课前大纲:
需要关注的关键位置:临时文件夹,记得要清理;另一个是根目录,请了解正常时是什么样的;还有系统目录要注意。
课程内容:
书再接前文,再说两个手杀时应该关注的位置,一个是临时目录,另一个根目录。估计不少同学从买来电脑后就没打开过“我的电脑”或“计算机”看看里面的文件是什么样子,所以让他们去找文件,可能都不知道什么叫路径。路径就是文件存放的位置。那么临时文件在哪,默认的情况下有两处,可以打开系统的环境变量去查看(右击我的电脑-属性-高级-环境变量),用户变量和系统变量里面的temp、tmp后面的值就是临时文件夹的路径,如“%USERPROFILE%\Local Settings\Temp”(可以把前面这串字拷到地址栏或运行里直接回车就打开了,然后就可以看到好多的文件和文件夹在TEMP文件夹中,这些都是临时文件(如果你在环境变量中有改过临时文件的位置,比如我改成d:\temp,那就不是%USERPROFILE%\Local Settings\Temp了,则是D:\temp),此外还有一个在c:\windows\temp(如果你的系统装在c盘),不过里面东西没有前面那个temp的多。
上面说的temp就是所谓的“垃圾”文件,各种卫士们喜欢这么说,每次不论有没有清理干净,都会抢着告诉你又清理了多大空间,甚至要你在扫描病毒前清除这些文件。实际上他们并不是垃圾,有时清除了临时文件反而会使程序运行速度变慢,不过我不讨论这个问题,我要说的是很多病毒木马可能会释放自己的文件在临时目录中,不管是临时的还是长期的,建议在杀毒时把TEMP文件夹清空。另外还有一个临时文件就是IE的临时缓存文件,在Internet选项中可以看到,建议在Internet选项的高级选项中,设置安全-关闭浏览器后清空Internet临时文件夹,如果有意外,可以直接在Internet选项的常规页中手动删除浏览的历史纪录(选项可以全选,如果有插件也被删了,重新安装插件就是)。
同理,一个急具悲剧色彩的windows系统还原(不是GHOST一键还原之类软件),很多杀毒软件在杀毒时都会建议关闭系统还原(关闭即是清空),和上面的意义类似,也不多说了,反正很多人也是关闭还原的。
要讲的另一个位置是根目录,就是一打开各个硬盘分区后所看到的地方,以前很多autorun.inf文件及其亲密的病毒战友都爱呆在这里,现在自从微软决心关闭自动播放应该会安全多了(关闭补丁kb971029),当然还是有很多人没关,所以也看看吧。一般情况下根目录下文件不多(补充一下,保持良好的存放文件习惯,别把什么都扔在根目录上,这样会给以后的安全管理带来方便),C盘系统盘除外,打开显示隐藏文件、系统文件的选项,可以看得很清楚(如果无法显示,说明你中毒了),系统盘下文件多看看就记得差不多了,关注的主要是执行文件、如exe/com/dll,其它的可以忽略,其它盘默认是没什么文件(文件夹有,或者可能还有什么杀U盘病毒时生成的autorun.inf免疫文件夹),装好系统自己先看看,以后就好对比。注意系统盘下的系统文件如果不认的不要乱动,确实有没事找事的洁癖爱好者为使C盘更好看,把系统文件全塞进某个文件夹或直接删除、结果导致系统无法启动的悲剧,所以慎重。
其实还有一些目录,如windows目录及其中的system32目录,甚至是用户配置文件夹(不多说,越说就越多了),是很多木马病毒的最爱,隐蔽性特别的好,但对很多人来说,这是一个危险地带,和上面说的系统盘根目录下的系统文件一样,建议不了解的话不要动,如果一定要动,请结合前面几课说的内容进行辨认(强烈建议处理前备份),自己查而无利器可用时,就只能靠时间属性、文件名、文件版权属性来分辨,如果杀毒软件继续装傻的话(当然时间判断也会出错,参考http://bbs.icpcw.com/viewthread.php?tid=2078857),结合启动项判断倒是比较靠谱,不过有的并不出现在启动项中,不过从启动项中逮出一个,再查同时间文件也许可靠性会大一些(要改时间会全改)。如果启动项干掉,没有启动激活,一般来说剩下的也就是死马了,无威胁,除了看着不爽,至少可以安心等待杀毒软件醒来工作(一般来说是这样,但我不打包票)。
课后作业:我的电脑硬盘根目录下发现有个奇怪的文件夹:System Volume Information,是不是中毒了?
参考答案:System Volume Information是系统还原的文件夹,不是病毒,安全、系统文件夹
课堂讨论:(无)
注:原文首发于电脑报论坛,整理版有修正与补充,转载请注明出处
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1022.html
