Skocz do zawartości


Zdjęcie

Usuwanie wirusów z systemu Windows metodą Live CD


  • Zamknięty Temat jest zamknięty
Brak odpowiedzi do tego tematu

#1 ykoops

ykoops

    Stały użytkownik

  • 377 postów

Napisano 26 10 2006 - 15:03

Prosty (chyba się to nie udało tak do końca) opis przeprowadzenia skanowania partycji ntfs na obecność wirusów i trojanów.
Potrzebne oprogramowanie:
1. Slax - Live CD Linux - %5dwersja%205.1.8%20%20-%20192%20M
2.Avira20AntiVir wersja Workstation for Linux/BSD - 30 MB
Potrzebne nośniki:
1. CD-R/CD-RW do wypalenia obrazu Slaxa
2. *Pendrive lub CDR/RW w celu przeniesienia pliku instalacyjnego AntiVir.
*- nie wymagane jeśli system, który chcemy skanować działa. Plik instalacyjny antywirusa możemy zapisać na partycji i uruchomić go po zabootowania slaxa. W przypadku całkowitego padu systemu plik instalacyjny kopiujemy z innego komputera na pendrive'a lub wypalamy na płycie.

Pobieramy Slaxa, jest to obraz płyty w formacie .iso (dostępny przez ftp, http i jako torrent). Przy użyciu oprogramowania do wypalarki (np. nero) wypalamy obraz płyty. WAŻNE! Wypalamy obraz (nero: menu "Plik" -->Otwórz --> podajemy lokalizację pliku Slax1.5.1.8.iso) we właściwościach kompilacji zaznaczamy "zamknij sesję" i tryb "DiscAtOnce (DAO)". Częstym błędem jest wypalenie płyty jako krążka z danymi (w nowej kompilacji przez przeciągnięcie/dodanie pliku .iso - NIE TWORZYMY KOMPILACJI CD-DANE.
Pobieramy plik instalacyjny antywira, zapisujemy na dysku lub jeśli ściągamy go na innym komputerze kopiujemy na pendrive'a lub CD-R.

Bootowanie, montowanie partycji NTFS, instalacja AntiVira
1. Wkładamy CD ze Slaxem do napędu, wchodzimy do BIOSu i upewniamy się, że jako pierwsze urządzenie bootujące mamy ustawione CD, w razie potrzeby zmieniamy "First Boot Device" na CD-ROM. Wychodzimy z BIOSu zapisując ustawienia.

2. Komputer zaczyna bootować się z CD, pojawia się ekran z logo w postaci koniczynki. Na samym dole widoczny jest wiersz polecenia "Boot:" jeśli instalkę antivira mamy na dysku twardym lub mamy dostęp do internetu przez kartę sieciową (czyli w razie potrzeby plik bedziemy mogli ściągnąć z sieci) nic nie naciskamy i przechodzimy do pkt.3. Wiersz polecenia pojawia się na 4 sekundy i jeśli nie naciśniemy jakiegoś klawisza po tym czasie rozpocznie się start jądra systemu. Jeśli kopię instalki antivira mamy na CD-R a nasz komputer ma tylko jeden napęd oraz więcej niż 320 MB pamięci RAM możemy przenieść system do pamięci i uwolnić w późniejszym etapie napęd CD. W ciągu wspomnianych 4 sekund system oczekuje na wpisanie cheatcode'a czyli polecenia modyfikującego start systemu. Licznik czterech sekund zatrzymuje się w momencie naciśnięcia klawisza np. "s" i nie musimy się już spieszyć :P, wpisujemy polecenie:
slax copy2ram
System po wczytaniu plików do pamięci "wypluje" nam CD ze Slaxem i będziemy mogli w jego miejsce włożyć CD-R z instalką antivira.

3. Czekamy na zakończenie bootowania, po wczytaniu potrzebnych plików, wykryciu urządzeń zainstalowanych w komputerze pojawi się powitalny ekran teksowy z koniczynką w formie zielonego ASCI, w wierszu polecenia na dole ekranu logujemy się wpisując jako login "root" (odpowiednik Administratora w Windows) a jako hasło "toor". Wiersz polecenia przyjmie postać "root@slax:~#" wpisujemy:
xconf - polecenie automatycznej konfiguracji karty graficznej, rozdzielczości ekranu itd., obraz może trochę poskać zanim pojawi się komunikat o pomyślnym zapisie konfiguracji.
startx - polecenie startujące środowisko graficzne

Odczekujemy chwilkę aż załaduje się nam pulpit KDE (okienka zbliżone wygladem i funkcjonalnością do Windowsa). Efekt finalny wygląda tak:

Dołączona grafika

W górnym lewym rogu pulpitu mamy 2 ikonki "home" i "system"

Dołączona grafika

Jeśli system Windows znajduje się na partycji typu FAT32 przechodzimy do punktu 5.

4. Klikamy 2x na "System", otworzy nam się okno Konquerora (odpowiednik Explorera)

Dołączona grafika

Klikamy na "Storage Media", otworzy się nam dostęp do partycji, CD i stacji dyskietek. Partycja systemowa C: oznaczona jest tutaj jako "hda1" (hda - partycja na pierwszym dysku, "1" - aktywna podstawowa partycja systemowa Windows, "5" - partycja rozszerzona czyli "D:" itd., drugi dysk jeśli jest podłączony będzie nosił analogiczne oznaczenie "hdb_"). Zaznaczamy partycję systemową i klikamy prawym klawiszem myszki, w menu kontekstowym wybieramy "unmount". Spowoduje to "odmontowanie" partycji ntfs, do której domyślnie mieliśmy dostęp tylko w trybie odczytu (a więc bez możliwości usuwania plików). Ikonka partycji powinna stracić zielony trójkąt jak na poniższym obrazku:

Dołączona grafika

Teraz musimy ją ponownie "zamontować" w trybie odczytu/zapisu za pomocą polecenia ntfs-3G
Klikamy na ikonę konsoli w pasku szybkiego uruchamiania (czarny prostokąt z ">_")

Dołączona grafika

W oknie konsoli wpisujemy polecenie ntfs-3g /dev/hda1 /mnt/hda1,

Dołączona grafika

po naciśnięciu "enter" jeśli wszystko zadziała nie pojawi się żaden komunikat, natomiast w oknie Konquerora do ikonki partycji hda1 powróci zielony trójkąt oznajmiając nam zamontowanie partycji w trybie zapisu/odczytu.

5. Czas na odszukanie i wypakowanie AntiVira, jeśli mamy go na pendrive'ie podłaczamy go do USB, system wykryje urządzenie i jego ikona pojawi się w "Storage Media", jeśli mamy go na CD - wkładamy płytę do napędu i klikamy na ikonę CD/DVD, jeśli plik znajduje się na partycji hda1 lub hda5 odnajdujemy go. Instalka to archiwum w postaci pliku tar.gz, dwukrotne kliknięcie spowoduje uruchomienie programu Ark i da nam możliwość zajrzenia do środka :( w celu wypakowania zawartości klikamy na ikonę paczki ze strzałką do góry:

Dołączona grafika

w okienku podajemy gdzie program ma wypakować pliki, najlepiej niech zrobi to na pulpit czyli klikamy na ikonke folderu i w otwarym okienku po lewej wybieramy "Desktop". Na Pulpicie pojawi nam się folder o nazwie "antivir-workstation-pers-2.1.8-36", otwieramy go.

6. W folderze znajduje się skrypt o nazwie install, musimy uruchomić go z konsoli. W menu okna folderu w sekcji "tools" znajduje się polecenie "open terminal", wybieramy i w otwartym okienku konsoli wpisujemy

./install

prefix "./" informuje system, że plecenie install ma zostać odczytane i wykonane w tym katalogu. Rozpoczyna się instalacja:
- w pierwszym zapytaniu naciskamy "Enter"
- przedzieramy się do końca umowy licencyjnej naciskając kilkakrotnie spację
- na pytanie czy zgadzamy się z warunkami umowy naciskamy "y" i enter
- na zapytanie gdzie znajduje się klucz produktu "hbdev.key" naciskamy tylko enter
- na zapytanie czy instalować "update deamon" odpowiadamy "n" - zrobimy aktualizację recznie
- na zapytanie o AvGuard odpowiadamy "n" - nie potrzebujemy w naszym przypadku stażnika
- na zapytanie o instalację GUI odpowiadamy "n" - nie mamy czasu na ściaganie i instalację Javy
- na zapytanie o konfigurację "AvG updater" odpowiadamy "n"

Zainstalowaliśmy Avirę AntiVir w systemie :(

7. Jeśli łączymy się z internetem za pomocą karty sieciowej możemy dokonać aktualizacji bazy wirusów. Slax obsługuje DHCP i jeśli nasza sieć na to pozwala odczytuje wszystkie parametry (IP, maska, brama, DNS) automatycznie. Jeśli nie mamy w swojej sieci serwera DHCP możemy ręcznie skonfigurować/poprawić nasze połączenie sieciowe. W tym celu klikamy na "Home" i uruchamiamy "Set IP address", wpisujemy wszystkie potrzebne cyferki. W przypadku połączeń modemowych i bezprzewodowych niestety nie pomogę, każdy przypadek/urządzenie wymaga indywidualnych instalacji sterowników i konfiguracji połączenia. Paczka instalacyjna zawiera świeże bazy wirusów, aktualizacje przez internet dotyczą okresu góra 2-3 tygodni, więc i tak nie jest źle :P. Jeśli mamy połączenie z internetem (wystarczy w Konkuerorze wpisać adres jakiejś strony i sprawdzić) w oknie konsoli wpisujemy polecenie:

antivir --update

program sprawdzi obecne wersje i dociągnie nowsze pliki.

8. Skanowanie: obsługa AntiVir z linii poleceń może wystraszyć początkujących..., ale jest ograniczona do jednego polecenia i kilku przełączników:

antivir [-przełącznik] [--przełącznik] [katalog do skanowania]

część opcji przełączników wymaga "-", część zaś "--" jako prefixu, zawsze można posiłkować się pomocą samego programu wpisując:

antivir -h

w efekcie otrzymamy pełną listę poleceń i kody błędów

W praktyce najczęściej stosowaną kombinacją jest:

antivir -s -z -del /mnt/hda1

co oznacza, że antivir ma sprawdzić partycję hda1 (partycje jak i pozostałe urządzenia pamięci masowej zamontowane są w katalogu /mnt/ - zwracam uwagę na "/" w odróżnieniu od windosowskich "\" dla ścieżek). Przełącznik "-s" powoduje przeszukanie wszystkich podkatalogów na partycji, "-z" wymusza skanowanie wewnątrz archiwów .zip. .rar .cab - może to bardzo wydłużyć skanowanie. Przełącznik "-del" wymusza kasowanie plików wirusów oraz zainfekowanych plików nie dających się naprawić. jesli ktoś obawia się kasowania plików może zrezygnować z tego przełacznika, program w raporcie poda jedynie lokalizację do wykrytych wirusów i trojanów. Bezpieczniejsza może być zmiana nazwy zarażonych plików, w takim przypadku zamiast "-del" wpisujemy "-ren". Osoby dociekliwe mogą pobawić się z innymi opcjami jak heurystyka, skanowanie plików skrzynek pocztowych itd.

9. Jeśli chcemy zakończyć naszą przygodę ze Slaxem, naciskamy Start (ikona K), logout, potwierdzamy, gdy pojawi się czarny ekran konsoli naciskamy Ctrl+Alt+Del i czekamy na wyłączenie komputera/restart.

Informacje końcowe:
I. Jeśli bootujemy Slaxa na komputerze z myszką szeregową musimy po zalogowaniu się jako root wpisać komendę:
ln -sf /dev/tts/0 /dev/mouse (zwracam uwagę na "0" - ZERO)
utworzy ona link do urządzenia na porcie szerowym 0 o nazwie "mouse", pozwoli to nam na używanie myszki (po załadowaniu KDE trzeba troszkę poruszać prawo-lewo i poczekać na "obudzenie" się myszki).
II. Jeśli Slax zawiesza się w trakcie bootowania na etapie wykrywania urządzeń możemy w czasie startu w linii "boot:" wpisać cheatcode'a wyłączającego tę procedurę:

slax nohotplug

Niestety nie będą nam działać urządzenia takie jak karta dźwiękowa, karty sieciowe itp.

III. W poście przyjmuję w opisach i komendach, że system Windows znajduje się na partycji C: pierwszego dysku i w Linuksie odpowiada tej partycji nazwa "hda1". Najprostszą metodą ustalenia właściwej nazwy jest sprawdzenie zawartości partycji w Konquerorze ;).
IV. Pomimo świeżego jądra 2.6.16 mogą występować problemy z obsługą niektórych dysków SATAII
V. Zmian w strukturze plików partycji NTFS podejmujecie się na własne ryzyko, mimo iż NTFS-3G jest w wersji beta2 wydaje się być stabilny i bezpieczny, posiada zabezpieczenia itd. ... różnie jednak bywa z tym bezpieczeństwem w przypadku systemu plików NT, nie jest to jednak aż tak ryzykowne jak jeszcze pół roku temu :(.

Edit 06.02.2008
Autor dystrybucji porzucił pracę nad wersją Slaxa 5.x.x, jest ona nadal do ściągnięcia na mirrorach np. http://merlin.fit.vutbr.cz/mirrors/slax/SL.../slax-5.1.8.iso

  • 0

Zobacz więcej tematów z tagiem: Avira AVG



Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych