|
|
|||||||
| 論壇說明 |
|
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
 |
|
|
主題工具 | 顯示模式 |
2017-07-25, 10:09 PM
|
#1 |
|
版區管理員
 
|
聊天 - 關於WindowsServices病毒
今天終於遇上了這隻病毒,之前就已經久仰大名,可惜無緣一見
而今天得知某主管電腦中了這隻病毒,雖然病毒已被其他高手收伏 但幸好這位主官曾借用過小王子保管的筆電,所以小王子急忙查看了一下筆電,果真中了這隻病毒,連忙找了一支隨身碟讓病毒感染 大家可千萬別這麼做喔,小王子是有練過的,所ˋ以中毒還是要看醫生的 這隻病毒還蠻有趣的,竟然無法直接刪除資料夾,但卻可以刪除檔案 好了,接下來想請教大家,網路上很多解毒的方法中,大部分都會建議解毒後一定要將隨身碟完整格式化 可是經小王子研究發覺,只要普通刪除就行了吧,因為隨身碟的資料一經刪除就是直接刪除,而不會丟到回收桶,除非使用救援軟體 既然是這樣還需要將隨身碟完整格式化嗎 想了解一下大家的看法 |
|
__________________ 『唸金母心咒:嗡。金母。悉地。吽。』 持此咒者,可免一切瘟疫,一切瘟神抱頭四散。 魔術就是欣賞神奇的效果 如果魔術的秘密被破解了 那魔術就失去欣賞的價值 |
|
|
送花文章: 1523,
|
|
向 魔術王子 送花的會員:
|
|
2017-07-27, 02:36 PM
|
#2 (permalink) |
|
管理員
 
|
有關於格式化的部份 ... 某些電腦病毒很厲害 ...
即便格式化也沒用,因為格式化好了之後會偷偷將病毒寫入 ... 比較好一點的方式,利用 PE 系統,去做病毒的刪除、隨身碟、硬碟等格式化 這樣才不會病毒再寫入,格式化後還是中毒的狀況 ... |
|
__________________ 在「專業主討論區」中的問題解決後,要記得按一下  按鈕喔,這是一種禮貌動作。  一樣是在「專業主討論區」中發問,不管問題解決與否,都要回應別人的回答文喔。 不然搞 [斷頭文],只看不回應,下次被別人列入黑名單就不要怪人喔。 天線寶寶說再見啦~ ... 天線寶寶說再見啦~ 迪西:「再見~ 再見~」 『 Otaku Culture Party 』 關心您 ... 
|
|
|
|
送花文章: 37855,
|
|
2017-07-27, 09:25 PM
|
#4 (permalink) | |
|
管理員
|
引用:
只要電腦病毒本身作到某種監控行為,在寫入即可。 當時 USB 裝置病毒橫行的那些年 ... 某幾種 USB 病毒會做出一種行為, 不斷檢查電腦主機中,可寫入媒體的特定位置,是否有寫入病毒檔,若沒有則寫入 ... 當然會發生這種格式化也沒用的狀況,那台電腦已經遭受某些類型電腦病毒感染 ... 只要還在感染狀態下,格式化也沒用 ... 因為一格示化好之後,馬上就被病毒寫入 ... 這點迪西當時已經驗證過了。 理論上用沒有中毒的電腦,來格式化就可以解除,實際上當把中毒的 USB 裝置插入 到沒有中毒的電腦上時,即使有裝防毒軟體,仍有一定機率會被感染中毒,然後一樣 會有即使格式化也是中毒的狀況。 當時的徹底解決狀況是,修改主機原則的方式,停用 AutoRun.inf 機能。 這個作法,比起設定『自動播放』機能有效用。之後未中毒的電腦才可以對中毒的 USB 隨身碟做格式化。 為何迪西會說用 PE 系統處理。因為 PE 系統預設是停用『自動播放』以及 AutoRun.inf 機能。 當時大約快過一年,因為 USB 病毒的猖獗,微軟終於出手發布 USB 及 AutoRun.inf 機能修正檔, 以填補 AutoRun.inf 機能的漏洞,防堵 USB 病毒。 現在呢? 不管怎養迪西還是會習慣的修改主機原則的方式,停用 AutoRun.inf 機能。 還是會怕,萬一該修正檔無效會在中一次。 |
|
|
|
送花文章: 37855,
|
|
2017-07-27, 10:17 PM
|
#5 (permalink) |
|
管理員
|
以前的電腦病毒機會都會去感染所謂的「檔案」。本身容量極端的小,以利偽裝。
現在的電腦病毒,應該稱電腦蠕蟲才對。直接就是某幾個檔案。本身不一定會去修改別的檔案。 現在的電腦病毒的偽裝方式,多半偽裝成隱藏檔、系統檔,甚至躲藏在「資源回收桶、 系統權限資料夾」中。有些則是利用系統註冊的「系統檔案的權限」來規避、防止被刪除。 一般的檔案刪除,是刪除不掉的,也不易察覺。格式化示最快也是最簡單的方式。 是否需要「完全格式化」理應不用。除非某種狀況,採用過去電腦病毒的那種, MBR隱藏或是特定磁區隱藏這種的,不是現在這種以檔案呈現的。這種的類型才要考慮 完整格式化,更進一步,還要座低階格式化或是重建 MBR 的方式。 簡單的說要看是那一種病毒,再決定是否要格式化或是完整格式化 ... |
|
|
送花文章: 37855,
|
|
2017-07-28, 11:24 AM
|
#7 (permalink) |
|
管理版主
 
|
自從被勒索過一次後mini就非常敏感
所以不時會用 Autoruns 只要看到沒有看過的製造商、空白說明...等項目 就要注意了 平時則是開機完用 Taskinfo 使用start time做排序 觀看有無不認識的執行序 配合Write KB是否有大量寫入程序 就能抓包 (本來是還有使用DIY的防堵勒索軟體 但因為64bit程序問題還未解決所以未使用) 基本上防毒軟體不要設的太偷懶 病毒大都是會被攔截的 (不敢打包票的安裝檔就用 沙盒安裝一次,如只要成果再到 VTRoot抓出來用) 那Windows Defender也不必禁用作為第二道防線也不會互相干擾的 至從windows使用數位簽章後 系統檔被嵌入式病毒入侵就幾乎絕跡 至少下次開機會被回復 當然魔高一丈嵌入式入侵要做還是辦的到的 只是時常會被防毒軟體列為抓包重點 所以現在病毒都只求當下(不妄下次開機) 以點入式感染途徑為主 此帖於 2017-07-28 11:35 AM 被 mini 編輯. |
|
|
送花文章: 1999,
|
|
2017-07-29, 03:17 PM
|
#8 (permalink) | |
|
管理員
|
引用:
大致上,會出現在以下地方 1.可寫入的儲存裝置的「 \ 」根目錄,以隱藏、系統、唯獨三種屬性做隱藏。 2.各磁碟的「資源回收桶」的目錄中,有的仍會具有隱藏、系統、唯獨三種屬性做隱藏。 3.各磁碟的「System Volume Information」目錄中,有的仍會具有隱藏、系統、唯獨三種屬性做隱藏。 4.Windows 目錄中的某資料夾中,如「System\drivers」。 5.有些會另外把病毒本身註冊成「系統服務、特殊系統權限」。 當時因為 USB 病毒太氾濫了 ... 微軟出手做了修正檔來防堵 Autorun.inf 機能,所帶來 的漏洞。自 Windows 95 開始,Autorun.inf 機能原本是給光碟機用的,經過測試, 連硬碟機、USB 隨身碟都能用,在 Win 9x 盛行的時代也不見有 USB 病毒。 後來自重 WinNT 5.x/6.x 盛行後,就開使遭有心人士利用 ...,主要受災的還是以 XP 用戶最多。後來連 Vista、Windows Server 2003/2008 也有災情。微軟只好出手 修補該漏洞。 KB971029 當時有關的 Autorun.inf 修正檔 |
|
|
|
送花文章: 37855,
|
平板模式
