Board logo

标题: 〔分享文件名黑名单〕NTFS文件系统的另种用法-封杀恶意程序 [打印本页]
作者: 无边无际    时间: 2006-3-17 15:55     标题: 〔分享文件名黑名单〕NTFS文件系统的另种用法-封杀恶意程序

利用在NTFS文件系统有文件权限分配的功能和Windows同目录下不允许同名的文件或目录存在,可以封杀很多常见的恶意程序或木马。
这种方法其实很多人很早就琢磨出来了,只是写下来人的比较少。不过曾发现寄托天下在帖子提过,不记得是那篇了。

今天浏览帖子,发现还是有很多人为3721类的程序烦恼,我就以 3721 为例,写写怎么真正封杀这类程序。

原理:占名法。
条件:分区的文件系统是NTFS格式

分析
要过滤,就要找到其规律。我们很容易发现,3271总会自动安装在:\Program Files\3721 下,不会安装到别的地方去,如果我们事先在\Program Files下建立一个3721的目录,并且把这个目录的权限设置为:任何人无权访问,那么就等于灭了3721的藏身之处,这样,就算我们不小心点击了安装3721,也不可能把3721安装成功。

操作
在\Program Files下建立一个3721的目录,然后鼠标右击它,点击属性。如图,把图一“1”处勾选去掉,跳出对话框选删除(图一”2“处)。总之保证图二“名称那里”为空。一路确定即可。此时再试试双击3721这个目录,会提示“你无权访问”,表明设置成功。

附注
1。在3721文件夹属性看不到“安全”?--首先确定你的分区是NTFS格式,其次,工具-文件夹选项-查看-不要选择“使用简单的文件夹共享”;
2。会有人说用Upiea类软件免疫不是更方便?不错,但就算免疫了,你手工点击安装3721等,还是可以成功安装的。(有些菜MM,告诉她别点击安装3721,但屡教不改,只好来点狠的了)

变通
其它类似的照搬就可以的,杀个baidu不成问题。
1。也还是有人问:“以上是预防方法,可那些程序已经安装好了,怎么也删除不了,怎么办?”--删除不了是因为它在运行,我们别去管它在不在运行,把该程序的目录权限设置“任何人无权访问”,重启系统,这时,它是死定了吧,系统启动它也想跟着运行,却没有权限访问那个目录。接下来,我们把目录权限改成“administrators”这个组可以完全控制,把里面的文件清空,再把访问权限关闭。
2。病毒木马程序如果也出现有规律的名字,记下其文件名(包括扩展名),先删除它(删除不了依照1的方法,不必要非要到安全模式环境下),然后新建文本文件,改成刚记下的名字(提示扩展名警告,确定即可)。

好了,不知道写明白了没
作者: yytwt    时间: 2006-3-17 16:03

提示: 作者被禁止或删除 内容自动屏蔽
作者: 靖哥哥    时间: 2006-3-17 17:20

学习了,有机会试下.............
作者: starsoft    时间: 2006-3-17 20:02

支持这样的文章,比较有深度.

我由于机器的问题一直用FAT32,但是NTFS的确有很多的先进性,我的朋友经常用楼上介绍的这招.
作者: Aycox    时间: 2006-3-17 23:19

预防大于修复,但中招了也不必灰心,给大家说点心得。

百度搜霸没用过,可中文上网和3721中过,这类流氓软件一般症状如下:
1,通过自带的卸载无法完全卸载,重启后依然会有;
2,即使删除安装文件夹,重启之后也依然会重建或干脆删除不了;
3,中止进程和清理自启动项目,重启之后还是依然存在。


表面上的确很顽固,但只要找到方法是可以做到卸载干净的:

1,如中文上网是通过系统底层驱动来实现接管 IE 地址栏的,也就是说这类软件除了在安装目录下有文件之外,在系统中安装有其它文件。

2,系统进程只会显示 .exe 程序进程,而加载的模块(.dll 和其它文件)是看不到的;自启动项目也并非只有 .exe 程序,也并非只会在注册表通常的 Runs 等位置出现。

3,这类程序会在 X:\Windows\system32\drivers 下安装 .sys 或在 system32 下安装 .dll 文件,只有真正清除这些才能保证干净卸载,之所以删除安装文件夹和自启动项目后还是会重建,就是因为这些表面看不见程序在作怪。

4,具体 .sys 文件名遗憾没有记下来,但上述说法可以通过某些工具分析出来,如 ProcessExplorer 不仅可以查看进程,而且可以查看每个进程调用了哪些模块,根据路径和文件名即可轻易分辨有哪些东东在偷偷运行,比如卡巴有三个 .sys 文件,QQ 有一个 .sys,中文上网有两个等等。

5,通过 Autoruns 也可以查看可删除一些除了在常规自启动位置存在的项目之外,也可查看和删除这类自加载项目。在中止流氓程序的主进程后,再把这类程序的这些项目清除和硬盘文件删除,就能手工卸载干净。

6,使用工具卸载,Guardio 和 Upiea 等有此功能,如 Guardio 并非是仅仅删除注册表信息,而是反注册上述 .sys 和 .dll,至于效果如何我一般是用上述手工办法,所以不能证明,喜欢傻瓜化操作的可以一试。


PS:我很想以身试毒做一个专题,不过精力不允,我说的方法经过了 3 次实战考验,应该说的也比较清楚了。
作者: Aycox    时间: 2006-3-17 23:29

很想给 “ 无边无际 ” 评分,以鼓励和号召大家分享自己的实际心得体会,但为避免有 “ 贿赂 ” 嫌疑,还是算了

希望能在此与大家分享更多的实战经验!好贴有奖! (PS:就是不知无边无际批准否
作者: 无边无际    时间: 2006-3-18 01:47

其实我也很想给自己加分,以鼓励大家跟着在这儿写的东西,可自己给自己评分这也太……
想想加不加分无所谓,反正大家心里都已有各自的评分。这篇就当是示范经验手记, 呵呵~

大家在此发帖分享自己的实战经验,我和Aycox一定不会吝啬,多多加分鼓励^^

以下为广告:(广告内容仅作参考)

想在TW论坛里快速提高级别吗,就到“Windows系统使用与交流”区来吧

想在TW论坛里像三月那样“出人头地”么,还是到“ Windows系统使用与交流”区来吧

在这写下你的实战过程,记下你珍贵经验和诀窍,那么你很快就会实现你的梦想!
作者: caten    时间: 2006-3-18 13:32

恩  8错   可惜用不上..........
作者: j_spirit    时间: 2006-3-18 15:41

长知识了!赞一个!不够字?再赞一个!
作者: 沉沉暮霭    时间: 2006-3-18 20:34

其实这个办法还可以用来屏蔽广告。

比如如果你用官方版的QQ,把QQ目录里的AD文件夹先清空,再如法炮制,可免除很多广告骚扰。

举一反三,其他一些弹广告的程序,试试把其目录里的AD、ADS什么的文件夹也如此这般……
作者: 零下5度    时间: 2006-4-1 00:05

对3721和yahoo我同时用了两招来封它:一是改hosts文件。这招很多人都用。另一招是找到它的IP地址然后在本地安全策略中将IP地址完全屏掉。
作者: thedoggie    时间: 2006-4-4 12:55

很牛的办法 我以前用这招对付过一些疑似病毒的文件 哈哈哈
作者: zhchgao    时间: 2006-4-6 09:18

不错,学习学习。
作者: china.1942    时间: 2006-4-7 13:15

这么优秀的帖子,只应该一个“顶!”字,但是不满十个字不让发帖,只好“再顶”,“再再顶”了。
作者: wenpengqi    时间: 2006-4-12 10:03

好贴,学习了,有机会试一下.............
作者: jamie830910    时间: 2006-4-13 08:15

提示: 作者被禁止或删除 内容自动屏蔽
作者: jamie830910    时间: 2006-4-13 08:17

提示: 作者被禁止或删除 内容自动屏蔽
作者: jieaixiaoniao    时间: 2006-4-13 11:14     标题: 建议大家把C盘分成NTFS格式

NTFS格式有自动压缩不常用软件的功能!要是C盘是NTFS格式的话系统就可以给C盘释放出更大的引导空间,这样我们的机器就会快些!小小建议多多指教!
作者: 无边无际    时间: 2006-4-13 11:34

后果…………就是比FAT32好

我知道系统区怕用FAT32的人是什么原因,无非担心系统坏了在DOS无法访问系统区。

首先:Ghost已经完美支持NTFS格式,经常用ghost恢复系统的不用担心

其次:Erd Commder2005启动盘比任何一个DOS下的修复系统的软件好用。且不说它支持网络,支持Windwos版本的ghost,支持USB设备,支持Copy,删除文件,支持对坏了的系统其注册表修改,硬件添加删除,服务禁用启用,帐号密码更改,硬盘分区更改。光是全部操作是图形界面,本身就是一个微系统,就值得普通用户去弄个来。易用才是道理。

或许又有人说:我没有光驱,前提条件都不具备又怎么用Erd Commder2005启动盘?那我还能说些什么呢?
要问的话那些穷山沟里的最有话问了:Intel,我这里连电都没有,你搞CPU有什么用!………………马上有人说那就送上电吧,可是他们又说了:不行,电很危险的,很多人被电死,我们还是不要电的好!!

[ 本帖最后由 无边无际 于 2006-4-13 11:41 AM 编辑 ]
作者: 靖哥哥    时间: 2006-5-7 23:19

今天想起这篇实战技巧,回来温习下.顶起了先.
作者: 雕刻时光    时间: 2006-5-8 14:26

两位版主辛苦 受教了
作者: 319702aa    时间: 2006-5-12 22:48

好强!第一次见识此方法的另类用途...
作者: waschineran    时间: 2006-5-12 23:36

至少要知道安装目录和名字才好哟
作者: weisni    时间: 2006-5-15 11:19

有些不知道他自动安装到什么地方和文件夹名称的怎么办!
作者: 无边无际    时间: 2006-5-15 13:18

想办法找啊,这个方法不单对文件夹有效,对单个文件也一样可以的
作者: tenkin    时间: 2006-5-15 17:21

不用fat32已经很多年了....
楼主说的方法不建议,现在流氓软件层出不穷,防了这个防不了那个,3721也不止是在programefiles目录有文件,在system32,driver目录都有文件,所以楼主的方法根本就是无效
真正防止流氓软件的方法:
1 当然必须是ntfs,用受限账户安装软件,如果可以安装,安装后可用就ok(流氓软件是装不进去的)
2 必须要管理员才能装的软件:使用安装**软件创建监控记录,即使中了流氓软件也可轻易卸载
推荐使用 Total Uninstall(**软件安装过程) v3.6
http://www.51ct.cn/downinfo/264.html
作者: yianjp    时间: 2006-5-16 09:19

恩  8错   可惜用不上..........



欢迎光临 世界之窗论坛 (http://bbs.theworld.cn/) Powered by Discuz! 7.2