» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 反病毒软件和影子还原软件混用（第4次更新）   作者: 标题: 反病毒软件和影子还原软件混用（第4次更新） Alpha_Boy 中级用户 积分 235 发帖 225 注册 2008-5-17 #1  反病毒软件和影子还原软件混用（第4次更新） 零、写在最前面： 本文已经写得像是Windows操作系统了，补丁落补丁的，不建议没有耐心的朋友来看。 有人会问，需要这么麻烦吗？ 如果你是一个网吧的网管，或者一个小公司的技术支持科的工作人员，或者你喜欢给你身边的朋友们安装新软件——那就是得这么麻烦才保险，才对得起你的老板，你的同事，或者你身边的朋友对你的信任>.< 如果你不是上面这三种人，千万别看这篇老太婆的裹脚布（又长又臭）的文章。 毕竟，电脑是用来使用的，不是用来研究如何与病毒进行无限制地攻防战的！ 我不会再更新这篇文章了，再更新下去，心理医生所说的，我的强迫型人格障碍会越来越加重的。 另外，本人从初三第二学期开始，就因为心理问题和种种问题辍学至今，当宅男大概10年了吧。 但是我初一的时候也得过全国中小学生作文大赛三等奖的（可惜全国得三等奖的有好几十个，这奖不值钱） ——所以本文在逻辑上应该不会有重大问题， 只是涉及到了电脑技术方面的文章，估计没几个人有办法把它写得又通俗易懂、又能解决所有问题，还风趣幽默吧？ ------ 一、首先，硬盘分区如下： 1、C盘装系统（打好安全补丁）以及反病毒软件； 2、D盘装不用经常更新的绿色小工具软件，以及大型工具软件； 3、E盘中安装经常更新的软件； 4、F盘用来保存软件安装包和下载的电影等等。 二、其次，保护措施是“影子系统类”动态还原软件加反病毒软件，有三种思路。 A、追求简单方便的思路——相信这也是网吧或者小公司的电脑办公用户会采用的方案： (1)、“只有”C分区长期用影子模式保护起来； (2)、反病毒软件装在D盘，但是D分区不用影子进行保护。 反馈信息： 该思路的实践者是gambler（深度论坛反入侵区正式会员，感谢他的消息），他亲身用RVS++nod32+EQ尝试过这个方案，长达一年。 其主要缺点是在每次升级后，杀毒软件里显示的病毒库的更新日期都没有变化， 但这并不会影响到杀毒软件的正常使用。 ------ B、追求最大化的稳定、可靠的使用思路——这是一部分个人用户，包括我自己在内的使用方案。 (1)、反病毒软件装在C分区——因为越靠前的分区读取速度越快； (2)、平时不要开启影子模式——因此反病毒软件的正常升级从理论上来说不会受到任何影响； (3)、平时上网就使用具有一定防毒能力的IE外壳类浏览器，比如世界之窗2.x版——不怕麻烦且愿意尝鲜的可以去用Opera、Fire Fox。 (4)、在安装新软件的时候，手动启动你的影子系统类软件，把C、D、E分区都保护起来，如果装好后没发现什么问题，就保留这次的修改——如果装好后发现不好用，有毒或者有兼容性问题，就热启退出影子模式，还原一切变化。 反馈信息： “荔枝狐狸”（反入侵区版主兼HIPS资深玩家，感谢她提供的消息）推荐使用影子卫士（Shadow Defender），影子卫士支持手工转储、自定义需保护分区，这种使用思路基本上是没有问题的。 我自己用的是国产的影子系统2.8.2，它不支持手工转储和自定义需保护分区，只是当初下载的是永久免费的官方版——总是舍不得卸载罢了。 ------- C、试图在简单使用和稳定可靠之间寻找一个平衡点的思路——没有人实践过，纯属我的一个构思： (1)、反病毒软件装在D盘，并且开启它的自动升级功能； (2)、影子系统类软件长期打开，同时保护C、D两个分区； (3)、在影子系统类软件中进行设置，将反病毒软件的病毒库文件所在的目录设定为监控并且能够“手工转储”的目录； (4)、每天在反病毒软件的多次升级过程中，您都不用怎么去管理它，只在您每次关机或热启时，影子系统类软件是否需要手工转储（那个病毒库文件所在的目录内发生的修改时），选择“是”就可以了； (5)、有时反病毒软件会在某次升级后，提示您“需要热启计算机，本次升级才能生效，是否立即热启”。 我猜测这时它对它添加在C盘系统中的某些驱动程序级组件进行了修改， 因此这时进行热启的话， a、如果在影子系统类软件中选择“不允许保存”C盘上所发生的修改，那么反病毒软件的这次升级就会失效； b、如果在影子系统类软件中选择“允许保存”C盘上所发生的修改，那么就有可能把本次开机后，电脑所感染的某种未知的木马程序也保留了下来。 所以我的想法是： I、现在反病毒软件给出的升级提示中选择“否”，不热启计算机； II、而后在影子系统类软件中选择“不允许保存”C盘上所发生的修改，也“不允许保存手工转储”目录中所发生的修改——即让反病毒软件这次的升级行为彻底失效； III、热启计算机后进入正常模式，重新升级反病毒软件一次（像这种需要热启后才能生效的“大型”应该不会天天碰到吧？）； IV、还得热启计算机一次，以确保“反病毒软件”的这次大型升级成功完成。 V、如果你用的是“荔枝狐狸”推荐的影子卫士，那么恭喜你，你可以在不热启的情况下马上进入影子模式 ——如果你用的是“影子用户”（Shadow User），那么为了再次进入影子模式，你还得热启一次计算机>.< 各种安全方案就是这样，无法同时达到安全、方便、稳定可靠这三个特点——这是一个伟大而永远无法实现的梦想。 另外、我个人比较推崇迅雷的安全中心，在下载的同时调集整个“迅雷网络”中其它网友的杀软扫描结果，能在一定程度上查出常见已知病毒。 --- 三、一些补充： 1、“桌面、快速启动栏、开始菜单、我的文档，IE收藏夹”这些目录只要放在非C盘就好。 “桌面、快速启动栏、开始菜单”中的快捷方式，凡是能正确地指向绿色软件的，那么它们一般就能正常使用，不论你用Ghost还原几次系统都可以用下去。 2、据“风云三号”说，Ghost大概从8.3版开始支持NTFS分区，在备份C盘时不会保存虚拟内存缓冲文件（即使保存了，那种文件也很容易被压缩到最小）。 3、据“jr21066”介绍，虚拟内存分页文件最好按默认放在C盘，以提升系统的运行效能。 4、用Ghost备份出来的那个镜像文件包平时放到哪里？ a、刻录成光盘最好；b、其次是U盘（“柴子”的建议）；c、最后就是把它放在硬盘上的最后一个分区中，以尽量降低对高速分区的空间的占用——硬盘上越靠前的分区存取速度越快。 5、据“358号工程师”介绍卡巴斯基在升级后有时会改写注册表、据“jr21066”和“柴子”分别说明，微点主防和德国的小红伞也有同样的情况。所以反病毒软件在升级时会修改注册表这个结论应该是一个广泛存在的现象。 ---- 四、一些后续的说明及疑问： 1、针对思路A： (1)、RVS是什么，消息不灵通的我还真的不知道，估计也是某种磁盘还原软件（建议版主搞一个常见的缩写字母大全快速查询表，以方便新来的菜鸟）； (2)、nod32是一种杀毒软件，不是诺顿哦。我前些日子一直以为它是诺顿的某个版本（居然连个中文名都不起）——支持它的高手说它的系统资源占用率非常低，而且有中文界面；反对它的高手说它的病毒库中缺乏中国地区的木马样本——我都不知道该听谁的…… (3)、EQ是“E盾”，就是超级兔子系统优化软件里的那个“魔法盾”（支持三防），是一种手工的HIPS（主机入侵防御系统，有人也称之为动作报警器）。 想去下载它试用的用户请注意，据说它的3.41正式版，以及4.0的第二个测试版（BETA2）比较稳定，为了减少碰到意外事件的机率，“荔枝狐狸”建议去下载这两个版本。 ------- 2、针对思路B的一些补充： (5)在需要安装一个新软件前，把你的扫描型反病毒软件的“启发式扫描”功能开到最大，同时打开扫描压缩包的选项（这个应该可以设定为一种右键快捷扫描方式吧？），扫描该软件的安装包——这个步骤可以过滤一部分已知病毒和未知病毒了； (6a)、有较强电脑应用知识（能大概分析出一个软件在C盘中所进行的动作是否有害）的用户，可以打开反病毒软件中的HIPS功能模块，并开到最大， 或者直接使用一个独立的HIPS软件，然后在其监控下，安装新软件——这个步骤可以过滤大部分的，没有明显发作效果的未知木马 ——不过采用它的前提是你在信息安全方面的知识达到了较高的水平； (6b)、电脑应用知识较差的用户，如果希望更安全，可以使用智能化的HIPS，然后在其监控下安装新软件，比如国产的MP（微点）、国外的DW和TF——其安全性可能会差一些，不过误报率和无拦截率就会降低。 DW和TF是什么，消息不灵通的我完全不清楚。 ------ 五、鸣谢。 感谢“荔枝狐狸”(反入侵区版主兼HIPS资深玩家)、 和正式会员“柴子”（HIPS资深玩家)、 “gambler”（HIPS资深玩家，以上三者均来自深度论坛）， “358号工程师”（来自卡巴斯基官方论坛）， 网友“风云三号”（Linux系统爱好者，QQ上认识的）， 还有电脑&数码区版主“jr21066”（来自微点官方论坛）等高手们提供的意见和建议，他们为本文的这个版本贡献出了许多的智慧和创意， 让我们这些菜鸟为他们思想中的闪光而喝彩。 另外，本文的基础构思是深度论坛的“上官婉儿”提出来的，我只是在进行不断的“打补丁”的工作而已， 希望有后来者继续对其进行完善…… ——我们对于技术、安全，与性能的追求，是永无止境的！ [ Last edited by Alpha_Boy on 2008-6-20 at 19:11 ] ※ ※ ※ 本文纯属【Alpha_Boy】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-6-19 02:05 fox_1126 新手上路 积分 27 发帖 27 注册 2007-3-8 #2   没人回帖？？ ※ ※ ※ 本文纯属【fox_1126】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-6-19 10:37 Alpha_Boy 中级用户 积分 235 发帖 225 注册 2008-5-17 #3   对不起啊，我以前不知道你们不怎么讨论微点的原因，所以做了一些错误的预测…… 抱歉，我收回我的话。 [ Last edited by Alpha_Boy on 2008-6-20 at 13:51 ] ※ ※ ※ 本文纯属【Alpha_Boy】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-6-19 14:47 jr21066 版主 电脑&数码区版主 积分 1648 发帖 1646 注册 2006-12-16 #4   一般来说。分区越往前。磁盘上的数据就越靠磁盘外沿。读写速度在理论上会快一点点。 有可能的话，把经常访问的数据放在比较靠前的分区上。 如果不是重要数据的话。可以只保护系统，对软件安装的目录不一定要保护的。象微点就是保护的系统 微点需要安装在系统分区中，升级也需要更改目录中的文件的。不能使用影子进行保护 Ghost从7.0开始对NTFS支持就已经很好了。C盘可以是NTFS的。 楼主写的还是不错的。以后多来支持支持这里呀 [ Last edited by jr21066 on 2008-6-19 at 17:47 ] ※ ※ ※ 本文纯属【jr21066】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 有点点才会放心 2008-6-19 17:45 niels 新手上路 积分 2 发帖 2 注册 2008-4-10 #5     Quote: Originally posted by Alpha_Boy at 2008-6-19 14:47: 唉，楼主你为什么要钻牛角尖...... 为什么非要FAT32.... 为什么非要卡巴... 为什么非要影子... 为什么 我说话不中听，闪了。 PS：我没用过卡巴，我用过红伞，红伞那个茄升级病毒库都是要写注册表的。目前没 ... 很遗憾的告诉你，我就是 柴子 在此，我想声明几件事： 第一：EQ版块从来未曾打压过微点，EQ用户也没有，请不要在你的帖子里树立假想敌，挑起事端。至于为什么在那里讨论微点比较少，方向不同，那里是一群手工hips爱好者。请你弄清楚智能hips和手工hips的区别。比如，那里很少有人讨论DW和TF 第二：我从来就没有推荐过影子和杀软混用，我说过要写注册表的麻烦，对于手工hips爱好者来说，我们都是影子+沙盘+hips，没有人用杀软。 最后一点，我很支持微点，所以经常这样来逛逛，一直潜水看新闻，现在忍不住出来说两句。楼主，请不要扮猪吃老虎，我们虽然用手工hips，但不是微点的敌人。 ※ ※ ※ 本文纯属【niels】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-6-20 09:17 化外愚民 中级用户 积分 281 发帖 281 注册 2007-4-3 #6   如果是用的shadowdefender这个影子，那么不用定期升级，直接将病毒库的那个文件夹设为排除列表就行了，直接就能升级。 ※ ※ ※ 本文纯属【化外愚民】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-6-20 09:29 Alpha_Boy 中级用户 积分 235 发帖 225 注册 2008-5-17 #7   对不起，我收回我先前所说的话——我以前对手工HIPS区存在误会，真的对不起。 但是， To 柴子：我不是扮猪，我是真猪。 目前用微点就是为了省心，傻瓜安装，傻瓜使用。 我如果真的是吃老虎的高手，我就去长期使用那个Linux系统爱好者推荐的SSM了。 我看了你们那里的一个版主的帖子，然后去下载了他提到的那款国产HIPS。 结果搞得我一天之内，三次蓝屏，四次热启。 后来另一个版主说那是因为当初我下的是一个测试版，该测试版有时就是会碰到这个问题（唉，那你应该在介绍完所有的优点之后，也介绍一下这个缺点吧）…… 你觉得这是一个吃老虎的人会碰到的情况吗？ ------ 最后，我在我发的那个帖子里问，记得以前看过的教程里说DOS不能访问NTFS格式的硬盘的时候…… 你居然回复说“DOS没这毛病”。 后来另一个人回复说，（被广泛提到的）MS-DOS确实不能访问NTFS，但是现在有了一个NTFS DOS，它是可以访问NTFS格式下的分区的， 但是没有图形化界面的PE方便。 我觉得这才是论坛上的人进行互助时所应该说的话，告诉大家各种电脑常识中间存在的特殊情况，而不是直接告诉人家一个绝对化的答案。 ----------- 我不知道别人有没有碰到这种情况，就是学知识学到一定程度的时候，突然觉得心里很累很累，感到很苦很苦， 总担心自己学的东西明年可能就会失效，或者到了后年就会过时 ——然后就特别害怕，或者说是主观上想拒绝再去看一篇又一篇的教程、技术帖子； 也不愿意再去跑中关村（我家住北京），询问一些装机商，从他们那里购买一张新的，带有Ghost XP的启动盘。 当年我的第一次买到带有Ghost程序的Win 98启动盘的时候可是欣喜若狂的，觉得这次一劳永逸地解决了重装系统的烦恼， 而且托我爸，用他们单位的打印机把里面的手工使用Ghost的教程给打印了出来，奉为天书一般细细的学习了好几天，实践了好几次——有一次还把除了C盘以外的其他分区的内容都给毁了，当是真的是欲哭无泪。 可是现在，我就没这个心思了——算是心态已经老了？ 说实话，特别想把电脑安全什么的就交给一款安全软件，最多我就研究一下如何在它的设置见面里勾选几个复选框就好了…… 呵呵，好像是一个循环， 菜鸟（会在界面中勾几个复选框）-->学一些教程+看结束帖子 -->自以为是的高手（会重装系统）-->技术不断发展+心态疲劳 -->菜鸟 [ Last edited by Alpha_Boy on 2008-6-20 at 14:22 ] ※ ※ ※ 本文纯属【Alpha_Boy】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-6-20 14:15 Alpha_Boy 中级用户 积分 235 发帖 225 注册 2008-5-17 #8   如果怀疑我是微点枪手的，你可以去搜索我在深度论坛Opera讨论区里发的帖子， 我还对Opera在升级到9.5时，会使用户原先设置的右键迅雷下载菜单失效这个问题发过几万字的抱怨帖子呢。 按柴子兄弟的理论可以得出一个暗示，我这样的行为就是在宣传IE，里面有政治因素…… ※ ※ ※ 本文纯属【Alpha_Boy】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-6-20 14:28 waymark 注册用户 积分 94 发帖 94 注册 2007-11-2 #9   太长了妈呀,终于走马观花的看完了，累的我喘气喘喘喘 ※ ※ ※ 本文纯属【waymark】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-9-2 14:27 情缘V堕落 新手上路 积分 30 发帖 30 注册 2008-2-13 #10   全是技术，看着头大呀 哎，现在看东西不行啦，除小说外 ※ ※ ※ 本文纯属【情缘V堕落】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-9-3 03:17 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号