西西河

主题:【原创】可恶的木马病毒 -- wanderer

共:💬100 🌺157
分页树展主题 · 全看首页 上页
/ 7
下页 末页
            • 家园 微软当然是靠自由竞争起家的,问题是IBM和ATT难道不是?

              那为什么美国政府二三十年前老和他们过不去。任何公司或个人,一旦有了巨大的优势后必然会滥用这种优势,这会消灭竞争。就算盖兹的智商是1000,全球其它人都在两百以下,也不能全部信任盖兹的决定把一切决定权都交给他,因为这不利于全球IT工业的整体利益。IE最近七八年的表现就是个最好的产品案例。

            • 家园 IBM,HP之类的公司的IT结构比起在线交易商的环境来说是

              有不小的差距的,你说的其他的我倒是挺赞成。

              其实我们每个人都只能有有限的经历,不可能有各种环境都干过的可能。多听听对立面如何说是有好处的。

              WINDOWS服务器份额当然已经占了优势还在不断上升,但要说性能(不是性能价格比)和稳定性暂时还有一点劣势的。我看过一个测量,是测最长时间没垮过或重启过的网站的OS,记得最好的是FREE BSD,有10年没垮过的.

            • 家园 这位仁兄确实应该用一下 linux 下的 shell

              不过也不得不说window下的shell刚刚起步,有些不公平。

            • 家园 不容许别人说一点坏话,未免太霸道

              这位倒是潇洒,声称要飘然远走,可是之前却已经打了若干拳了。没办法,下面还有观众催促着,只好对着空气练两下了。

              首先,为了避免歧义,我声明我自己对Windows和UNIX管理知之甚少,顶多算是一个半吊子,我从来没有做过什么admin,过去的多数时间不过是在这两个平台上用C++和Java写些程序,业余时间偶尔没事找事折腾两下。我的水平低,从我一开始的帖子就能看出来,不然说得就不是我的惨痛教训,而会得意洋洋地写我的经验了。虽然水平低,我还是觉得俺也有发表自己的观点的权利,我也不怕错,不过是本着追求真理的态度罢了。

              我觉得你颇有些误解我了,我举出我们公司的例子,不过是想以身边的实例作为佐证,因为股票和金融系统,有着极强的保守性,如果不是有明显的成本上的收益,费时费力甘冒风险去做无用功简直是不可思议。不过你现在似乎理解成我想和你比谁更牛叉,并对我不停地妄意猜测,到处都是"你知不知道","你懂不懂","Linux/Unix方面的人"之类的字眼,然后祭出各种专业的名词术语,居高临下,咄咄逼人,真是让我诚惶诚恐之至。

              所谓术业有专攻,我相信你在admin上的知识相对多一点。

              现在假设一下,而你的上司或老板对这些知之不多,现在他们看到另外一家公司的业绩换用了Linux后蒸蒸日上,心眼有些活动,也想转过去,你现在想说服他,你用一句"你啥也不懂"是不行的,虽然对闲杂人等的我辈很有效,但要服人还得有充分的理由才成。

              好了,去掉你的那些情绪化的词语,看看你都给出了什么。

              1)病毒和安全问题。你避重就轻,我的帖子里面重点提到的病毒问题被你故意忽略了。Windows上的病毒威胁是非常严重的,只能寄希望与外部,虽然有防火墙,有内部网关,有杀毒软件,感染的机会极小,但是一旦摊上,那就是全部。依赖杀毒软件么,杀毒软件总是落在病毒的进化之后,甚至闹出了杀毒的反被病毒杀的事情,依赖自动更新么,好像前些时间出现了杀毒软件的更新把系统弄死的事情。

              你对补丁的问题轻描淡写地说谁不打补丁,谁能不重启机器,这里那里小心点就成了。但是老板不懂这些,他会要你用数据说话,Windows上小破应用程序打补丁要重启机器的比例有多少?UNIX呢?不清楚,有管理员的维护日志可查。

              2)关于进程的问题,你把我的原话“不能像UNIX那样可以轻易stop或者kill”,偷偷摸摸换成"当然可以kill掉,谁告诉你不能stop或者kill的";这种明目张胆歪曲别人的语意的行径简直是令人发指。我原话那么说当然是有理由的,我自己就用tskill或者npsd,还有各种进程管理器如Icesword之类,但是,注意我的上下文,我说"交互被严重hold up",也即发生问题的时候,想用这些工具的时候确往往都不好用,非常令人气恼。你给出的解释更绝,一是这种情形发生少(?),不管;二是怪用户程序,活该。

              3)注册表,你又故意避开其弊端不谈,然后只是说这样效率高。如果像你说的只是一个配置文件的问题,我认为这个效率高点有限。这个有点像IE的ActiveX,为了那么一点效率牺牲那么多其他许许多多重要的方面,我认为得不偿失。到现在我也不知道当初决定使用注册表的人是怎么想的,是不是出于evil的目的,比如向用户隐瞒信息,故意把windows搞得神秘化,还是给第三方系统软件设置门槛?以上开个玩笑,这个问题我确实无知。

              至于Windows软件安装上的混乱,你这次倒开始玩天真了,说大家都是好人,不会故意捣乱的。不过3721之类的东西一次又一次的证明,如同共产主义一样,本来是非常美好的东西,但是由于人的邪恶本质,只要你给他机会,就一定胡搞。

              4)你讲的键盘的事情原来是逗我玩啊,scripting host这个东西很老了,据说UNIX管理员一直把它当作joke的;不过这个powershell老实说还确实有点实用价值,刚出来的时候我还试着用过,速度慢的我无法忍受,我又不需要做什么系统管理,碰上短平快的任务还是坚守我的Perl好了,其它的时候我一般用一个叫MKS的绿色软件,它在我的机子上已经呆了十年了,Windows和UNIX的各种命令和shell功能全都齐备。这个Powershell我们的admin们可能确实不用。第一,使用它需要系统开放某些权限,如果万一被Powershell恶意代码攻击风险会很大;二,连同那个WSH+WMI,有同一个问题,违反了"知识重用"的原则,学习起来的门槛很高。当然最可能的,是我们这里的admin是笨蛋。不管怎样,UNIX的shell编程就简单多了,如果一个admin不会的话还是很不可思议的。你可以去monster上搜索一下,看要求会用powershell的有多少,只有几十个;用Shell的又有多少,成千上万。所以这个当成宝的powershell,仍旧是一个powerdoll罢了,希望将来能好点。从另一个角度考虑,至少在我们公司,是不愿意出现一个人挟冷门技术自重的,一旦这个人出了问题,如果不容易找到替换的人的话,那么公司整体上也是不够安全的;另一方面,这也与系统的简单化相悖,因为一个系统的操作搞得越复杂,就越不安全。

              scheduler的一个问题是功能有限,比如一个任务响应依赖于某些事件的时候就有点力不从心了。另外据我们的admin说当很多任务同时执行,CPU和内存很忙的时候,某些任务会crash。至于你说的Terminal Service,我怎么记得是允许2个?也许我错了?Anyway,反正我们用VPN了。这方面我承认我有点吹毛求疵,在网络速度越来越快的今天,不是什么严重问题。你关于Exchange的一番高论,与"Windows的配置看似简单,实则tricky"的问题并不矛盾。

              你剩下的2/3基本上是一大堆无的放矢的话了:

              + windows Client很好,比Linux好得多得多。洋洋好一大段,问题是这个我并没有否认,自说自话未免有点无聊。

              + 还有一些武断的猜测和臆想,“向下兼容DOS”就能得出我"对Windows不了解",这个逻辑上实在是不通,不过结论大概有点正确。UNIX阵营的人不应该乱评论Windows,这个比较诡异,隐隐约约地想给我扣一个"UNIX阵营"的标签。

              + 我已经说了Windows有历史的包袱,不过惹得你大发感慨,完全沉浸在了自己的美妙世界中,嘴里不住念叨着windows就是好就是好,外人不得随便反对,还讲了一个某人反对结果自取其辱的美妙故事,很吸引人,但是,这个好象有恐吓之嫌了。

              关于2003 server的价格$12,000问题,我说的是Enterprise Advanced Server,这个你可以打电话给Dell之类的零售商查询,我不相信我们公司的雇员胆敢瞒天过海谎报价格,总之,你对这个价格完全没有概念令我非常奇怪。

              总之,觉得那个好那个不好,这个问题应该一时半会没有绝对的答案,因为每个用户的要求不同。比如有的根本不怕死机,有的却又对可靠性极端要求。对于我来说,在家里,我从来不用UNIX,需求不同尔。虽然如此,我对Windows仍然可以说是又恨又爱。还是那个观点,Windows在历史和现在的光辉有其合理的一面,将来应该肯定会变得更好;但在Windows抛弃历史的包袱大踏步前进之前,像追星族一样,偏执地不容许别人说它一点坏话,未免太霸道了。不允许抱怨,一味和谐下去,那我们所能做的,只有等待Windows的恩赐了。

              • 家园 纯技术问题探讨,还是客气一点

                这种明目张胆歪曲别人的语意的行径简直是无耻了。

                太狠一点,这样的用词还是修改掉为好。

                • 家园 改了

                  按你的建议,把那个词改了

                  hoho,"客气一点“,我前面对他客客气气,他可曾对我"客气一点"?所谓以理服人,而不是把知识和经验,作为恐吓他人的理由。我本来一直是平心静气,这次也人不犯我,我不犯人了。如果因此导致厕所里扔炸弹-激起民愤,就算我为活跃西西河贡献了吧。

            • 家园 一个Solaris 管理员的意见

              首先,二位都是大牛,我只是一个一般上市公司的管理员罢了,但是也每天都和UNIX和WINDOWS打交道,

              个人意见,Windows 的确进步很大,Server 2000以后系统稳定很多,2003更是如此。而且安全性提高很多。如果对比的话,建议用一台最新补丁的2003和Soalris 10比较,你会发现Windows中的漏洞不比Solaris多。不过呢,盯着Windows的人可比Solaris多多了,所以一旦发现了漏洞,轰动效应可比Solaris大多了。

              至于病毒,如果病毒在Windows局域网中大规模爆发,感染了大批server和client,那么,更多的责任应该是管理员而不是MS的,因为你的安全策略一定是有问题的。

              1个2003的license 大概1-2千刀罢了,RH和SUSE的成本也不低啊。fedora是免费,可是,大点的公司谁敢用啊?

              Windows中的Batch script的功能实际上很强大的,真的不比shell script 差很多。

              Windows的TS,还有netmeeting对远程管理的支持很不错的,不过不像VNC和XDMCP免费罢了.

              Windows的问题在于太多东西不透明,真出了头痛的问题,不可能查到最底层。如果水平够高,UNIX可以trace到很底层的东西了。

              Windows逐渐成为Server市场的主流,这一点,大概没有人能否认吧。

            • 家园 偏执无补于辩论

              偏执的人把问题简单化和绝对化,对待事物的方式或者是爱或者是恨,就像追星族一样,对所爱的事物不容许别人说一点坏话,对所恨的事物不容许别人说一点好话。他们的世界就像围棋一样,不是黑就是白,没有中间的颜色。

              我只不过说了几句Windows的坏话,就把你激动成这个样子。我上文强调我并不是想否定整个Windows,只是针对server领域,可是你偏执带来的的盲目对此完全视而不见,大谈特谈Client。

              你写了确实好多,气势也确实咄咄逼人,可是你大多数的时候却是在瞄着另外一个靶子在开火, 剩下的时候不是在诡辩就是在偷换概念。今天实在太晚,等明后天我有空的时候再细说。

              套用一句别人的话,偏执无补于辩论,他比谬误距离真理更远。

              • 家园 你俩水平都很高,但我建议还是就事论事,不论人。

                即使你真的认为他偏执,也不必去指责他偏执,你只要把具体的问题能够把他的论点驳倒了就好了,何况他已经申明不再回帖。

            • 家园 看来我们公司的IT是比较低水平了

              Outlook/Exchange的帐号要print screen,更证明了你们那里的人根本不懂Windows。

              哈哈,我们公司的IT就是这么做的

      • 家园 我自己遇到vikings病毒的教训

        这个vikings病毒我当年还有一段不良的经历,这个是我当时的流水账:

        那天一个朋友的laptop中了病毒,一开机windows就蓝屏,硬盘里还有很多数据,所以

        不可以用厂家给的恢复盘恢复。于是找我求救。这事情我轻车熟路,拿出一张光盘就开

        始引导,啊,不认硬盘?那laptop自己启动的时候怎么找得到那么多文件?连着换了N

        多张光盘包括acronis都不认硬盘。估计是toshiba自己有一个硬盘引导程序。于是尝试

        用PM分区,分完了,最后弹出个对话框,“分区失败",这回好,连PM都不认了。只好

        去修复分区表,修回一个大分区,不过这个分区的磁盘剩余空间为零。接上USB外置硬

        盘,系统竟然也不认。想我五年前买的烂HP笔记本还能由外置硬盘启动呢,朋友

        的这个2年前2千多美刀买的toshiba satellite的厚度快赶上我的台式机了,整个桌子

        都快被他烤糊了。看来没有最烂只有更烂。

        看来不能跟BBS的ID学,光骂是没用的。也许只能把硬盘拆下了?我想起半年前买的2.5

        'enclosure, 拿出来,没有外接线,仔细一看,接口竟然不是USB是firewire, 家里偏

        偏没有firewire,看来以后便宜货不能买了。

        俗话说狗急跳墙,人急了脑袋就短路了。我终于恢复了理智,突然拿出一张XP安装盘,

        这张盘启动也是不认硬盘的,但能看见硬盘。这回我从故障恢复控制台进去,修复引导

        区,成功,然后修复文件系统,也成功了。这次终于能从硬盘进入操作系统了。

        刚一进去,就发现系统里面的病毒多的跟家里的蟑螂一样。还不能上网。朋友的机器装

        了两个正版杀毒软件,搞笑的是杀毒软件统统被病毒杀死了。

        先从task manager里面看看病毒都在哪里,然后重启进入安全模式。先杀病毒文件,把

        C:\Documents and Settings下的临时文件目录清空,进入windows和system32目录,用

        dir/od列出最近添加的几十个大大小小怪模怪样的exe和dll文件,统统地杀却。

        然后是service, 多了两个莫名其妙的服务,一个一堆乱七八糟的字母,一个是runIt!

        ,也宰了再说。

        然后查注入。发现在安全模式下explorer都能被注入两个在InternetExplorer\Plugins

        下的东东。一unload的话explorer就会自杀然后重新加载这两个东东。先运行cmd,在

        explorer自杀还没活过来的时候在dos下把这两个东东干掉了。

        然后是注册表,我们可爱的windows系统真的跟筛子一样。如下这个单子(不全)列出了

        一些注册表里的注册项,病毒可以由之于windows启动时加载。

        ----------------------------------------------------------------------------

        -------------------------------------

        HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

        HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute

        HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\

        Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

        HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper

        Objects\

        HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

        HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

        HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\

        HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

        HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\

        HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\

        HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\

        HKLM\System\CurrentControlSet\Services\VxD\

        HKCU\Control Panel\Desktop

        HKLM\System\CurrentControlSet\Services\

        HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

        HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run

        HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

        HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

        HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\

        HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\

        HKLM\SOFTWARE\Classes\Protocols\Filter

        HKLM\SOFTWARE\Classes\Protocols\Handler

        HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

        HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

        HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

        HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

        HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

        HKLM\Software\Microsoft\Internet Explorer\Toolbar

        HKLM\Software\Microsoft\Internet Explorer\Extensions

        HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute

        HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution

        Options

        HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost

        HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

        HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

        HKLM\SYSTEM\CurrentControlSet\Control\MPRServices

        HKCU\ftp\shell\open\command

        HKCR\ftp\shell\open\command

        HKCU\Software\Microsoft\ole

        HKCU\Software\Microsoft\Command Processor

        HKLM\SOFTWARE\Classes\mailto\shell\open\command

        HKCR\PROTOCOLS

        HKCU\Control Panel\Desktop

        HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts

        HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units

        HKLM\SYSTEM\CurrentControlSet\Services\WinSock2

        HKLM\SYSTEM\CurrentControlSet\Services\WinSock

        HKLM\SYSTEM\CurrentControlSet\Control\Lsa

        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache

        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

        HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\

        Startup

        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices

        HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

        HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows

        HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

        HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution

        Options

        HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

        HKLM\SOFTWARE\Classes\Protocols\Handler

        HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\

        StartupPrograms

        HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

        HKLM\Software\Microsoft\Command Processor

        HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers

        HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Accessibility

        \Utility Manager registry

        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders

        俺没有这么夸张,只去了注册表里面几个最常见的病毒藏身之处。然后重新启动,发现

        所有的病毒又回来了!

        然后我发现我自己的电脑因为和中毒电脑在一个网上也中毒了!

        这次我想图省事,懒得查杀病毒浪费时间,所以想PM分区后ghost一个镜像过去,结果

        反而不省事。

        好在痛定思痛,终于搞定了。不过那个型号竟然在www.toshiabadirect.com上都没有support了,前后的都有,唯独它没有

        不过好在只有显卡不认,我从设备管理器里面找到了deviceID和VendorID,哈哈,原来是

        ATI Radeon Mobile卡,根据这个从网上找到驱动,世界终于太平了。

        这次虽然狼狈了点,但是自己家里的5台电脑只感染了一台,我平时还经常备份,ghost

        一下就回来了。朋友的机器我给他装了一个盗版的Windows,他自己原来的文件什么也没

        丢,全都找回来了。

        关键词(Tags): #vikings#病毒 toshiba
    • 家园 推荐一个免费小工具,同时在杀毒时应该断开网络

      Ad-Aware SE Personal

      一旦发现误入恶意网页

      首先第一件事是断开网络,而且是立即拔掉网线

      因为木马等病毒是通过浏览器的漏洞进来的

      果断断开网络,可以阻止流氓软件的恶果进一步扩散

      我就是这样死里逃生过

      之后在断网的情况下 杀毒 清除注册表可疑字段

      问题就不会反复发作

      在配备齐防火墙和打上所有微软的补丁后才可上网

分页树展主题 · 全看首页 上页
/ 7
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河