主题:【原创】可恶的木马病毒 -- wanderer
Ad-Aware SE Personal
一旦发现误入恶意网页
首先第一件事是断开网络,而且是立即拔掉网线
因为木马等病毒是通过浏览器的漏洞进来的
果断断开网络,可以阻止流氓软件的恶果进一步扩散
我就是这样死里逃生过
之后在断网的情况下 杀毒 清除注册表可疑字段
问题就不会反复发作
在配备齐防火墙和打上所有微软的补丁后才可上网
这位IT工程师对维护windows系统似乎比较不在行
觉得你说的这个病毒可能是Vikings病毒的一个变种,前些日子国内流行的熊猫烧香病毒就属此类。
其特点如下:
1)这个病毒不是通常的木马型或者注入型病毒,而是遥远的DOS时代的那种感染可执行
文件的病毒,同时和木马技术和注入技术相结合。病毒发作时感染Z盘以前的几乎所有
可执行文件。所以即使像你努力地干掉了全部显式的病毒,仍然没用,因为病
毒附在可执行文件上,然后在该可执行文件执行的时候它会连某个网址然后从此网址把
病毒文件下载回来。
2)该病毒在WIndows安全模式下一样加载。还注册系统服务Windows Firewall。并关闭
各杀毒软件的进程。变种太多,据说已有近200种,他会把杀毒软件的进程杀掉(抓贼的反被贼抓!!!),每次一个病毒的变种刚出现的时候,很多杀毒软件只能查而根本杀不了,到现在也很难杀的干净。
3)重装系统没用。因为病毒感染了你电脑中的软件,所以你还要重新装所有的软件,如
果你的GHOST软件或者GHOST文件被感染了,装了也等于没装。
4)副作用各不相同。比较多的是偷窃各种用户口令,如网络账户的密码(想起了前两天
听说的某个倒霉的家伙炒股的账号被hacker买了几万股的股票,把某个垃圾股的价钱一
直推高到两块五,损失十几万刀)。也有的不停发出打印命令,某大公司一口气打印出四千多张废纸。
5)通过弱口令\\ipc$, \\admin$破解局域网内其它计算机,利用网络共享在局域网内
进行传播、感染其它计算机。一般在三分钟内即可完成局域网内机器的感染。
附记:我们普通用户好说,染了病毒就重装了事。企业用的windows平台,如网上交易
系统,往往是不能随便停机的。何况现在又出现了通过图片和媒体播放软件传播的病毒。(有个朋友看了这句话骂我土鳖,我不怪他,他连藏在rmvb文件里的病毒都没见过)
所以,那些贪图价钱便宜而用了Windows服务器的企业,其实没有省什么钱。杀毒和安全的成本,数据和时间上损失,维护上的不便(随便一个UPDATE或者安装新软件就要让你重启计算机,而且WINDOWS是典型的易上手难精通),每年多出来的人力开销(算算每年多雇几个人的钱!)。总之,Windows操作系统还是那句话,狗肉上不了大席。
这个vikings病毒我当年还有一段不良的经历,这个是我当时的流水账:
那天一个朋友的laptop中了病毒,一开机windows就蓝屏,硬盘里还有很多数据,所以
不可以用厂家给的恢复盘恢复。于是找我求救。这事情我轻车熟路,拿出一张光盘就开
始引导,啊,不认硬盘?那laptop自己启动的时候怎么找得到那么多文件?连着换了N
多张光盘包括acronis都不认硬盘。估计是toshiba自己有一个硬盘引导程序。于是尝试
用PM分区,分完了,最后弹出个对话框,“分区失败",这回好,连PM都不认了。只好
去修复分区表,修回一个大分区,不过这个分区的磁盘剩余空间为零。接上USB外置硬
盘,系统竟然也不认。想我五年前买的烂HP笔记本还能由外置硬盘启动呢,朋友
的这个2年前2千多美刀买的toshiba satellite的厚度快赶上我的台式机了,整个桌子
都快被他烤糊了。看来没有最烂只有更烂。
看来不能跟BBS的ID学,光骂是没用的。也许只能把硬盘拆下了?我想起半年前买的2.5
'enclosure, 拿出来,没有外接线,仔细一看,接口竟然不是USB是firewire, 家里偏
偏没有firewire,看来以后便宜货不能买了。
俗话说狗急跳墙,人急了脑袋就短路了。我终于恢复了理智,突然拿出一张XP安装盘,
这张盘启动也是不认硬盘的,但能看见硬盘。这回我从故障恢复控制台进去,修复引导
区,成功,然后修复文件系统,也成功了。这次终于能从硬盘进入操作系统了。
刚一进去,就发现系统里面的病毒多的跟家里的蟑螂一样。还不能上网。朋友的机器装
了两个正版杀毒软件,搞笑的是杀毒软件统统被病毒杀死了。
先从task manager里面看看病毒都在哪里,然后重启进入安全模式。先杀病毒文件,把
C:\Documents and Settings下的临时文件目录清空,进入windows和system32目录,用
dir/od列出最近添加的几十个大大小小怪模怪样的exe和dll文件,统统地杀却。
然后是service, 多了两个莫名其妙的服务,一个一堆乱七八糟的字母,一个是runIt!
,也宰了再说。
然后查注入。发现在安全模式下explorer都能被注入两个在InternetExplorer\Plugins
下的东东。一unload的话explorer就会自杀然后重新加载这两个东东。先运行cmd,在
explorer自杀还没活过来的时候在dos下把这两个东东干掉了。
然后是注册表,我们可爱的windows系统真的跟筛子一样。如下这个单子(不全)列出了
一些注册表里的注册项,病毒可以由之于windows启动时加载。
----------------------------------------------------------------------------
-------------------------------------
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKLM\System\CurrentControlSet\Services\VxD\
HKCU\Control Panel\Desktop
HKLM\System\CurrentControlSet\Services\
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
HKCU\ftp\shell\open\command
HKCR\ftp\shell\open\command
HKCU\Software\Microsoft\ole
HKCU\Software\Microsoft\Command Processor
HKLM\SOFTWARE\Classes\mailto\shell\open\command
HKCR\PROTOCOLS
HKCU\Control Panel\Desktop
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2
HKLM\SYSTEM\CurrentControlSet\Services\WinSock
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\
Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\
StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Command Processor
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Accessibility
\Utility Manager registry
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders
俺没有这么夸张,只去了注册表里面几个最常见的病毒藏身之处。然后重新启动,发现
所有的病毒又回来了!
然后我发现我自己的电脑因为和中毒电脑在一个网上也中毒了!
这次我想图省事,懒得查杀病毒浪费时间,所以想PM分区后ghost一个镜像过去,结果
反而不省事。
好在痛定思痛,终于搞定了。不过那个型号竟然在www.toshiabadirect.com上都没有support了,前后的都有,唯独它没有
不过好在只有显卡不认,我从设备管理器里面找到了deviceID和VendorID,哈哈,原来是
ATI Radeon Mobile卡,根据这个从网上找到驱动,世界终于太平了。
这次虽然狼狈了点,但是自己家里的5台电脑只感染了一台,我平时还经常备份,ghost
一下就回来了。朋友的机器我给他装了一个盗版的Windows,他自己原来的文件什么也没
丢,全都找回来了。
有您这样儿的朋友真幸福!
不能整个文件夹一起拷,文件夹中可能有隐藏病毒。
曾经也装了linux,结果把98破坏了,好不容易删掉linux,恢复了98,但许多文件都没了,包括一些照片。
以后再也不敢装linux了。
一般杀毒厂商都会至少生产杀毒(Anti Virus)和网络防火墙(Internet Security)两种产品,比如 McAfee Anti Virus 2007, McAfee Internet Security 2007就分别是McAfee的杀毒,网络防火墙的2007版本。Anti Virus软件有时候会集成查杀木马功能,比如金山毒霸增强版就包括了,金山毒霸,金山网镖,金山木马查杀等等。
你的情况可能需要检查一下有没有装防火墙。
linux折腾差不多后,对于windows与linux之间的关系会有新的认识上的提高,那时候再回来搞windows和linux共存在一个硬盘上,搞双启动,思路就会很清晰,不容易犯错,即使有一点小错,也很容易修复。
不加载任何插件,鬼来杀鬼,佛来杀佛,管它啥东西,统统的不怕。
只有一些关键的网站才是用IE
active virus shield,免费的。
前一阵子下了个ZoneAlarm,结果每次安装都安装不完全,重启之后还不能上网了,只好跑到控制面板里删掉。
作为一个Windows的System Administrator,我最近几年见了太多对Windows和Microsoft的攻击,其中非常少有真知灼见,而与此同时,做Windows的人却很少以同样的方式来攻击Linux/Unix系统。我曾经和现在管理的Windows服务器+工作站都在万台以上,最后一次较大规模的中毒事件是6年以前的事了。至于说Windows省不省钱,我觉得相关的因素很多,但绝大多数时候,在corporate level,Microsoft的TCO是公认的低于其他系统。要不然难道世界大多数企业的IT部门和会计部门都是傻子?
下面有人说,没啥Windows能做的,Linux做不了。这个题目太大,我没心思也没精力去一一证明,但同样的,corporate level跟个人使用的经验是两码事,Linux到现在连个跟GPO对应的概念都没有(跟SMS/Altiris对应的不知道有没有,懂的麻烦说说),在万台以上的规模,怎么管理,怎么报告?也许有人说了,俺们源代码都是开放的,俺们自己写一套。那就是Linux/Unix为什么最后要比Windows的solution贵的重要原因之一。
Windows上不了大席的话,俺不知道该怎么描述其他平台的表现了。反正最近Sun刚刚宣布,他们以后所有的服务区都将能跑Windows,因为他们自己的调查发现,他们100%的客户都同时运行Windows系统。去年全世界服务器市场出货的2/3都是Windows服务器(IDC)。
我个人目前的经验来说,我和另一个跟我水平差不多的人,加上5个左右打打下手的,在有跟Microsoft的一年大概四个incident的服务合同下,就能玩转一个百台以上服务器加万台以上工作站的corporate系统。Linux上面有类似经验的请来说说。
上次碰到俺们内部的一个做Linux technician的,问我"你们做Windows的人是不是都不用键盘的?" 我是彻底无话可说。
我觉得你的回复也很情绪化,如果感情方面的因素掺杂过多,看问题的时候难免会戴上有色眼镜。
你问"难道世界大多数企业的IT部门和会计部门都是傻子",这个还真不好说。第一个是买家的心理,比如我国上个世纪买国外产品,日本产品报价往往比欧美的低,你说说日本公司最后从哪里赚钱?第二,真理不一定掌握在多数人的手里,否则陈水扁也不会像现在这样有市场了。至于"Sun刚刚宣布,他们以后所有的服务区都将能跑Windows", 这个同样说明不了什么,产品竞争的手段而已,当年Windows还向下兼容DOS呢。第三,企业运行一套系统,要的并不仅仅是能玩转,而是要可靠。像我们公司,我们有好几套系统,几乎每套都要7/24工作的,如果任何一个时刻出了问题,都会是不小的损失。我们最近刚刚fire掉了一个admin,那家伙就是一个因为能玩转就NX烘烘的人,因为公司已经忍受不了他的鲁莽所带来的损失了。
我们公司是wallstreet上的一个排名前几位的broker,每天美国股市成交的总shares的几分之一都是从我们这里issue出去的。我们有上千台server,有2/3系统是Windows,另外1/3是UNIX系统(Linux,FreeBSD).我们绝大多数的问题都来自Windows,UNIX相关的极少。我们有一大群System Administrators,我经常和他们接触打交道,听得最多的就是他们在fxxx Windows.
说Linux/Unix为什么最后要比Windows的solution贵得,不知有没有考虑到维护成本。另外如果你在国内,windows连同上面的软件常常都是盗版的。而这边,一个只给几个license的Windows2003server就要12,000美元。当然我承认windows上面的应用软件非常多,这个在目前人力成本很高的美国来说,也是相对UNIX不小的优势。不过多数的应用,到最后还是要用户亲自去具体实现,这种开发上的成本也是要考虑的。和中国不同,我所知道的美国的大学里面的计算机教学包括编程基本上都是基于UNIX的,这方面的群众基础要比中国好。
成本对我们公司也是极其重要的。我们公司是面向客户的,行业同行间的竞争非常残酷。然而,犹豫了几年之后,现在我们也打算全面转向UNIX系统了。另外,最大的ECN,ISLD,去年就已经完全转到Linux上了,一年后的结果,他吞并了好几家大的ECN,另外还有好几家都已经倒闭了。
Windows不光是病毒和安全的问题,其他的问题也多多。举个例子,Windows系统运行很长一段时间效率就明显下降,不得不reboot,而Unix系统我没听过有这个问题。一个破应用程序打个补丁就要整个机器重新启动,每隔一段时间就要整理硬盘。CPU和内存的分配也不合理,无论系统多块,也经常被一个程序占据100%的CPU,同时任何的交互都被严重hold up。进程管理上进程出了问题也不能像UNIX那样可以轻易stop或者kill,最后不得不重新启动计算机。一个注册表整个一个大垃圾筐,随便一个程序就能往里写他几千条,而且还谁都能改,搞不好一个应用就把另一个应用用到的注册表项给干掉了。
至于"做Windows的人是不是都不用键盘的",这个虽然不是全部,但应该也是普遍现象。我们最近想找一个会用DOS的操作员,广告在Monster上打了几个月了,到现在也招不到一个合适的人员。(会用perl的人也很少,比例比UNIX用户里会用shell地小得多。)Windows的应用几乎绝大多数都是基于GUI的,好是好了,但是第一,对于需要批处理或者schedule的任务,就很头疼。上次我们想买一个支持GUI的batch执行软件,一顿砍价后还要6万美元,这还不包括每年的支持培训等等各项费用。第二,远程管理也是个大问题。UNIX下只要一个远程终端搭配防火墙就可以了,而Windows却要类似PC Anywhere之类的软件,不仅对CPU和带宽的要求高,而且还有安全上的问题。我们是采用特别的VPN,自然背后还是大笔的银子。第三,Windows的配置也看似简单,但对傻瓜型的新手并不容易,因为很多细节很tricky。举例来说,配置一个outlook exchange账号,我们就要把所有的步骤一个一个地print screen, 然后画圈圈,写文档,然后寄给用户。如果是UNIX,直接把一个配置文件发过去就OK了。
我写了这么多,很多观点大概也有些偏颇。我并不是想全面否定Windows,事实上Windows在历史上为推动计算机的普及起到了差不多是关键性的作用,现在就算我,也可以说一天一日都离不了,有点像我们的党。但是如果Windows不能抛弃历史的包袱,不想解决自身的问题,我还是想抱怨两句的。
首先说明一下,这次回复后我不会再回复,以免破坏气氛之嫌。我承认我有些情绪化,但这种情绪就是因为有很多根本不了解Windows系统的人随意张口闭口fxxx Windows, fxxx Microsoft引起的。我本人不对任何系统或者公司有特殊好感或偏见,作为一个system administrator,职业道德决定了我的个人好恶应该尽量与工作分开,而不是先religiously地相信什么系统好,然后再去思考。那是典型的先有论点再找证据。
中国确实在改革开放的过程中干了很多傻事,但那跟世界上大多数公司决定采用何种系统是两码事。
真理当然不一定掌握在多数人手里,但长期来看,掌握真理的一方会胜利。我8月份刚去了台北,当地的电视里面陈水扁已经基本上成了小丑。他可以蒙蔽大家一时,但不能蒙蔽一世。同样的,微软及其产品当然有很多的毛病,但30年来它不是消失了,而是越做越好,其原因到底是什么?我认为大多数Linux/Unix的人在痛快地说fxxx Windows的时候,根本没有想过。这也许是为什么Unix的市场不断缩小,Linux在被许多人期望能够跟Windows分庭抗礼很多年之后,现在逐渐成为了一个稳定和高效的Server OS,但在client方面基本上是失败了。网上有些文章讲述了为什么Linux在中国完全失败了为什么中国用户在免费的Linux和免费的Windows之间,最终仍然选择了Windows,中国本来应该是Linux能跟Windows争夺客户端的最后一个大好机会 - 将近3亿的新用户!
Windows 3.x跟NT/2000/2003完全是两码事,3.x本来就是在DOS上加了一个GUI的壳,当然“向下兼容DOS”。你这样说证明了你对Windows不了解。
我现在的公司是全世界IT公司的TOP3之一,我不能明说,但希望大家能相信我公司的情况相对你公司的情况,并不轻松多少,我们同样有 7/24运行的服务,面对数以亿计的用户,任何的服务中断都会成为新闻。但因为我不能明说,我也不能要求任何人相信。
我说的Windows的TCO低于其他的解决方案,就是指在正常市场,并没有指中国的特殊情况。你说的2003 server 几个license就要12,000,跟我所知道的情况差距太大。
Windows的病毒和安全问题,如果System Administrator够专业的话,不是一个应该值得讨论的问题。我们公司有一整个security的团队,那些security的专家倒从来不说那个系统更安全或者更不安全,更从来没有说过fxxx XXXX,我问过他们到底怎么看安全的问题,他们说,第一在于整个security框架的设计,第二在于安全补丁的管理,第三在于危机出现时的反映速度,这三点都做到以后,唯一仍然不能合格的是Mac.作为专业的security专家,他们同时接触不同OS的机会比一个单纯的Unix admin或者Windows admin都要多得多,我相信他们的话也许更客观一些吧?Unix一样要打补丁,碰到kernel的补丁一样要重启,而就最近两年的情况,Windows上补丁的从发现到出补丁的时间比其他所有的系统都要短。
经常一个程序占据100%的CPU的情况非常少见,而且往往是应用程序本身出了问题。Windows的process当然可以kill掉,谁告诉你不能stop或者kill的?当然会有严重的情况,杀掉一个进程需要很长时间,或者杀不掉需要重启,但我个人的经验里,那种情况非常少,如果经常出,证明当初决定安装运行某个应用程序的时候没有做好测试。
注册表是个毁誉参半的东西,坏处当然很多,但我不清楚你是否知道其好处 - 读写注册表是一个system call,所有使用注册表的程序都通过这个来访问注册表,其效率远远高于Linux上不同的进程各自使用一个单独的配置文件或者暂存文件。谁都能改?不同的程序如果不是故意胡闹的话,各自有各自的tree,互相是不干扰的。而且注册表的每一个object都可以设定permission。
最后,“windows的人是不是都不用键盘的”,本来我是当个笑话讲的,没想到你竟然也觉得是普遍现象,足以证明你根本不知道一个Windows admin整天在干什么。我可以负责地告诉你,我90%以上的时间是在文本界面上或者在写代码。Windows完全可以在shell里面(听说过powershell吗?)或者scripting host里面根本不通过GUI来做任何事。WSH+WMI的威力和效率,没有用过的人根本不会了解。我不明白你们公司买支持GUI的batch软件干什么用,无法评论。Windows一样有scheduler,跟cron的功能上,我目前还没看出来有大的差别。远程管理有谁还在用PC Anywhere?你知不知道Terminal Service有Admin mode,可以免费允许3个远程登录到server上面?如果是通过Internet的话,有TS Gateway来解决问题。
Outlook/Exchange的帐号要print screen,更证明了你们那里的人根本不懂Windows。我是几年前做的一个script,首次登录工作站的时候自动运行,几秒钟就把Outlook设置好了,那里还用得着print screen?还有一种方法也是发一个我配置好的小文件过去,对方只要知道怎么import就行了,我自己没有做过,但我知道有KB article about this.
我又写了这么多,也就是想重复一下我的观点 - 我作为一个Windows管理员,并不精通Linux/Unix系统,所以我很少谈论关于Linux/Unix的话题;而很多时候,很多Linux/Unix阵营的人却随意地评论甚至fxxx Windows,而他们对Windows系统的了解除了一些过时或者错误的印象以外,很少有真知灼见。我本人知道几个Windows的严重弱点,但还没有什么Linux/Unix方面的人提到过。
而且如果从server角度来看Windows的话,大家应该记住,Windows是后来者,是背着client系统这个包袱进入server世界的,从过去几十年的表现来看,确实一开始到处是问题,但总体来说是越变越好,特别是从Windows 2003开始,漏洞的数目明显下降,系统稳定性大幅度提高,在服务器市场的占有率也在稳定上升。IIS3/4的时候没几个人敢用IIS面对public Internet,现在IIS6/7的市场占有率快要超过Apache了。整体来看,Windows和Linux进入server世界,结束了Unix自身内部的混战,结束了一台服务器要half million的日子,这在我看来是好事,不是坏事。
Linux之所以能够产生并且发展壮大,是因为Wintel把微型计算机推广到了千家万户,所以Linux这样的基于x86体系的草根操作系统才有了生长的土壤。Unix在这方面的贡献我不敢恭维。但由于Linux跟Unix的相似性,对于很多Unix的admin来说,Linux反而很容易上手,所以当Linux蚕食了Unix的很多市场之后,他们可以迅速地转行到Linux上去,同样不用碰Windows,但同样仍然不了解Windows.
Windows Server 2008明年2月份就要正式发售了。基于Vista的code base,安全性和稳定性又有了新的进展,新增加的Server Core version几乎完全舍弃了GUI,Virtualization在几个月前有传言说已经达到Xen的95%了。没有Linux的压力,Windows在server上也不会这样快地进步。
所以,我反对的是在明明不了解对方的情况下随意评论。我不明白问什么有很多Linux/Unix方面的人会如此随意地评价Windows - 他们的评论往往根本与事实不符。有一天我们公司的几个Linux SA过来问我是不是在Windows下面,随便什么人都可以设置一个scheduled task,以系统用户的权限来运行一个shell。他们说Windows的security是个joke。我立刻证明给他们看,第一,普通用户根本就看不到scheduled task里面的内容;第二,只有在已经取得了系统管理员权限以后才能设置新的任务,才有可能指定以系统用户的权限来运行某任务。这样一个显而易见的东西,一个如果是真的话,完全能把所有的Windows系统在一瞬间毁掉的东西,如果他们对Windows有一点点的了解,或者只要不是从一个充满偏见的角度来看待,凭他们对操作系统的知识,完全能够猜到那是不可能的,但他们还是觉得可能。这说明了什么?
我明白目前在IT届,Microsoft是邪恶帝国,所有有正义感的人都想杀之而后快;open source community也对Microsoft不肯对所有人公开其源代码耿耿于怀,并且认为自己占据了道德制高点。我个人对任何公司或运动都没有特别的好恶,在没有违反法律的前提下,还是应该把最终的决定权交给市场,交给用户。如果有人认为微软能称霸这么多年,就是靠的市场运作的话,我也不知道说什么好了。IT业多少年来都是个竞争无比激烈的行业,别说产品不够好,就是非常优秀的产品,也有的是一着不慎就永远失去了机会的故事。如果没有人愿意去了解为什么微软的产品总能抓住用户的心,那么谁也不能真正打败微软,或者逼微软做得更好。