杀毒
杀毒软件,送给我都不要 (yanlb2000, 2006.06.01, yanlb2000.blogcn.com) 前面有网友,针对我的文章《刚才中了个 irjit.dll木马》的留言: “不装杀毒软件和防火墙,或者是很穷买不起,或者比较愚昧。 ” 我承认,我有点偏执; 我承认,我有时候追求完美,追求极限; 对于一台电脑,我总是希望将其安装调配到最佳状态,发挥最大的效能,特别是我自己用的电脑; 我要让电脑的所有潜力都发挥出来; 我不希望对我没用的软件运行着,占用系统的资源; 所以,我不喜欢杀毒软件; 所以,我不安装杀毒软件。 安装了杀毒软件,会明显占用电脑资源。主要表现在两点: 1, 占用内存。系统内存本身就有限,很宝贵。而一个杀毒软件起码要占用几十MB的内存,监视进程、服务进程等一大堆,这不能接受。 2, 而且,严重增加了系统负担。现在的杀毒软件都具备实时查杀功能。任何下载、复制、浏览、打开的文件、网页、邮件,都要先让杀毒软件过目一下,看看有没有病毒。这导致系统反应速度明显下降。比如用资源管理器进入一个大目录,特别是有很多、很大型exe文件的目录的时候。 所以,安装了杀毒软件之后,系统性能将有明显下降。 所以,安装了杀毒软件,可能降低了中病毒,从而导致系统破坏、文件丢失、信息泄密等危险,但首先要付出系统性能降低的代价。 所以,安装了杀毒软件,是没有遭受病毒,却已经“享受”了中了病毒之后的某些副作用。 所以,回到主题,我说: 杀毒软件,送给我都不要。 这是大实话。 多年以前,我写过一篇文章,发表在某刊物上。内容就是针对某杀毒软件的广告,我从技术层面,剖析其广告有误导概念、夸大自身功能的问题。后来,这家杀毒软件厂商竟有人给我打电话了。说很高兴认识我,说我写文章不错。可以交个朋友,以后可以给他们写写文章。说欢迎到他们那里坐坐,还要送我一套他们的正版杀毒软件…… 我当然没去。 杀毒软件我本来就不喜欢,更何况是他们那个。 我现所在的公司,按照IT政策,所有电脑必须安装McAfee杀毒软件。还说,IT会经常扫描各个电脑,如果电脑没有杀毒软件,将被警告,并强制安装,云云。应该说,McAfee是不错的杀毒软件了。但是,这个卖咖啡还是让我很不爽。一些软件不能装了,McAfee说这是病毒或是禁止安装的软件,虽然明明不是病毒。资源管理器浏览各个目录反应明显慢了。金山词霸一启动就更惨了,在IE和Office软件中抓词实时翻译(特色功能呀)都被判定为BO行为(大概是指buffer overflow吧),然后不断跳出个讨厌的警告框,抓词功能当然也被废掉了。(这个可以通过安装金山词霸补丁解决。) 一段时间之后,实在忍无可忍了。你不是一定要我装,不能删除吗?我就不删,但修改了系统,将实时检测功能关掉了。这个也不是那么好关的,McAfee网络版,所有选项都由系统管理员控制,我客户机上任何设置界面都是灰色的,正常途径关不掉。 看看,硬塞给我的杀毒软件,我都不要,还寻思着怎么干掉它。 但是,我能不安装杀毒软件,是因为我对系统比较熟悉。 我熟悉一个正常的系统,应该在后台运行哪些进程、哪些服务; 我能马上发现系统不正常的行为,发现可疑的进程; 一旦真正中了病毒、木马,我也能马上发现,并及时手工或借助一些小工具清除掉。 其实,如果真中了病毒,又手工很难杀掉,那临时装个杀毒软件,杀完再删掉,也是很好的方法么。虽然我好像没这么做过。 DOS时代,我还用杀毒软件。当然,都是些不常驻内存的杀毒软件。 进入Windows时代,我就不装杀毒软件了。 不装杀毒软件,不是说从来没中过病毒。这么多年,我也中过几次病毒、木马。但我可以说,没有哪个病毒、木马,能在我电脑上运行时间超过一天的。几个小时,就被我发现并干掉了。 更从未造成破坏文件等实质性损失。 当然,我不装杀毒软件,不等于我提倡不装杀毒软件。我倒是希望,绝大多数用户,应该安装杀毒软件。因为,在越来越狡猾和变化多端的病毒面前,普通用户根本不是对手,只能依靠杀毒软件了。 我博客上,有多篇讨论病毒的文章,大家可参照来看。 现在听说,象我这样不装杀毒软件的,有个时髦名词,叫做“裸奔”; 原来,我从来是裸奔的……
病毒为何有潜伏期 (yanlb2000, 2006.05.27, yanlb2000.blogcn.com) 曾在网上看到有人提出这么个问题: 为何狂犬病、艾滋病之类的传染病,会有潜伏期? 这的确是个有意思的问题。我们当然可以就事论事地加以解释。比如,这是病毒的特性,一开始仅仅是悄悄地传播,但并不让人生病和表现出来。比如艾滋病潜伏期短的2年,长的可有11、12年,然后才有明显症状。 但是,我更愿意从另一个层面来解释这个现象,为什么病毒要有潜伏期。 作为病毒,其根本目的,就是要尽量多地、广泛地传播、繁殖自己这个病毒薄雾浓云愁永昼品种。(其实,所有生物,包括动物、植物、人类,何尝又不是这个目的?)那么怎样才能更好地达到目的? 如果宿主(人、动物等)一感染病毒之后,并不马上发作。这时,病毒可以在宿主体内悄悄地繁殖,增加数量。而且,因为没有症状,活动能力正常,同伴也不能发觉,所以,病毒可以方便地、悄悄地传染给宿主的伙伴们,从而达到广泛传播自己的目的。 相反,如果感染病毒之后马上就发作了。宿主就生病,正常的活动受影响,可能治愈,也可能最终死亡。而且,其同伴也可马上发觉,自觉地与其保持距离,防止被感染。作为高度发达的人类,不但能对传染病人采取很好的隔离措施,而且对多数传染病也能很快治疗好。 总之,感染之后马上就发作的病毒薄雾浓云愁永昼品种,不能达到大量传播的目的,是很容易被淘汰的。 所以,病毒的潜伏期特性,是病毒在进化过程中产生的一种良好的传播策略。(或者说,没有潜伏期的病毒,基本上是被淘汰了。) 这个特征,对生物病毒适用,其实对电脑病毒也适用。几乎所有电脑病毒,也都有潜伏期。在潜伏期间,它们会悄悄地通过盘片、网络等途径复制自己,而只有到了特定的时间日期,或者其他某种条件满足了,才突然爆发出来。 显而易见,中了之后马上发作的病毒,也必然让用户马上发觉电脑异常,从而采用杀毒软件、重装等手段,马上剿灭病毒。这样的电脑病毒显然是失败的,不能广泛传播的。
十大杀毒误区 (yanlb2000, 2006.05.25, yanlb2000.blogcn.com) [color=Maroon] 注:这是我无意中在网上找到的,我多年前写的文章,所以,你不要觉得老,呵呵。具体请看 http://www.blogcn.com/User13/yanlb2000/blog/34308305.html [/color] ◆ 对染毒软盘DIR操作会导致硬盘被感染 如果计算机的内存没有病毒,那么只有在执行了带有病毒的程序(文件)后,才会感染计算机。而DIR命令是DOS的内部命令,不需要执行任何外部的程序(文件),因此对染毒软盘进行DIR操作不会感染病毒。 不过需要注意的是,如果计算机内存已有病毒(或者说计算机已染毒),如果对没有染毒的软盘进行DIR操作, 就可能感染软盘。说可能会感染是因为有些病毒不会通过DIR操作传播。 ◆ 将文件改为只读方式可免受病霉的感染 某些人认为通过DOS的外部命令ATTRIB,将文件设置为只读会十分有效地抵御病毒。 其实修改一个文件的属性只需要调用几个DOS中断就可以了,因此说ATTRIB命令对于阻止病毒的感染及传播几乎无能为力。 ◆ 反病毒软件能够杀除所有已知病毒 病毒感染方式很多,有些病毒会强行覆盖执行程序的某一部分,将自身代码嵌入其中,以达到不改变被感染文件长度的目的,被这样的病毒覆盖掉的代码无法复原,因此这种病毒是无法安全杀除的。 病毒破坏了文件的某些内容, 在杀除这种病毒后是不能恢复文件的原貌的。 ◆ 使用杀毒软件可以免受病毒的侵扰 目前市场上出售的杀毒软件,都只能在病毒泛滥之后才“一展身手”。但在杀毒之前病毒已经造成了工作的延误、数据的破坏或其他更为严重的后果。所以,应该选择一套完善的反毒系统,它不仅应包括常见的查、杀病毒功能,还应该同时包括有实时防毒功能,能实时地监测、跟踪对文件的各种操作,一旦发现病毒,立即报警,只有这样才能最大程度地减少被病毒感染的机会。 ◆ 磁盘文件损坏多为病毒所为 文件的损坏有多种原因,电源电压波动、掉电、磁化、磁盘质量低劣、硬件错误、其他软件中的错误、灰尘、烟灰、茶水,甚至一个喷嚏都可能导致数据丢失。以上所举对文件造成的损坏,会比病毒造成的损失更常见,更严重。 如果做备份的时候,备份了病霉,那么这些备份是无用的 ◆ 反病毒软件可以随时随地防范任何病霉 很显然,这种反病毒软件是不存在的。新病毒不断出现,要求反病毒软件必须快速升级。对抗病毒,我们需要的是一种安全策略和一个完善的反病毒系统,用备份作为防病毒的第一道防线,将反病毒软件作为第二道防线。 同时,软件的及时升级是加固第二道防线的唯一方法。使用反病毒软件是为了辅助防毒,它不可能是刀枪不入的保缥。 人不可能不生病,所以计算机绝不可能不感染病毒,所以您必须选择杀毒软件。 人不可能都是医生,所以您没有必要独自去面对病毒,所以您必须选择杀毒软件。 “能杀毒的就行”和“有一个杀毒软件就够了” “能杀毒的就行”和“有一个杀毒软件就够了”,这是一部分人在选择杀毒软件时的想法。一种常见的情况是,当您的计算机不正常时,找来一大堆杀毒软件,不管是正版还是盗版,能查能杀病毒就是好样的。其实很多计算机的故障并不是病毒导致,这样,很多的杀毒软件都“无效”;另一种更常见的情况是用户一般并不注意“查毒”与“杀毒”的区别,使用某种杀毒软件时,首选“杀毒”操作。于是,当它用这种杀毒软件将系统“杀毒”了一次以后,用其他杀毒软件,就再也找不到病毒了,那就认定这个软件是最好的。 目前还没有一个杀毒软件能囊括所有病毒而杀之,这是谁也做不到的。由于各种病毒标本的来源不同,再加上程序编制者的实力有别,总存在一种软件能查杀的病毒,别的软件却不能查杀。或者由于一些程序BUG(程序错误),使某些软件本来可以查杀的病毒,在它的一些版本中却不能查杀或误查误杀了。所以一般不建议用户革一的选择一种杀毒软件。 在选择杀毒软件时,请首先抛开您所有关于“好”与“不好”的成见,也拒绝广告词上的种种诱惑,认真地去了解一下杀病毒软件厂商在技术实力、服务质量、软件性能等方面的东西。特别应该了解软件厂商在升级、退货、损坏更换等方面的措施和承诺的可信度。同时,您应该请厂商直接阐述一下他们在广告中的各种术语的具体含义,要知道,这是您作为消费者的合法权益。 现在的反病毒软件市场就像“战国时代”,各家都说各家好。但消费者感到不放心,到底用谁的软件好?只用一个好还是用几个好?世上没有“万灵丹”,一个软件再好,也不是所有的病毒都能杀,不能“包治百病”。各软件厂家获取病毒样本的时间不同,因此,在每一个时间段,各软件厂家都是各有侧重,只有一个不保险。除了“万能的主”之外,这个世界上恐怕再也找不到万能的东西了。为防止“重复建设”,专家认为,选购两个优势互补的反病毒软件即可,这是提高“安全系数”的最佳方法。千万别把好几个反病毒软件都在同一台计算机上安装,大多了没必要,而且有可能出现相互之间抢占资源、判断失误、死机等问题。 ◆ 发现CMOS中有病毒 CMOS是微机中的一种特殊存储器,记录了微机的硬件设置参数及系统日期时间。开机密码等重要数据。由于CMOS设置十分重要,所以可能成为计算机病毒破坏攻击的目标。目前确实已发现了改写CMOS的“CMOS设置破坏者”病毒,但在CMOS中并不存在病毒。 有时,机器发生问题,问题出在CMOS设置上,有人认为,这是躲藏在CMOS里面的病毒!因而误认为杀毒软件不行,采取对CMOS存储器又是放电、又是短路的措施,重新设置CMOS参数后,机器恢复了正常,从此确信CMOS中有病毒。这种行为及其危险,很容易将主板搞坏。我们说“CMOS设置破坏者病毒,不等于CMOS中有病毒!病毒不能将自身自动传染到CMOS里面而存留和被激活!”,“病毒可以将CMOS设置改变或加密,但用户也可以重新设置和恢复。” 某些情况下,如CMOS电源不足、外界电源冲击性波动、软件崩溃、硬件不稳定、操作上的失误、病毒改写等都会导致CMOS 设置紊乱,也可以说,是紊乱性加密,因而,造成机器不能引导或不能正常工作。这时,一般情况下可以重新对CMOS设置和用专用软件来清理紊乱性密码,然后再设置正确参数。 CMOS中不会有病毒寄生,因为: (1)CMOS是通过I/O读写与CPU交换数据的, CPU的物理机能决定了只能读写CMOS的数据,不能把CMOS中的数据当作指令代码来执行。而病毒想要工作的话就一定要执行其程序码,但CMOS只是用来存放数据的,在CMOS中的数据不是可执行的,所以并没有CMO5病毒,只有会破坏CMOS数据的病毒。 (2)如果把一段病毒程序写入CMOS,则必然破坏微机的硬件设置以至于微机根本不能运行,存储在CMOS中的“病毒程序”将毫无作用,病毒不能在CMOS中蔓延或藏身于其中。 (3)CMOS的有效存储容量只有128个字节,不足以容纳病毒。可见CMOS不具备病毒寄生和被激活的条件,不可能有病毒存在。 ◆ [...]
神奇呀,找到失散多年的文章 (yanlb2000, 2006.05.24, yanlb2000.blogcn.com) 前几天上网,遇到了件有意思的事情。在太平洋电脑网站上,首页看到个标题链接,叫《十大杀毒误区》。哦,这个,我感兴趣的,点进去看看。 看着看着,觉得越来越奇怪了。这个文章,内容很“老”的么,而且,其中观点和我非常一致,遣词用句也是那么熟悉,似曾相识。 突然恍然大悟,这个就是我写的么!哈哈。 大概在1996-99年的时候,我曾经为《解放日报·电脑广场》写过一段时间的稿子,发表文章不少。这个应该就是当时发表在上面的。 这么多年,已经快忘了。备份也不知到哪里去了。现在重逢,真的是惊奇又惊喜。贴我这文章的地址是: http://itbbs.pconline.com.cn/topic.jsp?tid=2872079&topicPage=1 我下篇文章, 就准备将原文贴出来。 (这个算“失物”回归吧?不用写[转贴]了,呵呵。) 这么多年过去,现在再看看这篇文章,觉得可以发表些“点评”了: 1, 所涉及的技术、操作等等,都已经很“过时”了,比如DOS、软盘,等。IT技术发展就是快呀。 2, 但从具体技术上说,其中的观点都还是正确的,有些拿到今天,仍然适用、管用。比如将“软盘”替换成“U盘”、“网上空间、存储”的话。 写文章要保证观点和技术正确,并力求严谨、准确,这是我一向的风格。 3, 从文笔来说,觉得那时我真啰嗦呀,语句不够简练。为了将问题说明白,特别是考虑到对技术、背景不太熟悉的读者,我往往会交待得全面些,从而也使篇幅冗长。 其实我知道,这个问题到现在还存在。我有些文章还是不够简练。要努力,要改进!
刚才中了个 irjit.dll木马 (yanlb2000, 2006.05.18, yanlb2000.blogcn.com) 今天开机,注意了一下进程列表(用Process Explorer, 简称PE),果然发现了个陌生的进程。 为什么要特意看一下进程列表呢?因为昨天,我发现平时用来下载的目录里有个fangdown.exe的文件。不记得什么时候下载过这个文件,觉得好奇。虽然我从来不装杀毒软件和防火墙,但我还是想运行试试看。就算不是好东西,我也不信能把我电脑怎么样。 双击运行,什么反应也没有!没有任何窗口出现!顿时觉得可能真有问题。于是将PE调到前台,再次运行这个程序,发现该程序居然生成了一些临时文件,而且调用了Windows Installer。然后所有进程消失。用Autoruns一查,发现注册表启动项中多了一项,指向我的%CommonProgramFiles%UPDATupdate.exe。这显然不是什么好东西,于是将这些注册表项和文件统统删除。看看进程列表中没什么可疑进程。时间也比较晚了,就关机了。但记得下次开机要看看有什么不正常的。 今天开机看进程列表,发现在service.exe下面,挂着(启动)的多个服务中,出现了个从来没有的rundll32.exe,并由这个进程启动了一个irjit.dll。这是个什么东西?该文件位于%windir%system32wbem目录,这是个正常的Windows目录呀。再看文件版本属性,赫然写着"Microsoft irJIT Module","(C) Microsoft Corporation. All rights reserved."。这是微软自己的?我强烈怀疑。因为,该文件时间属性明显与同目录下其他文件不同;其次,我以前在进程列表中从来没见过这个服务进程。当然,我也不能判定,这个文件和昨天运行的那个fangdang.exe有什么关系。 干脆,上网google一下吧。结果出来了,果然是个木马,网上已经有很多讨论了。网上对这个文件基本上有这样的一些信息: ·是个木马无疑; ·尚不清楚对系统有多大危害 ·要启动到F8安全模式,然后删文件,删注册表中所有相关irjit.dll的项目。 那就杀吧。我嫌启动到安全模式太麻烦。试试直接杀。用PE直接杀掉那个Rundll32.exe,然后移除这个irjit.dll文件。没错,我是移动了,难得中次毒,还想研究一下呢,不忍心直接删除。然后回到原目录一看,哦,那个文件居然还在!看来这个木马毕竟不是菜鸟级别的,没这么容易干掉呀。 这下不客气了,反正样本已经保留,所以试试直接删除。这次Windows报错了,说文件使用中,无法删除。显然,内存中还有木马进程。 还是打开PE,进程列表中那个Rundll32.exe已经没有了。那会是哪个进程调用了木马呢?使用PE的"Find Handle or DLL"功能,输入查找对象irjit.dll,马上找到了,宿主进程是explorer.exe,这就是显示桌面的那个进程呀!这或许就是网上文章说的要启动到安全模式的原因吧?在安全模式,explorer.exe不会调用这些附加DLL。 没关系,我还是直接杀。用PE直接Kill掉了这个explorer.exe进程。一下子屏幕就"清爽"了,背景没了,桌面图标没了,启动菜单、托盘等等全没了。然后用PowerDesk,顺利删除irjit.dll。(我不是特地用这个PowerDesk的,我从来就是用这个代替Windows Explorer资源管理器的。) 然后,用PE的Run功能,运行explorer.exe,桌面就回来了。 再接着,运行regedit.exe,注册表编辑器,将有关irjit.dll的表项全部删除。 最后试着重启一次,已经没有那个进程和相关文件了。至此,木马被成功删除。 一些心得: ·杀毒软件、防火墙之类,的确可以不装,对我来说就是多余。不装这些东西,就避免了大量系统资源的消耗,特别是避免了实时检测扫描功能,系统反应速度比装了杀毒软件快很多。 ·不装杀毒软件了,就要自己经常注意系统有什么不正常的;特别是要留意进程列表、系统启动项目。 一旦发现中毒中木马,要能够马上清除。一般来说,就是先杀相关进程,然后删病毒木马文件,删注册表中的服务、自启动项目、挂在资源管理器和浏览器中的附加DLL等。并要反复检验,务求彻底杀干净,防止有的病毒在内存中有多个进程,它们可能实时监视对方进程,互相保护,互相恢复。 ·推荐一些我认为比较好的工具:Process Explorer, Autoruns, Rootkit Revealer, Regedit注册表编辑器。其中前3个工具都可以从http://www.sysinternals.com/下载到。
最新评论