【問題】關於掃毒模式~



贊助商連結


頁 : [1] 2

quell
2008-04-13, 01:57 AM
1.安全模式下的掃描是否真的有效?
2.bootscan有比較好嗎?
3.聽說卡巴能製作光碟開機片直接掃描硬碟,是真的嗎?效果如何?
4.以上這些掃描模式,哪幾家辦得到?還是說可有可無?

不針對哪一家防毒發言,只想知道答案~

贊助商連結


ifchen
2008-04-13, 03:09 AM
其實呢,這些模式的差別在於"殺的掉"或"殺不掉"而已。

在防毒軟體發現病毒後,通常都可以將帶毒的檔案砍掉或清除,但有些"正在執行"的帶毒檔案卻無法砍掉。
而最簡單的方法就是不要讓病毒執行,也就是安全模式。
因為安全模式只會啟動Windows最基本的程序,一般來說是不會啟動多餘的部分。也就不會啟動帶毒的檔案,當然也因為帶毒檔案沒執行就可以刪除了。

接下來的部分就看各家防毒的功力辣。

quell
2008-04-13, 10:38 AM
其實呢,這些模式的差別在於"殺的掉"或"殺不掉"而已。

在防毒軟體發現病毒後,通常都可以將帶毒的檔案砍掉或清除,但有些"正在執行"的帶毒檔案卻無法砍掉。
而最簡單的方法就是不要讓病毒執行,也就是安全模式。
因為安全模式只會啟動Windows最基本的程序,一般來說是不會啟動多餘的部分。也就不會啟動帶毒的檔案,當然也因為帶毒檔案沒執行就可以刪除了。

接下來的部分就看各家防毒的功力辣。
您回答的這部分我都知道,也知道部分病毒也不是安全模式下就能殺的,依附在開機系統檔上的就不行,或許bootscan能解決這個問題,但有可能因此誤刪系統檔案導致無法開機~
但有人說,重啟刪除就能替代安全模式掃描,真的是這樣嗎?那為何老是有些防毒老是被批評重啟還是刪不掉呢?
希望有更透徹了解的人幫忙回答一下~

harry_chang2003
2008-04-13, 11:06 AM
如果找到的不是病毒核心檔案....

只是一個小元件,殺掉後某些病毒會自動生成

當然重起殺毒就無效(包刮安全模式殺毒照樣無效)

quell
2008-04-13, 11:22 AM
如果找到的不是病毒核心檔案....

只是一個小元件,殺掉後某些病毒會自動生成

當然重起殺毒就無效(包刮安全模式殺毒照樣無效)
sorry~我指的是同一病毒檔案,不是自動生成的~
不過,對於自動重生的病毒又有何解法呢?

harry_chang2003
2008-04-13, 11:24 AM
sorry~我指的是同一病毒檔案,不是自動生成的~
不過,對於自動重生的病毒又有何解法呢?


病毒檔案重新開機99%一定殺的掉,除非防毒軟體本身設計不良....
無法病毒執行前刪除....

對於自動生成的病毒,就找到病毒原檔就好了阿....

quell
2008-04-13, 12:18 PM
病毒檔案重新開機99%一定殺的掉,除非防毒軟體本身設計不良....
無法病毒執行前刪除....

對於自動生成的病毒,就找到病毒原檔就好了阿....
1.就我所碰到的情況,幾乎每一款防毒都有遇過類似情形,小紅傘除外,因為我沒真正去用過這一套,但有其他幾套發生的機率特別高~
2.對於自動生成的病毒,我也知道找到原檔就能解決,但一般使用者該如何找出來?還是說哪套防毒軟體有協助功能或該使用哪種軟體來找?我是有看過有幾個論壇在用SRENG協助判讀,但那似乎須有一點功力才看得懂,有簡單一點的方法嗎?

warzero
2008-04-13, 06:04 PM
要怎麼判斷哪個是病毒,幾乎還是必須要先瞭解正常的進程和路徑。

可以手動用 Process Explorer 或 SRENG 去查出進程的公司名、路徑等資料。
最後再用 google 或 Process Library (http://www.processlibrary.com/)、HijackThis (http://www.hijackthis.de/index.php?langselect=english) 之類的網頁去查,最後再用防毒軟體去掃瞄來確認。
要簡單點的話,也可以使用 WinTask、Hijackthis 等查進程軟件去判斷。

當然也有些特殊情況如病毒是驅動程式型的,大概因為在使用著,就連防毒軟體也無法偵測出來。
而且有時候這類型的病毒還會在安全模式載入,導致此類病毒更不易移除。

也有些病毒設計得比較笨,它可以允許你刪除甚至改名。只是之後會立刻再生回來。
這時只要製作出同名的唯讀的空文件,覆蓋過去,因為已經是唯讀,病毒就沒辦法再寫入下去了。
下次開機時會因為找到"無毒"屬性的病毒,就無法發作了。到時再一口氣刪除相關的病毒就行。
當然此方法只能適用在類似的病毒上而已。

至於重啟刪除的方式,有可能那個刪除程式比病毒慢一步載入的話,所以無法順利刪除到。

比較通用的方法,就是最好徹底將病毒從記憶體完全移除。
可以用 Process Explorer 來 close handle。也可以用 Advanced Process Manipulation 來 unload DLL。
一旦從記憶體移除,原本無法偵測到的驅動型病毒,防毒軟體也可以立刻偵測出來了。

遇到非常頑固的,最好的辦法還是接去另一台乾淨的電腦或系統開機碟去掃瞄刪除。
不管病毒多強都好,如果沒辦法從開機時被載入,就是病毒的死期。

quell
2008-04-14, 12:03 PM
要怎麼判斷哪個是病毒,幾乎還是必須要先瞭解正常的進程和路徑。

可以手動用 Process Explorer 或 SRENG 去查出進程的公司名、路徑等資料。
最後再用 google 或 Process Library (http://www.processlibrary.com/)、HijackThis (http://www.hijackthis.de/index.php?langselect=english) 之類的網頁去查,最後再用防毒軟體去掃瞄來確認。
要簡單點的話,也可以使用 WinTask、Hijackthis 等查進程軟件去判斷。

當然也有些特殊情況如病毒是驅動程式型的,大概因為在使用著,就連防毒軟體也無法偵測出來。
而且有時候這類型的病毒還會在安全模式載入,導致此類病毒更不易移除。

也有些病毒設計得比較笨,它可以允許你刪除甚至改名。只是之後會立刻再生回來。
這時只要製作出同名的唯讀的空文件,覆蓋過去,因為已經是唯讀,病毒就沒辦法再寫入下去了。
下次開機時會因為找到"無毒"屬性的病毒,就無法發作了。到時再一口氣刪除相關的病毒就行。
當然此方法只能適用在類似的病毒上而已。

至於重啟刪除的方式,有可能那個刪除程式比病毒慢一步載入的話,所以無法順利刪除到。

比較通用的方法,就是最好徹底將病毒從記憶體完全移除。
可以用 Process Explorer 來 close handle。也可以用 Advanced Process Manipulation 來 unload DLL。
一旦從記憶體移除,原本無法偵測到的驅動型病毒,防毒軟體也可以立刻偵測出來了。

遇到非常頑固的,最好的辦法還是接去另一台乾淨的電腦或系統開機碟去掃瞄刪除。
不管病毒多強都好,如果沒辦法從開機時被載入,就是病毒的死期。
您的回答與我原本的認知相同,但因為有聽到不同的說法,所以再度發問看有沒有人有不同的論點或可確定的真相~
但其中有個小小問題,所謂的記憶體病毒,該怎麼有效清除?因為沒有特別去研究,總有個疑問在,將硬碟拔下裝到別台電腦可以清除儲存在記憶體中的病毒嗎?那跟光碟開機掃毒有何不同?記憶體不是關掉電源就釋放掉了嗎?為何重新開機又會被載入呢?還是說病毒根本是儲存在開機磁區中呢?
依照以上的說法,掃毒優劣排序是否應該是光碟開機>BOOTSCAN>安全模式>正常模式?
請大家幫忙解答~謝謝~

harry_chang2003
2008-04-14, 06:16 PM
1.就我所碰到的情況,幾乎每一款防毒都有遇過類似情形,小紅傘除外,因為我沒真正去用過這一套,但有其他幾套發生的機率特別高~
2.對於自動生成的病毒,我也知道找到原檔就能解決,但一般使用者該如何找出來?還是說哪套防毒軟體有協助功能或該使用哪種軟體來找?我是有看過有幾個論壇在用SRENG協助判讀,但那似乎須有一點功力才看得懂,有簡單一點的方法嗎?
1
a.那就是該掃毒軟體的瑕疵,殺毒程式載入的不夠快
b.並非找到原檔案
2 找出病毒檔案的最快方法......掃毒軟體,多用幾家線上掃毒總是會掃到的.....