TPF2005 —— Tiny Personal Firewall 2005
SSM —— System Safty Manager
以上两个是版主对付病毒、木马的利器
据我观察,上次版主热情的回答了某网友关于“你用什么检测病毒动作”的提问之后,很多想成为高手的网友都已经或者准备——安装这两个安全软件。不过请你们在安装之前慎重考虑,是否有这个必要,或者说,你准备冒一些风险吗?
提这两个问题不是空穴来风,也不是危言耸听,而是我的一些经历及感触。
我是昨天晚上安装这两个软件的,因为另外还在做程序,所以安装完成之后没有重新启动电脑,晚上直接关闭电脑之后就睡觉了,问题是今天早上才暴露出来的。首先来说说我的计算机环境及安装方法。
Windows Server 2003 SP1 + Hotfixes
// 以下是我安装的安全类软件
Kaspersky Anti-Virus File Server 4.5
Windows Firewall
Spybot 1.4 Beta 2
因为是Server版的操作系统,因此我选择的实际不是TPF,而是TSF(Tiny Server Firewall 6.5版)。安装之后删除注册表中关于TPF的启动项,在服务中将四个新建的服务调整为“手动”。
安装SSM,运行,选择“不随系统启动”。
在说正题之前,我先废话,说说我的遭遇
一、开机就出现“至少一个服务或驱动程序启动失败”的提示;
经查看“事件查看器”,发现出问题的模块是“mcnahook.sys”,搜索硬盘,在SSM的安装目录下面发现它,考虑到可能是软件与系统不兼容或者与其它软件有冲突,于是卸载SSM以解决问题。卸载的时候有一个小插曲,SSM首先弹出来一个小窗口,要我确认“服务已移除”????难道这不是卸载程序应该做的事情吗?It's a joke! 我确定之后接着卸载。卸载完了重启,进入桌面之后又是:至少一个服务或驱动程序启动失败。FT~~~ 记起刚刚的提示,进注册表搜索“mcnahook.sys”,除了M$的 "Search Assisstant"以外,还有两个在Services主键里面,看来SSM真的把它的主键注册成了服务,而且还是隐藏的。删掉之后重启,终于不见了讨厌的“服务失败”提示。
由此可见,SSM是通过将它的驱动模块注册成服务来达到底层操作的,不过可惜其卸载功能有缺陷,可能会产生遗留问题。
二、打开CoralQQ的时候程序出错,提示类似:“XXXXXXXX位置的内存不能为Read”;
由于已经搞定了SSM,所以问题集中在TPF(其实我这个应该算TSF了)上。首先检查出现问题的部分在哪里。打开“服务”,看到昨天禁用的四个服务已经启动了两个,而启动类型却还是“手动”,于是基本上断定是TPF的问题,同时也大致推断出TPF的加载项除了注册表、服务,还有一个就是系统驱动,这也是这种工作在底层的软件共有的特性——将一些底层功能做成驱动模块,随系统启动自动加载,臭名昭著的3721曾经就用过这招。打开“C:\Windows\System32\drivers”,按修改日期排序,果然看到TPF的组件,数量还不少。都到这一步了,我又不愿意系统加载项平白增多,没办法,只有卸载TPF。重启,问题消失,CoralQQ正常运行。
下面进入正题,说说我给同志们的建议。
1、安装之前确定自己是否有必要。 多说一句:从菜鸟到高手是谁都想的事情,不过菜鸟并不因为有了高手的利器就成为高手,没了称手的工具就一事无成也不是真正的高手,所以,除非你现在没有一个合适防火墙,或者电脑处在病毒肆虐的环境里,否则,我不建议你安装着两个软件;特别不建议那些想成为“高手”的菜鸟朋友们在没想清楚这个问题之前犯冲动的毛病;
2、选择安全软件要做到“专业、专一、专注”。 专业——不要选那些“业余选手”作为自己的电脑的安全屏障;专一——反病毒、反木马和浏览器劫持、反黑客…… 一个方向选一个软件就足够了,切忌同类软件一起使用;专注——这是对安全软件提出的要求,主要是针对某些别有用心的厂商。一般来说,只要你选择的软件够专业,就能达到专注的要求。
3、安装之前记得备份系统。 如果确实要安装,最好在安装之前备份你的系统。底层软件对系统可能造成的损害是无法实现衡量的。因为涉及到系统的最底层,因此在XP上可以正常使用的软件,不能保证能在XP SP1上使用,或者能在XP SP1上使用,却不能在XP上面使用,出了问题再选择卸载绝对不是一个好办法,因为卸载程序可能因为各种原因遗留下能让系统出错甚至崩溃的文件、垃圾信息等等。
