哦哦哦！！！明白。。。花时间研究下~~

你的补充版好像没什么更改...



这个不是“比较高级”的手法。这样做反而会把应该run的exe file都给截下来！这就是我说这方法害别人的理由！即使要还原也很难...



其实还有很多更好，更“高级”的方法。

但如果你还坚持说这是“高级的手法”，那么我也不谈这个了... 因为我已经说了要说的...



还有这个

“CMOS -> MBR -> Shell -> Explorer -> Run Programs”

是出自哪儿？

这的确是较上级的方法，

每当电脑病毒太严重的附在Exe file里，就只有靠这个方法来阻止病毒运作，然后有充足的时间将他们删除/清理。

病毒通常都会潜伏在“应该”run的exe file里面，既然应该run，你run了病毒也会一起启动，这样的话，病毒怎样都清理不掉。阻止了以后，通常我们会使用“RUN”功能来启动我们要用到的软件，或者直接使用 Command Prompt来执行。

我修理电脑这么多年，原来只会这样的“低级”方法，

我还真的是愧对于那些付钱的顾客们啊！

顺便向你请教，你有什么更“更高级”的方法和我们分享呢？大家可以讨论看看。





至于CMOS -> MBR -> Shell -> Explorer -> Run Programs的原理，

你可以做个简单的实验：

1.首先，先把你主机板上的CMOS给刷坏掉或者把晶片拔出来，然后看看你电脑启动的到吗？

2.接下来，恢复CMOS，再进DOS把MBR给修改掉，然后看看你进到Windows吗？

3.把MBR回复，再进去DOS，然后把Windows\system32目录下的Shell32.dll和shell.dll删除，重启电脑看你能顺利启动windows吗？

4.接下来的Explorer更简单，按下Ctrl+Alt+Del，然后把Explorer给End process，你会发现所有Program都会因为关闭了Explorer而消失，重新run回explorer后，Program又会跑完出来了。



这就是所谓的流程。

“病毒通常都会潜伏在“应该”run的exe file里面”

如果是exe file被virus infect的话，那么最好的方法就是先把重要的文件备份（除了exe file之外），然后就reformat！

这我不需要说原因，因为如果你真的知道polymorphic virus infection的话，都知道我为什么这么说。用Notepad把它截下来，也就是先用Notepad.EXE run那些virus的code... 完全做不到你所说的 “每当电脑病毒太严重的附在Exe file里，就只有靠这个方法来阻止病毒运作”，而且接下来的这个“通常我们会使用“RUN”功能来启动我们要用到的软件，或者直接使用 Command Prompt来执行。”也变成无稽之谈。



至于你说的流程，解释不了我觉得有问题的地方...

首先我不是指不用经过CMOS，而是有个更正确的“东西”才到MBR，那就是BIOS。



至于接下来还有问题的，就是Shell -> Explorer这儿

Explorer本身就是Shell，写成这样不就是误导别人？其他在MBR至Windows开始run default shell之前的，我当作老大跳过了，所以那些就对我来说不是个问题。



至于其他的“方法”，我记得我在很久以前就给了你们Link说哪儿可以学这些东西。你可以去那边参考。不方便说因为内容是保密的...

我们大家的着眼点都不一样，真的要辩下去会没完没了。不过，有讨论就是知识增长的机会，我们继续来吧～



首先，我和猪猪都是从服务顾客的方面考量。



有很多时候顾客把电脑带到我们面前时，并不会把应该保存好好的驱动带来，有的甚至早不懂得丢到哪个角落了，要Format可得先花好几个小时来找出驱动程序。



而为他们做备份可是不得已的情况之下才会做的事情。对于商务来说，时间就是金钱。现在的硬盘最少都是以40GB来计算，而且所谓的“重要文件”分分钟就是一大堆的MP3、Movie、游戏记录等等，要花费更加大量的时间来慢慢找。再者，顾客的记忆也是有限制的，别说万一我们忘了备份某个“重要资料”，就算是顾客当其时忘了告诉我们这些是重要的资料，在Format后他们依然是可以一口咬定说曾经说过，而问题多多。



Format一台电脑，在目前市价最多只能收取RM80~150之间的情况下，是不符合经济效益的做法。所以一般上我们会先考虑用其他方法把问题解决，而Format则是最后没办法之下才采用的手段。



再来说到CMOS，我真的想不起有哪台电脑是CMOS或BIOS独立运作的，所以一般上都会以CMOS来概括两者。这是工作上的习惯问题。



对于Shall和Explorer其实是完全分开的两回事。Shall是指整个系统的背后运作部分，如运算、记忆体操作、Services等等工作。而Explorer这里则指视窗界面，就是用户所能接触得到的部分。近期所发表的OS，全部都是使用完全分离的方法来设计的，所以在Vista或更新的OS上，我们不会再有Explorer崩溃就整个系统当掉的情况出现。



最后我只能说，在学校中很多时候我们得到的知识，是前人规范下来的产物，或者可以说是告诉我们“什么东西应该要怎样做”，是基础和规范。但实际工作时，我们很可能会面对不一样的情况，而有时候往往所需要使用的方法是和所读到的背道而行。

我是从“服务大众”方面着想。你要知道你在这里写的东西是给别人看的，所以不能写一些别人可能不会懂的东西。不然如果他们直接做而不知道如何复原，又找不到其他人帮忙时，到最后也只是reformat。也因为是给别人看的，所以如果给我看到会误导别人的文章时，我也希望别人可以纠正。



我不会因为对方的电脑因为中了Trojan罢了就叫他reformat。

如果你看回我写的，我指要reformat的是Polymorphic virus infection，而不是全部的infection都reformat。对付virus infection时要reformat也是情非得已的... 你自己到各个网站看看Virus infection的传染方式就可以知道为什么我建议reformat了（尤其是现在较出名的Virut和Sality）。



至于CMOS和BIOS，CMOS是Hardware，而BIOS是建在CMOS里的Software（或是应该说Firmware？）。我很注重用词，而且你也不能说Processor从Hardware那儿得到指令去看MBR；这就好像说“Processor会一直服从Harddisk给的指令”一样。。。



“Shall是指整个系统的背后运作部分，如运算、记忆体操作、Services等等工作。”

（我假设你是指 shEll，不是shAll）

错！那不是Shell的工作，你反而像是说到Kernel去了。

Shell是给用户和Kernel interact的工具，也可以说是Command Interpreter。本身不会执行命令，也没有直接做运算的工作（除了predefine command之外），而是需要用户的Input。

你到registry看时就可以看到Microsoft已经把default shell设置成Explorer.exe。



最后我也要说，我在这里学的东西，接近没有一样是从学校学来的，而且学校也不会教大家如何对付恶意软件之类的。我个人有大约两年的malware removal方面的经验（虽然里面有一年是training罢了）。所以我也知道如何帮别人去除malware，知道哪种方法才会是最好的。

只是不同的是，我做的是自愿工作，不收钱。

没回应了？

请尽快更改错误的地方，谢谢。

根据tanpang的回复，

我想老大你可以辞掉你在无敌的 IT Manager这个职位了，

我也可以辞掉我在公司IT support cum warehouse senior executive这个职位了，反正我们都只会些最Basic的东西，还有什么脸做这些职位啊 >"<



顺便叫Norton啊，AVG这些公司关闭吧，或者把CEO炒掉，叫tanpang上位，哈哈哈哈哈哈！

tan pang，你与人沟通方面的对话程式需要改善。

如果你还继续这样与人沟通的话，我就老实地说吧：这方法简直蠢极了... 不止帮不了，反而还会害了你自己...

如果质疑我的能力，那还不用紧；即使不更改，那我也只希望其他人可以看到我的留言。但现在却已经变成了针对我的骂战...



我在这儿只是想讨论Computer Security方面的东西，“蠢极了“也是针对这方法说的，不是针对老大！但现在却扯到我的沟通方式去了？？



老大之前说的 “有讨论就是知识增长的机会，我们继续来吧～ “让我还想继续跟他讨论，但既然这里已经不再是讨论Computer Security的东西，那么我就当作我已经说完了我要说的东西。至于什么沟通方式的，学我的人不如学老大更好。

@tan_pang：其实我在Title就说明白了，这是笔记。我只是用来记载自己学到的事物，这不是评论，也不是教导他人如何去处理什么事情，也不是一个Howto。至于谁看得明白与否，这对我来说是不在考虑范围内的。自己的笔记是写给自己看的东西，如果有人想要了解清楚或指出谬误之处，我万分欢迎。



Shell（不是shall，感谢指正我的笔误），在这我的解释并没错误，的确是用于处理上面的工作，而Kernel的工作则是处于更加低阶的部分，例如与硬体的沟通。Explorer这里的工作只是一个操作转换界面，一个让用户操作的界面。你所说的Registry中的设置，其实就是告诉Shell在运作时用什么方式和用户沟通。



完整的一般电脑启动流程是：

Power On -> CMOS/BIOS -> MBR -> Boot Manager -> Kernel -> Shell/Service -> Command/Window Manager -> Auto Run



有关清除病毒的手法之类的，我们也已经有过多次的讨论了。但由于各别的观念、手法、认知等等都不可能一样，所以在这我就不想再继续讨论下去了。举个简单的例子：有人说Kaspersky好，但也有人说它是废物。我们无法要求所有人都认同我们的见解，所以在此打住。



@猪猪：说一个公道话，你这样说是稍微偏激了。



讨论问题时，每人都有自己的一套，既然别人不相信所提出的，有所异议这也是正常的。保持平常心，嗯？



@玉石：谢谢你的留言。在一个讨论的空间内，我们应该不要去衡量某人的沟通方式之类，这是非常针对性的。每个人都有自己的一套，如果沟通方面真的非常有问题，我会非常不客气的把它删除。如果要让别人知道自己的一些短处，或许在私下说会比较理想吧？

谢谢解释，但我已经没心情辨了...



只是有些东西补充，是用了这个command之后的还原法：



在用了这个command之后，如果使用者刚好把该Command Prompt给关掉了，那么他就再也没有办法把cmd.exe开回，执行复原指令。



如果发生上述情况，那么他还是有一个用CLI的还原法，那就是run: COMMAND.COM

COMMAND.COM是DOS环境下的shell，因为extension是COM，所以不受影响。



然后输入的指令是

ftype exefile="%1" %*



那开关引号只是“保险”。因为有些exe有空格，那么用开关引号就可以把它给放在%1这个variable里...

（但是，这是我个人的想法，我还没测试过没有开关引号的command）

如果海豚可以看得懂。。。

















安儿就会上树了！

XD

完全同意。

原来我们在同一个乡村出来的

很巧^^

我也是怡保红泥山出来～





恩～ 对～～ 报纸已经信不过了

唯有靠大家的努力

团结的博客力量会是很强的

哦？原来我们是老乡啊？



我是万里望。

所以现在他们就是『邀请』这些高官们到他们那儿住一个月看看啊～

蚂蚁二周年你一定不能缺席哦！

你向我要了小苏的电话及说出某人买不到火车票。。。XP

那小子...!!!!

好心没好报!!!

那两个家伙中途落跑了。。。

他们私奔了？？？

没关系，期待下来的蚂蚁二周年聚会吧！

原来你还在～～

看来你得先请好假了。。。



蚂蚁二周年庆会在8月2号举行。



（另外请到后台改一下你的链接位置啦～）

昨晚我一直掉线啦～



是给薇薇逼着才硬硬上载的说～

妈咪我也要照片～

不只是我啦～卡娃也有出一份的说～



要感谢她。

那个kaki叫阿罪。。。。zkyea

我只是传播知的权利而已。。。

看来是Bing修改过了。



用我提供给IE的链接好了。

没啦～怎么会有？

。。。小心你哥看到这。。。



XD

应该是被紧急改版了。



试试我给的IE链接。

我没装Safari，不晓得会怎样呢？

今天好像不見了，那個porn的字眼搜尋不到了

别看太久～～～

放心。。。我会慢慢看的！！

。。。你这是第一次称赞我了。。。



XP

就是很想扁你！！！

老大，看了你给阿花的解说后，我也发现两张照片的不同了，可是哪一张是原创的？

这样的技术通常要用在哪里？有什么作用？

好咯，老大给的贴士一定没问题的，但迟些才用，现在要赶着出门了。

两张都不是原创的。。。