中国DOS联盟

本来觉得发在批处理室有点牵强，但是原来发了帖子打造绿色系统和此密切相关，http://www.cn-dos.net/forum/viewthread.php?tid=48678&fpage=5
故还是发在这里了，本帖对打造个性化绿色系统进入逐步可操作型阶段。。。

下发个聊天记录：

plp626<zjvwei@qq.com> 22:58:38
问大家个问题，感染型病毒是直接通过文件后缀名判断文件是什么文件还是通过读文件头的信息来判断文件是什么类型的文件，
重要！大家务必探讨下！
plp626<zjvwei@qq.com> 22:59:34
比如要感染一个exe文件，或者压缩包文件，通过什么判断文件就是可执行的exe，或者是一个压缩包文件
huahua0919(513880531) 22:59:55
应该是判断头文件，当初熊猫就是这样干的
plp626<zjvwei@qq.com> 23:00:58
你确定? 那就是说我们采取对exe文件改后缀的方法是自欺欺人了???!!!!!!!!!!!!!!!!!!!!!!!!!!
DOS-RecallShan(344536606) 23:01:04
判断后缀名exe 不是更文便?
DOS-RecallShan(344536606) 23:01:10
方
huahua0919(513880531) 23:03:07
问这个做什么？
plp626<zjvwei@qq.com> 23:05:05
exe文件被感染，U盘里有不少exe绿色工具，当然我在用的时候再把后缀名该成exe，
听你这么一说，我那种做法岂不是很幼稚？

好了，大家有必要讨论下木马病毒感染系统的详细流程，尽量详细
(比如说某个病毒要感染exe文件，这里我就会问，病毒怎么确定要感染的文件是真正的exe文件？)，以便我们找对策；

如果病毒是通过文件头判断然后感染，我想问
那么除了设置权限外
畸形目录可否防止文件被感染

假如病毒是通过扩展名感染exe，那么就需要遍历所有exe
假如是先判断扩展名再判断文件头，也需要遍历
假如是直接判断文件头，还是需要遍历所有文件

总之以上三种方法都需要遍历文件，如果病毒利用WIN系统原有机制遍历文件的话，是遍历不到畸形目录里的文件的，因此应该可以防住一些病毒。

如果病毒自带遍历功能的话倒是有可能识别出畸形目录来，这样可以通过将畸形目录放置在N权限的目录下。这时由于病毒无法获取畸形目录名称而使之起作用。（自己用时要记住畸形目录名称，以便调用）

如果病毒能调用系统功能修改目录权限的话，就只好对目录设置特殊权限了，因为系统的cacls无法修改特殊权限。

再BT一点病毒自带权限修改功能，可以再加一条压缩。

更变态的是如果解压功能也有，也就是能渗透进压缩文件内部，好像就比较难办了。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
以上是我的一些看法，如此全副武装的病毒应该也不多罢。所以能防住一点是一点。

Last edited by wxcute on 2009-9-18 at 22:18 ]

当文件系统为NTFS时，直接读取分区根目录下的快速索引和主控文件表就可以。