〔分享文件名黑名单〕NTFS文件系统的另种用法－封杀恶意程序

NTFS, 文件系统, 黑名单, 用法, 文件名

利用在NTFS文件系统有文件权限分配的功能和Windows同目录下不允许同名的文件或目录存在，可以封杀很多常见的恶意程序或木马。
这种方法其实很多人很早就琢磨出来了，只是写下来人的比较少。不过曾发现寄托天下在帖子提过，不记得是那篇了。

今天浏览帖子，发现还是有很多人为3721类的程序烦恼，我就以 3721 为例，写写怎么真正封杀这类程序。

原理：占名法。
条件：分区的文件系统是NTFS格式

分析：
要过滤，就要找到其规律。我们很容易发现，3271总会自动安装在：\Program Files\3721 下，不会安装到别的地方去，如果我们事先在\Program Files下建立一个3721的目录，并且把这个目录的权限设置为：任何人无权访问，那么就等于灭了3721的藏身之处，这样，就算我们不小心点击了安装3721，也不可能把3721安装成功。

操作：
在\Program Files下建立一个3721的目录，然后鼠标右击它，点击属性。如图，把图一“1”处勾选去掉，跳出对话框选删除（图一”2“处）。总之保证图二“名称那里”为空。一路确定即可。此时再试试双击3721这个目录，会提示“你无权访问”，表明设置成功。

附注：
1。在3721文件夹属性看不到“安全”？－－首先确定你的分区是NTFS格式，其次，工具－文件夹选项－查看－不要选择“使用简单的文件夹共享”；
2。会有人说用Upiea类软件免疫不是更方便？不错，但就算免疫了，你手工点击安装3721等，还是可以成功安装的。（有些菜MM，告诉她别点击安装3721，但屡教不改，只好来点狠的了）

变通：
其它类似的照搬就可以的，杀个baidu不成问题。
1。也还是有人问：“以上是预防方法，可那些程序已经安装好了，怎么也删除不了，怎么办？”－－删除不了是因为它在运行，我们别去管它在不在运行，把该程序的目录权限设置“任何人无权访问”，重启系统，这时，它是死定了吧，系统启动它也想跟着运行，却没有权限访问那个目录。接下来，我们把目录权限改成“administrators”这个组可以完全控制，把里面的文件清空，再把访问权限关闭。
2。病毒木马程序如果也出现有规律的名字，记下其文件名（包括扩展名），先删除它（删除不了依照1的方法，不必要非要到安全模式环境下），然后新建文本文件，改成刚记下的名字（提示扩展名警告，确定即可）。

好了，不知道写明白了没

附件: 您需要登录才可以下载或查看附件。没有帐号？加入我们

行云流水兮用心无多求大道以礼兵兮凌万物而超脱

关于TheWorld2.x功能的全面介绍请参考=世界之窗使用手册=

yytwt 发短消息加为好友 yytwt 当前离线匆匆只为过客 UID 251 帖子 2280 精华 0 积分 2345 威望 2333 贡献 6 推广 0 有效BUG 0 阅读权限 0 性别男来自北京在线时间 1493 小时注册时间 2005-3-3 最后登录 2023-3-28 禁止发言 UID 251 帖子 2280 精华 0 贡献 6 推广 0 有效BUG 0 来自北京注册时间 2005-3-3	2^# 发表于 2006-3-17 16:03 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽

	TOP

靖哥哥

管理员

Rank: 20

UID: 6182
帖子: 11326
精华: 4
贡献: 24
推广: 0
有效BUG: 0
注册时间: 2005-12-16

3^#

发表于 2006-3-17 17:20 | 只看该作者

学习了,有机会试下.............

遇见浏览问题请将tw主程序拷贝到空白目录下运行，排除插件、设置文件的错误。反馈问题时请尽量包含以下内容，以便开发组可以尽快解决问题：TheWorld版本、操作系统、IE版本、问题现象（可截图说明）、问题重现方式（如果可以反复重现）
世界之窗浏览器--打开窗口看世界。
应用技巧和常见问题
风向吧

TOP

starsoft

论坛元老

Rank: 12

UID: 795
帖子: 2279
精华: 2
贡献: 0
推广: 0
有效BUG: 0
注册时间: 2005-4-16

4^#

发表于 2006-3-17 20:02 | 只看该作者

支持这样的文章,比较有深度.

我由于机器的问题一直用FAT32,但是NTFS的确有很多的先进性,我的朋友经常用楼上介绍的这招.

WIN7.PRO.SP1+全补丁+IE9,TW最新版,一般不乱说!

TOP

Aycox

版主

Rank: 16

UID: 5053
帖子: 6105
精华: 13
贡献: 33
推广: 0
有效BUG: 0
注册时间: 2005-11-24

5^#

发表于 2006-3-17 23:19 | 只看该作者

预防大于修复，但中招了也不必灰心，给大家说点心得。

百度搜霸没用过，可中文上网和3721中过，这类流氓软件一般症状如下：
1，通过自带的卸载无法完全卸载，重启后依然会有；
2，即使删除安装文件夹，重启之后也依然会重建或干脆删除不了；
3，中止进程和清理自启动项目，重启之后还是依然存在。

表面上的确很顽固，但只要找到方法是可以做到卸载干净的：

1，如中文上网是通过系统底层驱动来实现接管 IE 地址栏的，也就是说这类软件除了在安装目录下有文件之外，在系统中安装有其它文件。

2，系统进程只会显示 .exe 程序进程，而加载的模块（.dll 和其它文件）是看不到的；自启动项目也并非只有 .exe 程序，也并非只会在注册表通常的 Runs 等位置出现。

3，这类程序会在 X:\Windows\system32\drivers 下安装 .sys 或在 system32 下安装 .dll 文件，只有真正清除这些才能保证干净卸载，之所以删除安装文件夹和自启动项目后还是会重建，就是因为这些表面看不见程序在作怪。

4，具体 .sys 文件名遗憾没有记下来，但上述说法可以通过某些工具分析出来，如 ProcessExplorer 不仅可以查看进程，而且可以查看每个进程调用了哪些模块，根据路径和文件名即可轻易分辨有哪些东东在偷偷运行，比如卡巴有三个 .sys 文件，QQ 有一个 .sys，中文上网有两个等等。

5，通过 Autoruns 也可以查看可删除一些除了在常规自启动位置存在的项目之外，也可查看和删除这类自加载项目。在中止流氓程序的主进程后，再把这类程序的这些项目清除和硬盘文件删除，就能手工卸载干净。

6，使用工具卸载，Guardio 和 Upiea 等有此功能，如 Guardio 并非是仅仅删除注册表信息，而是反注册上述 .sys 和 .dll，至于效果如何我一般是用上述手工办法，所以不能证明，喜欢傻瓜化操作的可以一试。

PS：我很想以身试毒做一个专题，不过精力不允，我说的方法经过了 3 次实战考验，应该说的也比较清楚了。

TOP

Aycox