返回列表 发帖

〔分享文件名黑名单〕NTFS文件系统的另种用法-封杀恶意程序

利用在NTFS文件系统有文件权限分配的功能和Windows同目录下不允许同名的文件或目录存在,可以封杀很多常见的恶意程序或木马。
这种方法其实很多人很早就琢磨出来了,只是写下来人的比较少。不过曾发现寄托天下在帖子提过,不记得是那篇了。

今天浏览帖子,发现还是有很多人为3721类的程序烦恼,我就以 3721 为例,写写怎么真正封杀这类程序。

原理:占名法。
条件:分区的文件系统是NTFS格式

分析
要过滤,就要找到其规律。我们很容易发现,3271总会自动安装在:\Program Files\3721 下,不会安装到别的地方去,如果我们事先在\Program Files下建立一个3721的目录,并且把这个目录的权限设置为:任何人无权访问,那么就等于灭了3721的藏身之处,这样,就算我们不小心点击了安装3721,也不可能把3721安装成功。

操作
在\Program Files下建立一个3721的目录,然后鼠标右击它,点击属性。如图,把图一“1”处勾选去掉,跳出对话框选删除(图一”2“处)。总之保证图二“名称那里”为空。一路确定即可。此时再试试双击3721这个目录,会提示“你无权访问”,表明设置成功。

附注
1。在3721文件夹属性看不到“安全”?--首先确定你的分区是NTFS格式,其次,工具-文件夹选项-查看-不要选择“使用简单的文件夹共享”;
2。会有人说用Upiea类软件免疫不是更方便?不错,但就算免疫了,你手工点击安装3721等,还是可以成功安装的。(有些菜MM,告诉她别点击安装3721,但屡教不改,只好来点狠的了)

变通
其它类似的照搬就可以的,杀个baidu不成问题。
1。也还是有人问:“以上是预防方法,可那些程序已经安装好了,怎么也删除不了,怎么办?”--删除不了是因为它在运行,我们别去管它在不在运行,把该程序的目录权限设置“任何人无权访问”,重启系统,这时,它是死定了吧,系统启动它也想跟着运行,却没有权限访问那个目录。接下来,我们把目录权限改成“administrators”这个组可以完全控制,把里面的文件清空,再把访问权限关闭。
2。病毒木马程序如果也出现有规律的名字,记下其文件名(包括扩展名),先删除它(删除不了依照1的方法,不必要非要到安全模式环境下),然后新建文本文件,改成刚记下的名字(提示扩展名警告,确定即可)。

好了,不知道写明白了没
附件: 您需要登录才可以下载或查看附件。没有帐号?加入 我们
行云流水兮  用心无多  求大道以礼兵兮  凌万物而超脱



关于TheWorld2.x功能的全面介绍请参考=世界之窗使用手册=

提示: 作者被禁止或删除 内容自动屏蔽

TOP

学习了,有机会试下.............
遇见浏览问题请将tw主程序拷贝到空白目录下运行,排除插件、设置文件的错误。反馈问题时请尽量包含以下内容,以便开发组可以尽快解决问题:TheWorld版本、操作系统、IE版本、问题现象(可截图说明)、问题重现方式(如果可以反复重现)
世界之窗浏览器--打开窗口看世界。
应用技巧和常见问题
风向吧

TOP

支持这样的文章,比较有深度.

我由于机器的问题一直用FAT32,但是NTFS的确有很多的先进性,我的朋友经常用楼上介绍的这招.
WIN7.PRO.SP1+全补丁+IE9,TW最新版,一般不乱说!

TOP

预防大于修复,但中招了也不必灰心,给大家说点心得。

百度搜霸没用过,可中文上网和3721中过,这类流氓软件一般症状如下:
1,通过自带的卸载无法完全卸载,重启后依然会有;
2,即使删除安装文件夹,重启之后也依然会重建或干脆删除不了;
3,中止进程和清理自启动项目,重启之后还是依然存在。


表面上的确很顽固,但只要找到方法是可以做到卸载干净的:

1,如中文上网是通过系统底层驱动来实现接管 IE 地址栏的,也就是说这类软件除了在安装目录下有文件之外,在系统中安装有其它文件。

2,系统进程只会显示 .exe 程序进程,而加载的模块(.dll 和其它文件)是看不到的;自启动项目也并非只有 .exe 程序,也并非只会在注册表通常的 Runs 等位置出现。

3,这类程序会在 X:\Windows\system32\drivers 下安装 .sys 或在 system32 下安装 .dll 文件,只有真正清除这些才能保证干净卸载,之所以删除安装文件夹和自启动项目后还是会重建,就是因为这些表面看不见程序在作怪。

4,具体 .sys 文件名遗憾没有记下来,但上述说法可以通过某些工具分析出来,如 ProcessExplorer 不仅可以查看进程,而且可以查看每个进程调用了哪些模块,根据路径和文件名即可轻易分辨有哪些东东在偷偷运行,比如卡巴有三个 .sys 文件,QQ 有一个 .sys,中文上网有两个等等。

5,通过 Autoruns 也可以查看可删除一些除了在常规自启动位置存在的项目之外,也可查看和删除这类自加载项目。在中止流氓程序的主进程后,再把这类程序的这些项目清除和硬盘文件删除,就能手工卸载干净。

6,使用工具卸载,Guardio 和 Upiea 等有此功能,如 Guardio 并非是仅仅删除注册表信息,而是反注册上述 .sys 和 .dll,至于效果如何我一般是用上述手工办法,所以不能证明,喜欢傻瓜化操作的可以一试。


PS:我很想以身试毒做一个专题,不过精力不允,我说的方法经过了 3 次实战考验,应该说的也比较清楚了。

TOP

很想给 “ 无边无际 ” 评分,以鼓励和号召大家分享自己的实际心得体会,但为避免有 “ 贿赂 ” 嫌疑,还是算了

希望能在此与大家分享更多的实战经验!好贴有奖! (PS:就是不知无边无际批准否

TOP

其实我也很想给自己加分,以鼓励大家跟着在这儿写的东西,可自己给自己评分这也太……
想想加不加分无所谓,反正大家心里都已有各自的评分。这篇就当是示范经验手记, 呵呵~


大家在此发帖分享自己的实战经验,我和Aycox一定不会吝啬,多多加分鼓励^^

以下为广告:(广告内容仅作参考)

想在TW论坛里快速提高级别吗,就到“Windows系统使用与交流”区来吧

想在TW论坛里像三月那样“出人头地”么,还是到“ Windows系统使用与交流”区来吧

在这写下你的实战过程,记下你珍贵经验和诀窍,那么你很快就会实现你的梦想!
行云流水兮  用心无多  求大道以礼兵兮  凌万物而超脱



关于TheWorld2.x功能的全面介绍请参考=世界之窗使用手册=

TOP

恩  8错   可惜用不上..........

TOP

长知识了!赞一个!不够字?再赞一个!

TOP

其实这个办法还可以用来屏蔽广告。

比如如果你用官方版的QQ,把QQ目录里的AD文件夹先清空,再如法炮制,可免除很多广告骚扰。

举一反三,其他一些弹广告的程序,试试把其目录里的AD、ADS什么的文件夹也如此这般……

TOP

对3721和yahoo我同时用了两招来封它:一是改hosts文件。这招很多人都用。另一招是找到它的IP地址然后在本地安全策略中将IP地址完全屏掉。

TOP

很牛的办法 我以前用这招对付过一些疑似病毒的文件 哈哈哈

TOP

返回列表