目前,计算机病毒和网络木马已经对计算机系统和网络构成很大的威胁。经常有很多用户莫名其妙地中了各种各样的木马。用户会中这种各样的病毒和木马,除了一般用户安全意识较弱,防范技术不高之外,也有很多原因是软件开发厂商的软件存在漏洞所致。另外,目前也没有一种绝对有效的病毒防范软件。大部分杀毒软件基于“特征码”进行查毒,杀毒软件基本不可能查出新的没有列入病毒库的病毒。因此,必然会有一部分用户在杀毒软件发现这些病毒之前,就已经中毒。
而目前,对于计算机病毒的防御模式主要是在本机安装杀毒软件,开启实时监控功能。但是,很多病毒和木马在感染受害机器之后,会封锁杀毒软件,或者禁止杀毒软件对病毒文件的访问。因此,杀毒软件往往对这些病毒难以彻底根除。也有一部分杀毒软件(比如瑞星,提供了一个可以启动的光盘)不需依赖正常启动而对文件进行查毒和杀毒。但是对于大部分杀毒软件均未提供该种功能。
本文提出一种利用Windows PE的文件共享功能,将受害机器的文件夹或者磁盘进行完全共享,再用正常机器上的杀毒软件对受害机器进行查毒和杀毒的方案。这种方案不需要启动硬盘上的操作系统,因此病毒不能阻挡杀毒软件的运行。
Windows PE是微软在2001年向大客户提供的一个用于大量部署Windows 系统的工具,也称为Windows 预安装环境。但是后来很多系统维护人员发现,Windows PE非常适合作为系统维护工具。因此,现在出现了很多Windows PE的变种,他们增强了Windows PE的功能,并且集成了大量Windows 的维护工具。因为Windows PE采用Windows XP/2003的内核,本身直接支持NTFS文件系统的读写操作,也支持各种对NTFS分区的维护工具,因此近几年已经成为很多系统维护人员的必备维护工具。另外,Windows PE支持光盘直接启动,完全不依赖硬盘上的操作系统,因此不会受到病毒的影响。使用Windows PE启动,肯定能够得到一个干净无病毒的操作环境。
另外,Windows PE也支持一定的网络功能。我们的方案主要利用这一个功能。因为Windows PE启动之后,肯定是没有病毒的,而且也支持网络功能,因此,我们可以制作一张Windows PE的启动光盘,然后利用这张光盘引导带毒的机器(假定为机器A)。启动成功之后,启动Windows PE的网络功能,并且将该机器的系统分区完全共享出去。然后,再找一台没有感染病毒的机器B,安装上杀毒软件。这样,我们可以在机器B上将机器A的系统分区映射为磁盘X:。这样,我们就可以在机器B上开启杀毒软件对机器A进行杀毒了。这种方法,非常适合那些感染了新病毒的用户(就是说病毒在杀毒软件的病毒库升级之前就被感染),或者非常顽固的病毒(杀毒软件能查但不能杀)。
注:Windows PE最初是微软向大企业客户发放的大规模Windows 部署工具。但是因为在系统维护方面的出色功能,使得很多计算机爱好者对他进行了改造和功能增强。国内主要有“深山红叶”这个版本。详情可以访问 http://www.wuyou.com
|