无忧启动论坛

标题: 请问可否把WIN7的防御病毒的方法完美的移到XP里来 [打印本页]

作者: fliger 时间: 2009-8-7 10:29
标题: 请问可否把WIN7的防御病毒的方法完美的移到XP里来
不知道，WIN7是不是用FBWF来实现WINDOWS文件夹的“写操作映射的”，对只读属性的目录居然也能模拟写操作，我对这个特性很感兴趣，而且重新启动后还能保持原来的映射，不会丢失，这个特点很实用，是很能防御病毒的，你想重定向本来就可以防病毒，虽然不是100%的，但如果保护的文件都是写保护的，那就安全性大大提高了。

刚才百度时发现一款软件，据说写保护功能很强悍，请大家评论

它也可以实现更换系统后依然有效果，不知道是什么原理设计的。因为写保护除了HIPS外，我想就只有权限了，

“
有没有一种软件，能够为硬盘分区加上写保护，并强力保护关键扇区不被破坏？
有没有一种软件，能够彻底抵抗文件感染型病毒？
有没有一种软件，能够为任意硬盘驱动器加上一把密码锁？
有没有一种软件，能够为任意USB存储设备加上一把密码锁？
有没有一种软件，能够使硬盘驱动器在高强度加密之后彻底隐藏？
有没有一种软件，能够控制对光驱软驱等外部设备的访问？

抗病毒功能测试

   文件级测试结果：
   利用核盾数据卫士设置某个硬盘分区(比如D盘)的访问模式为“只允许读”。然后，打开“我的电脑”，通过Windows资源管理器进行测试，可以发现：(1)D盘可以正常打开，但无法执行格式化；(2)无法删除D盘的任何文件；(3)无法修改D盘任何文件的内容；(4)无法在D盘新建文件或文件夹，也无法保存文件到D盘；(5)无法修改D盘的卷标；(6)D盘中的任何文件属性均无法修改。然后，把选项“保护硬盘的关键扇区”勾选上，再分别利用冰刃和360文件粉碎机选择D盘中的任意文件执行强制删除测试，其结果如下：
   (1)冰刃(版本1.22)测试结果：执行强制删除之后，被删除的文件从资源管理器中消失了。但这只是一个假象，文件本身并没有受到任何破坏。只要把任意硬盘驱动器的访问模式修改一下，或者重新登录核盾数据卫士，或者重新启动一下电脑，然后您就会惊奇地发现：D盘中已被删除的文件依然完好无损地出现在原来的位置！
   (2)360文件粉碎机(版本1.6)测试结果：和冰刃的测试结果完全一样。
   扇区级测试结果：
   利用核盾数据卫士设置某个硬盘分区(比如D盘)的访问模式为“只允许读”，并把选项“保护硬盘的关键扇区”勾选上，然后打开WinHex，选择菜单Tools->Open Disk，在弹出的Edit Disk对话框中选择Physical Media下面的物理硬盘。打开，然后选择该分区对应的Partition，双击打开，然后随机选择一些字节进行修改，点击保存，结果提示扇区写入失败(错误消息：Error #21, Cannot write to Hard disk 0)。回到Hard disk 0选项卡，拉动滚动条到顶部第1号扇区(即引导扇区)，尝试修改引导扇区中的内容，然后点击保存，结果依然提示写入失败(错误消息：Error #21, Cannot write to Hard disk 0)。这些现象说明：在核盾数据卫士的捍卫之下，连WinHex这么强大的底层工具都无法修改硬盘物理扇区的内容。因此，任何试图破坏硬盘物理扇区的病毒将会彻底失去作用！
   这些测试结果足以证明：核盾数据卫士已经把您的硬盘从文件级到扇区级都彻底地保护了起来！

[ 本帖最后由 fliger 于 2009-8-8 17:40 编辑 ]

作者: magicbug 时间: 2009-8-7 13:13
广告帖？
找了点资料，可以看看。

1.查看FBWF的状态
Fbwfmgr
//查看FBWF的状态。
也可以使用
Fbwfmgr /displayconfig
//查看FBWF的状态。
成功返回：
File-based write filter configuration for the current session:
//当前FBWF状态。
filter state: enabled.
// FBWF现在处在开状态。
overlay cache data compression state: enabled.
//压缩覆盖缓存：开启。
解释一下FBWF拦截的数据放在缓冲区中即覆盖缓存
overlay cache threshold: 1024 MB.
// 覆盖缓存区大小：1024MB。
overlay cache pre-allocation: disabled.
// 覆盖缓存预分配：关闭。开启后会预先分配FBWF的覆盖缓存。
size display: virtual mode.
// 覆盖缓存：虚拟模式。FBWF具有两种模式实际模式和虚拟模式，在虚拟模式下覆盖缓存的可用容量=被写保护驱动器显示的可用容量。
例如C驱动器被写保护，当前（虚拟模式，系统运行）C驱动器还有128MB的可用空间即表示覆盖缓存还有128MB可用。

protected volume list:

\Device\HarddiskVolume1
//当前受写保护的驱动器，这里用驱动器号表示
HarddiskVolume1=C：
HarddiskVolume2=D：
……
注意：有时候不是按顺序排的。例如：HarddiskVolume3=D：

例如

write through list of each protected volume:

\Device\HarddiskVolume1:

\Documents and Settings\Administrator\Local Settings\Temp

\Documents and Settings\Administrator\Local Settings\Temporary InternetFiles

\Documents and Settings\Administrator\My Documents

\Documents and Settings\Administrator\桌面

\Documents and Settings\All Users\My Documents

\Documents and Settings\All Users\桌面

\RegfData

\WINDOWS\TEMP

\userdata
//FBWF的豁免写保护列表。在列表中的文件或文件夹不受写保护。\Device\HarddiskVolume3: (none)表示整个驱动器（HarddiskVolume3）又受到写保护。
注意：\RegfData文件如果存在在C：下不要将其从豁免写保护列表中手动删除和添加。同样不要尝试添加和删除\fbwf.cfg
File-based write filter configuration for the next session:
//下次启动系统（系统重起后）FBWF状态。
filter state: disabled.
// FBWF在下次启动被关闭。

2. FBWF的开启和关闭。
开启：
FbwfMgr /enable
成功返回：
File-based write filter will be enabled on the next reboot.
关闭：
FbwfMgr /disable
成功返回：
File-based write filter will be disabled on the next reboot.
注意：两条命令都重起后生效

3.向 FBWF豁免写保护列表添加删除驱动器（添加删除受FBWF控制的驱动器）
添加：
FbwfMgr /addvolume \Device\HarddiskVolume3
//添加\Device\HarddiskVolume3 添加驱动器到FBWF豁免写保护列表，默认列表为空（该驱动器将受到FBWF保护）
也可以这样写
FbwfMgr /addvolume D:
//添加D：驱动器到FBWF豁免写保护列表

正常返回：
Volume \Device\HarddiskVolume3 will be protected after the next reboot.
或者
Volume d: will be protected after the next reboot.

错误返回：
Volume cannot be added. Filter is not enabled for the next session.
//下次FBWF为关闭状态,开启才能使用。

删除：
FbwfMgr /removevolume \Device\HarddiskVolume3 1
//从FBWF豁免写保护列表删除HarddiskVolume3 驱动器（该驱动器将不再受到FBWF保护）
也可以这样写
FbwfMgr /removevolume d: 1
//从FBWF豁免写保护列表删除d: 驱动器

注意本命令有一个开关
1代表：重起后删除该驱动器豁免写保护列表。
0代表：重起后不删除该驱动器豁免写保护列表。
正常返回：
Volume \Device\HarddiskVolume3 will not be protected after the next reboot.
或者
Volume d: will not be protected after the next reboot.
错误返回：
Volume cannot be added. Filter is not enabled for the next session.
//下次FBWF为关闭状态,开启才能使用。
注意：两条命令都是重起后生效，并且下次重起FBWF为开启状态才能执行。

4. 向FBWF豁免写保护列表（不受FBWF写保护）添加文件夹。
添加文件夹：
FbwfMgr /addexclusion \Device\HarddiskVolume1 \Temp

//将Device\HarddiskVolume1\Temp 文件夹添加进FBWF豁免写保护列表。
也可以这样写：
FbwfMgr /addexclusion c: \Temp

//将c:\Temp文件夹添加到FBWF豁免写保护列表。

成功返回：
Path \Temp on volume \Device\HarddiskVolume1 will be in the exclusion list after the next reboot.
或者
Path \Temp on volume c: will be in the exclusion list after the next reboot.

错误返回：
Path cannot be added. Filter is not enabled for the next session.
// 下次FBWF为关闭状态,开启才能使用。

注意：命令中磁盘号和文件夹路径有一个空格。
命令中盘符和文件夹路径有一个空格
例如：正确的表示：Device\HarddiskVolume1 \Temp 或者c: \Temp

错误的表示：Device\HarddiskVolume1\Temp 或者：c:\Temp

注意：命令重起后生效，并且下次重起FBWF为开启状态才能执行。

即使路径不存在也可以添加，但是必须先用FbwfMgr /addvolume命令添加驱动器否则会出现错误：FbwfMgr failed: 系统找不到指定的驱动器。

作者: fujianabc 时间: 2009-8-7 16:53
记得楼主已经不只第一次发vista/win7的fbwf的帖子了，

再次明确告诉楼主，vista/win7下面没有fbwf，只有winpe 2.x/3.0下有fbwf。

至于那些软件/病毒无法直接写硬盘扇区，是vista/win7下磁盘对磁盘写入机制作了限制，这个限制源自nt 6.x的驱动，详见
http://www.debugman.com/read.php?tid=3016
包括连winhex之类的软件都无法直接写入

作者: fliger 时间: 2009-8-8 17:28
两位的专业级别的回帖太宝贵了，我是一直很想了解WIN7的防御病毒的机制。谢谢

另外，我对写保护配合重定向很有兴趣，我认为这样可以把确认无毒的地方直接保护起来，免得杀毒软件要反复扫描，但发现目前只有EWF和FBWF可以实现对写保护的文件进行写操作映射，

作者: zesdq 时间: 2009-8-10 13:10
楼主所说的软件下载地址：
http://www.brsbox.com/filebox/do ... 38ef/rand/729432724
有兴趣的研究一下

作者: fliger 时间: 2009-8-11 12:18
谢谢热心人，这个论坛真好，大家都是搞研究的，动脑子的人。

现在国内一些热门论坛，都变成软件公司的广告基地了，如果有什么好的新东西出来，都被他们贬低得一无是处，悲哀！

欢迎光临无忧启动论坛 (http://bbs.c3.wuyou.net/)