猫版或其他高手：【求助】 bbs.ikaka.com

两个铁球 - 2008-3-13 15:24:00

昨天受猫版你什么美人鱼帖子的影响，试图刻意用tiny对根目录的那几个引导文件做点保护设置，可是不慎弄成进不去系统了！tiny那个官方办法，承猫版你赐教，当然早已烂熟，但是这会儿是在VMWareWorkstation 6之下，请问：WM有“安全模式”吗？有或没有，又怎么解决这问题？（如何进入VM下的操作系统或解tiny之锁？）

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

baohe - 2008-3-13 17:05:00

引用:

【两个铁球的贴子】昨天受猫版你什么美人鱼帖子的影响，试图刻意用tiny对根目录的那几个引导文件做点保护设置，可是不慎弄成进不去系统了！tiny那个官方办法，承猫版你赐教，当然早已烂熟，但是这会儿是在VMWareWorkstation 6之下，请问：WM有“安全模式”吗？有或没有，又怎么解决这问题？（如何进入VM下的操作系统或解tiny之锁？）

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

………………

狂汗！
玩儿这种BT病毒样本前，务必要给自己留后路，且做最坏打算。否则，就不要玩儿。
我之所以发那个帖子，原因在于：此毒完全可以逃避tiny相应规则的防护；但逃不过瑞星2008那条防护规则。
你已经搞成这种局面了，可以试试用系统安装光盘启动修复系统。

PS：VMWareWorkstation ————从未用过。我没有发言权。

天月来了 - 2008-3-13 17:09:00

猫

看他贴，估计只是用tiny对根目录下的引导文件设置规则时，影响了系统的启动吧。

不是玩那病毒导致的。

baohe - 2008-3-13 17:16:00

引用:

【天月来了的贴子】猫

看他贴，估计只是用tiny对根目录下的引导文件设置规则时，影响了系统的启动吧。

不是玩那病毒导致的。
………………

汗！
系统根下的：
NTDETECT.COM
NTLDR
BOOT.INI
禁止改写、禁止删除————都没问题。但决不能“禁止访问”！
没有谁会傻到用工具“禁止任何程序访问”上面三个程序吧？

加楠 - 2008-3-13 18:48:00

VM似乎同样可以用F8进安全模式的。

安全模式是操作系统带的，而不是某个环境带的。

两个铁球 - 2008-3-13 19:19:00

引用:

【加楠的贴子】VM似乎同样可以用F8进安全模式的。

安全模式是操作系统带的，而不是某个环境带的。
………………

在host操作系统下进入的“安全模式“，对windows的基本的进程之外的所有一切程序（当然保括VMWare)全都不可能加载；VMWare不能加载、运行的情形下，又何以能进VM的操作系统及其“安全模式”，进而解决TINY规则导致的进不了VM性的windows操作系统咧？！

两个铁球 - 2008-3-13 19:24:00

引用:

【天月来了的贴子】猫

看他贴，估计只是用tiny对根目录下的引导文件设置规则时，影响了系统的启动吧。

不是玩那病毒导致的。
………………

是，差不多是这样，tiny默认的文件保护规则中，本来有这个根目录项的，我只是把这个目录项下添进了具体的文件名，并全设置成了“提问”，而系统没成功引导之前，是不可能提问的，当然进不了系统咯。！！！呵呵....

两个铁球 - 2008-3-13 19:30:00

引用:

【baohe的贴子】
汗！
系统根下的：
NTDETECT.COM
NTLDR
BOOT.INI
禁止改写、禁止删除————都没问题。但决不能“禁止访问”！
没有谁会傻到用工具“禁止任何程序访问”上面三个程序吧？
………………

全设置成了“提问”，另外文件加多了，比如“页面文件.sys”。

两个铁球 - 2008-3-13 19:36:00

引用:

【baohe的贴子】

引用:

【两个铁球的贴子】昨天受猫版你什么美人鱼帖子的影响，试图刻意用tiny对根目录的那几个引导文件做点保护设置，可是不慎弄成进不去系统了！tiny那个官方办法，承猫版你赐教，当然早已烂熟，但是这会儿是在VMWareWorkstation 6之下，请问：WM有“安全模式”吗？有或没有，又怎么解决这问题？（如何进入VM下的操作系统或解tiny之锁？）

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

………………

狂汗！
玩儿这种BT病毒样本前，务必要给自己留后路，且做最坏打算。否则，就不要玩儿。
我之所以发那个帖子，原因在于：此毒完全可以逃避tiny相应规则的防护；但逃不过瑞星2008那条防护规则。
你已经搞成这种局面了，可以试试用系统安装光盘启动修复系统。

PS：VMWareWorkstation ————从未用过。我没有发言权。
………………

猫版不用此软件？好象不可置信。似乎记得有时你发上来的截屏图片就是它的。要么偶记混了。

baohe - 2008-3-13 20:48:00

引用:

【两个铁球的贴子】
全设置成了“提问”，另外文件加多了，比如“页面文件.sys”。

………………

汗！
用Tiny防范这几个关键文件被病毒篡改的办法（我认为正确地）：
1、在expert那里设置一规则，禁止删、写那几个文件。
2、那几个文件本身的保护，在Tiny中选择checksum and path（通过MD5值和路径确认）、Integrity corruption protection（完整性保护）。

.sys类的保护，也用checksum and path和Integrity corruption protection即可。

艾玛 - 2008-3-14 8:29:00

楼主，VM有快照功能，您不是没有用到吧？

您在使用前都可以做一次快照，这样即使中毒至少也能恢复到中毒前的状态:-)

建议多看看VM help文档

两个铁球 - 2008-3-14 11:29:00

引用:

【艾玛的贴子】楼主，VM有快照功能，您不是没有用到吧？

您在使用前都可以做一次快照，这样即使中毒至少也能恢复到中毒前的状态:-)

建议多看看VM help文档
………………

谢谢艾玛及其它几位版主\高手的关注！
1，快照功能我知道，可事前忽视了，没有做；2，这里是TINY的规则使进不了VM性的windows xp系统，永远停留在“欢迎使用”屏面上，不知这种情况时，快照还有效否？3，此问题今凌晨我已独立自己解决啦！[face5]

（不知有否意义就此写篇解决办法的帖发在其它板块？呵呵

瑞星卡卡安全论坛