微点交流论坛 - 反病毒

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 反病毒 » 请教超版

ems3099
中级用户

积分 429
发帖 415
注册 2006-8-17

#1 请教超版

自从给一同事杀毒失败后，信心大受打击，挫折感冒了出来。他的机器中的是“安妮”(ANI)，进不了“注册表编辑器”，用不了“运行”，开启不了“进程管理器”，更是无法使用“安全模式”，还有最厉害的一招:干掉数十款主流杀软的安装进程(干杀软更不在话下)！而且有一点挺搞笑，貌似它也有特征库，杀软安装包改了名也认识！一次释放数十个盗号类木马。同事安装了还原，“安妮”也备份进去了。我辛苦地查啊查，找啊找，发现同事是使用“青鹏棋牌”中的招。当然，这个与今天的提问无关。我想问的是:一般来说，应用软件几乎都是在操作系统启动后才加载、启动的，那如果某个病毒能先于操作系统启动，那么安全软件岂不是“聋子的耳朵--摆设”了吗？那我请教一下超版，微点能不能进入DOS引导程序，先于操作系统启动？

※ ※ ※ 本文纯属【ems3099】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-5-4 14:14

blueiceqzh
新手上路

积分 35
发帖 35
注册 2007-1-29

#2

我不是超版，随便说点自己的看法，嘻嘻。

电脑启动时是在先检测完硬件后进入硬盘的操作系统引导程序，然后操作系统加载一系列的驱动，再加载必备的服务啊，程序啊之类的。

病毒也好，杀毒软件也好，其实都是在争夺系统的控制权。进入系统的时间越早，越容易控制系统而杀灭对手。如果病毒比微点更早的进入系统，当然可以干掉微点。有些病毒就是驱动级的。

好像微点没有DOS模式下的杀毒吧。我只记得KV3000有DOS下的杀毒。

说到底DOS也是一种操作系统，只不过比WINDOWS加载的驱动啊程序啊少得多，被病毒插入的地方相对少点，欺骗用户的地方也少。

我个人觉得，最安全的杀毒模式是用光盘或是其它的启动方式，不用本地硬盘启动系统。

※ ※ ※ 本文纯属【blueiceqzh】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-5-5 10:28

koo
注册用户

积分 332
发帖 327
注册 2007-11-17

#3

dos病毒已经不成气候了，如果一直开着微点，dos病毒根本就没有用武之地了，当然如果已经中毒了，不光是微点，其他很多的杀软都没办法，除非有什么专杀或者特殊的处理。

※ ※ ※ 本文纯属【koo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-5-5 10:32

qq200878
中级用户

积分 456
发帖 452
注册 2007-11-17

#4

很多的系统保护程序都先于系统启动,可见可以实现

※ ※ ※ 本文纯属【qq200878】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-5-5 16:56

dsl5
高级用户

积分 578
发帖 520
注册 2007-6-16
来自广州

#5

ANI病毒不是啥厉害的东西，只要勤打好补丁（特别是ANI动态光标漏洞补丁），预先装好主动防御软件，要防御是不难的。

进不了“注册表编辑器”，用不了“运行”，开启不了“进程管理器”，更是无法使用“安全模式”，好的情况：可能只是注册表被修改的结果；不好的情况：系统文件已经破坏殆尽，建议重装，因为这样的系统杀了毒也没用。假如只是注册表被修改，那么微点拦截删除病毒后，按照后来套取的病毒程序的重复行为记录，可以对系统进行修复。

杀软安装包改了名也认识，它是按照任务管理栏中的任务介绍中关键字进行识别的，所以标题和Class不改，单改文件名不奏效。（可以用标题保护器保护杀软安装包或者修复安全模式进行杀软的安装）

应用软件几乎都是在操作系统启动后才加载、启动的，那如果某个病毒能先于操作系统启动，那么安全软件岂不是“聋子的耳朵--摆设”了吗？杀毒软件不是应用级，是驱动级，拥有对系统的全部权限。

微点能不能进入DOS引导程序，先于操作系统启动？微点没有该功能，不过DOS下病毒不会发作，只要进到系统中病毒发作，微点即可拦杀。

[ Last edited by dsl5 on 2008-5-5 at 17:31 ]

※ ※ ※ 本文纯属【dsl5】个人意见，与【微点交流论坛】立场无关※ ※ ※

该点饭点了叉烧饭

2008-5-5 17:30

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号