close
在我處理的問題當中,有很多問題都是防毒軟體無法正常安裝的情形。通常我在聽了對方的敘述之後,有將近一半以上的機會我會回答可能是因為中毒的原因才會導致無法安裝。或許有些人會認為我在推卸責任,把所有的問題都推給病毒,不過在看了以下的案例之後,希望能給大家一點新的想法。
其實我不只一次遇到這樣的案例了,起初我也認為可能是防毒產品本身的問題,產品安裝到最後總是失敗,這樣的情形相信一般人都會歸咎為產品本身的問題,或是有舊版的防毒軟體未移除乾淨,相信即使是原廠的技術人員也會如此認為。因此我不斷的在各類的官方文件以及安裝紀錄中找尋答案,甚至請原廠的技術人員協助,但是都無法找出真正的原因。
在我的認知中,Windows 系統主要由 "登錄檔" 以及 "檔案" 這兩種東西組成,當我們安裝一套軟體時,會將重要的元件寫入登錄檔中,使得系統透過登錄檔來呼叫特定的檔案,達到一定的目的,所有的設定幾乎都逃不過這個原則。因此當發生任何問題時,我會認定是登錄檔被更動造成防毒軟體無法正常寫入才會發生問題,於是必須從登錄檔來著手。
假設,更動登錄檔是惡意程式的傑作,因為我相信正常的的程式不會隨便去動到不該動的東西,當然偶爾會有例外,但是那很少見的。那惡意程式會更動的地方,通常一些第三方的小工具就能夠處理。所以當我用小工具去檢查時,就看到了在登錄檔中多了以下這樣的內容:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navapsvc.exe]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
熟悉防毒軟體的人一看就會知道,這三行內容都是跟防毒軟體有關,而 svchost.exe 也是 Windows 重要的元件之一。也就是說,有人將防毒軟體的元件透過登錄檔指向 svchost.exe,使得防毒軟體無法正常安裝運作。另一個案例則是將這些元件指向一個惡意的程序。
當然這只是我看到的一部分,在我遇到的案例中,病毒幾乎將市面上常見的防毒軟體元件都列進來了,其中還包括一些常用的系統小工具,也就是說病毒除了不希望讓防毒軟體能正常運作外,也不希望使用者能夠透過一些小工具來修復這個問題。由此可見現在病毒的手法的確越來越多變複雜,也越來越難防護。
所以,下次若遇到無法安裝防毒軟體的情形,記得也檢查一下是否有可能中毒或曾經中過毒。雖然不是所有的問題都跟病毒有關,但是病毒已經成為面對端點問題時不得不考慮的一個重要選項。
其實我不只一次遇到這樣的案例了,起初我也認為可能是防毒產品本身的問題,產品安裝到最後總是失敗,這樣的情形相信一般人都會歸咎為產品本身的問題,或是有舊版的防毒軟體未移除乾淨,相信即使是原廠的技術人員也會如此認為。因此我不斷的在各類的官方文件以及安裝紀錄中找尋答案,甚至請原廠的技術人員協助,但是都無法找出真正的原因。
在我的認知中,Windows 系統主要由 "登錄檔" 以及 "檔案" 這兩種東西組成,當我們安裝一套軟體時,會將重要的元件寫入登錄檔中,使得系統透過登錄檔來呼叫特定的檔案,達到一定的目的,所有的設定幾乎都逃不過這個原則。因此當發生任何問題時,我會認定是登錄檔被更動造成防毒軟體無法正常寫入才會發生問題,於是必須從登錄檔來著手。
假設,更動登錄檔是惡意程式的傑作,因為我相信正常的的程式不會隨便去動到不該動的東西,當然偶爾會有例外,但是那很少見的。那惡意程式會更動的地方,通常一些第三方的小工具就能夠處理。所以當我用小工具去檢查時,就看到了在登錄檔中多了以下這樣的內容:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navapsvc.exe]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
熟悉防毒軟體的人一看就會知道,這三行內容都是跟防毒軟體有關,而 svchost.exe 也是 Windows 重要的元件之一。也就是說,有人將防毒軟體的元件透過登錄檔指向 svchost.exe,使得防毒軟體無法正常安裝運作。另一個案例則是將這些元件指向一個惡意的程序。
當然這只是我看到的一部分,在我遇到的案例中,病毒幾乎將市面上常見的防毒軟體元件都列進來了,其中還包括一些常用的系統小工具,也就是說病毒除了不希望讓防毒軟體能正常運作外,也不希望使用者能夠透過一些小工具來修復這個問題。由此可見現在病毒的手法的確越來越多變複雜,也越來越難防護。
所以,下次若遇到無法安裝防毒軟體的情形,記得也檢查一下是否有可能中毒或曾經中過毒。雖然不是所有的問題都跟病毒有關,但是病毒已經成為面對端點問題時不得不考慮的一個重要選項。
by Danny Lan
全站熱搜
留言列表
