃，桌面也变得非常缓慢。我大吃一惊，莫非遇到跨平台的牛B病毒？！Linux也感染了？！还是遇上antivir免杀？！
跨平台恶意代码其实很常见，一个最简单的例子，设计一段所有浏览器都能执行的恶意javascript代码，就可以借助浏览器攻击Linux、BSD、 mac、win平台上的用户。但是，要设计跨平台的二进制可执行文件，难度非常大，因为不同的操作系统平台，其可执行文件的格式截然不同。因此，寄生在可执行文件中的跨平台病毒极其罕见。而且，Linux的用户权限设计得很好，不容易遭到可执行文件的攻击。我觉得跨平台病毒可能性很小。
遭到免杀也是可能的。针对扫描器的漏洞，开发出畸形的压缩包，在扫描器扫描到该压缩包时，导致扫描器崩溃。这样的攻击手法并不少见。可是，这不好解释所有独立的antivir进程同时崩溃啊，莫非它们同时遭遇畸形包？这么巧？！
还有什么可能呢？此时，请出Unix家族的一个独家武器：虚拟终端。我先在终端窗口里执行sudo passwd root，输入root帐户的新密码，这样就激活了root帐户(注：root帐户就是Linux下的超级管理员，在ubuntu的Live CD会话期间，root帐户是默认关闭的)。由于系统很卡，所以，费了好大的劲才输入命令并执行。命令成功执行后，按下ctrl+alt+F1，此时屏幕切换到一个命令行界面。这个界面与刚才的图形界面是平行的，互不干扰的，强大吧！我在新的命令行界面中以root的身份登录，然后检查谁在疯狂地占用系统资源。我用top命令观察。这个命令每隔3秒钟更新一次进程信息，默认按占用CPU的百分比排列各个进程。我注意到系统概览中提示的内存量已经非常少了。谁占用了内存？在top界面中，我输入大写的M字母，系统自动按内存占用百分比排序，咦，最大的一个进程才占用了百分之一出点头，内存都到哪里去了？
纳闷了一下，头脑里灵光一闪，该不会罗妹妹的电脑病毒超多，挤爆隔离区了？马上求证：
ls /home/ubuntu/quarantine
酷，列出的文件名占据了一页又一页的显示屏，由于系统很卡，我等得不耐烦了，ctrl+c中断它。
病因找到了！Live CD其实是让用户在不破坏本地硬盘的前提下感受Linux的一种方法。要实现这一点，Linux在内存中开辟空间，创建虚拟硬盘，然后将它自己安装到虚拟硬盘中。我设定的隔离区正好在虚拟硬盘上，换句话说，罗妹妹爱机上的病毒撑爆了隔离区，就等于占用了内存。
对症下药吧，把虚拟硬盘上的隔离区搬到罗妹妹的本地硬盘去：
mv /home/ubuntu/quarantine /media/disk
硬盘在轻轻的呻吟着，我在焦急的等待着。终于，命令完成了。忐忑不安地按下ctrl+alt+F7，切换回图形界面。成功了！运行流畅，只可惜丢了进度，得从头再来。没关系，发挥Linux用户百折不挠的精神
antivir -s -z -v --moveto=/media/disk/quarantine /media/disk
antivir -s -z -v --moveto=/media/disk/quarantine /media/disk-1
(注意，隔离区的位置更换了)
扫描完成，重启，顺利进入xp界面。安装免费的Avast!，升级，配置好开机扫描。为稳妥起见，执行开机扫描。
至此，完成了修复女生电脑的光荣任务，得到罗妹妹奖励的干鱿鱼一包。总结经验教训如下：
1.不要随便接收女生电脑杀毒的任务！我的天，忙了一晚上，就只值一包鱿鱼干？！
2.如果你不会找key，不要装D版杀软，免得key过期了无法升级，导致病毒横行。
3.在一台病毒横行的电脑上，最好格掉重装。
4.运行Linux Live CD杀毒时，要么直接删除，格杀勿论，要么将隔离区设定到本机硬盘。
5.据个人观察，Unix版的antivir解开压缩包的能力不及win版的，所以，我的经验是在Linux下扫毒后仍需启动到win下再次扫毒。两次扫毒的意义不同，Linux下扫毒主要目的是清除可能存在的rootkit，这种恶意软件一旦感染系统，就扎根内核，很难甩掉。Linux治愈了win的痼疾，此时就可以在相对清洁的win下再次扫毒，清除其它趁火打劫进来的病毒。
6.想知道antivir for Unix的命令行参数有什么用吗？请参阅：viewtopic.php?p=809833

[ljj_jjl2008]

不错，支持！

[xiooli]

无win一身轻

[daf3707]

哈哈，不错

[solcomo]

以后给mm杀毒时可以参考了

[leeaman]

厉害厉害啊

[eexpress]

查出了什么？

[yangyuruc]

厉害厉害
不过弱弱的问下，livecd下可以装软件么？因为我没实验过，咨询下安装过的人

[trigger]

看成鲍鱼了

[xiooli]

厉害厉害
不过弱弱的问下，livecd下可以装软件么？因为我没实验过，咨询下安装过的人

可以，不过要比较小的，或者你内存够大。

[冲浪板]

其实那本有一键恢复的....

[hcym]

其实那本有一键恢复的....

真不识趣，这不又不哲学了

[hethe]

还不如格了舒坦

[zhexuezhuzi]

楼主的杀软的deb版还有吗？我在官网看到的不是deb的阿……能给我一个吗？

邮箱地址为 liulizhucn在gmail点com

好像qq的邮箱支持大附件

[sammysun]

顶了，哈哈～～