向各位大大討教關於系統的問題！

jerry20530

huhiha 發表於 2016-6-26 21:14
其實我弄PE、系統備份倒不是怕病毒，主要是怕系統性能越來越慢，另一個也是因為第一次做這方面的事情，想 ...

如果是怕慢 一般用ssd 效能下降都會用secure erase 會讓速度變快
但需要整顆資料抹乾淨 裝pe沒意義

如果是怕系統跑出太多垃圾 事先備份乾淨的系統才有差異
覆蓋乾淨系統回去 這樣對執行效率才有改善 裝pe也沒功能幾乎用不到

勒索病毒很猖狂 你檔案被加密 pe就無法執行了 除非先解密 檔案才有讀取能力!!
而且一般防毒沒辦法檔 突變很快速

JonesLee

jerry20530 發表於 2016-6-27 09:20
如果是怕慢 一般用ssd 效能下降都會用secure erase 會讓速度變快
但需要整顆資料抹乾淨 裝pe沒意義

1. SSD 需要定期 TRIM，至於 SECURE ERASE 建議重灌時整顆做一次，可以加速系統安裝時間
但基本上除非 SSD 的速度從 550 掉到 200 以下，不然，做 SECURE ERASE 沒啥意義
2. 綁架病毒目前無法加密被隱藏磁區，但是未來不清楚
3. 目前已知 綁架病毒無法對 EFS 加密的檔案加密，但使用 EFS 有風險，必須事先備份復原憑證，否則一旦重灌被 EFS 加密的檔案就在也解不開了

阿達金田一

硬碟用 PE 最主要也只是做 還原 而以吧
別想的太多...就 還原 一個功能來說...就有裝 PE 的需求

不然 NB 本身的還原是無意義的 ? 也該砍一砍 ?
對部份人或情況來說是... 也許沒什麼意義
不過主要就是一個 方便 和 針對不太會的人... (安照說明書去還原總該會吧)

而大部份 桌機 因為沒有 NB 的 還原系統...所以只能自己 DIY ... 早期是用 SRC , Dos + Ghost
現在是用 PE 比較多... Win 本身也是用 WinRE

沒有所謂有必要無必要...只有看個人有沒有需要 ...
喜歡都 USB PE + 備份 ... 硬碟不放 PE 也可以
反之... 也有喜歡在 硬碟 上裝 PE + 備份 的... (方便而以)

的確 如果 硬碟PE 有問題...那就沒意義
但是發生任何問題情況時... 硬碟PE 都會不能用嗎

其實不是吧...
勒索病毒 檔案加密...那也要有加密到 PE 相關的檔案 或  修改 MBR 影響到開機 之類的
不然也影響不到 ... 至於其它病毒 ...  目前大多也是木馬較多 ... 主要是影響使用中的 Win
勒索病毒 加密 也大多是對 Win 可存取的 檔案 ... 針對某些 檔案類型 先做加密 ...
個人覺的...其實現在的 病毒 還是要依懶 Win核心 動作... 因為實際操作PC 的是 Win核心 ... 反過來說 病毒程式 也是 Win程式 而以
除了 病毒 完全直接使用 磁區 存取...自帶 檔案系統 判斷 , 加密 ...等等等 程序
不然很多都是直接透過 Win 在 存取檔案

所以... 隱藏分割 或 Win不支援的分割 就能擋掉不少病毒了...
當然如果只是在討論可能性...的確不管怎麼做 ... 只要是放在磁區上...只要病毒去搞磁區...那就是會出問題
但...那也只是可能性... 也不是 "一定" ... 就是有部份 病毒 會...也不是每一種病毒都會
光 勒索病毒 也都有好幾種... 也不是每種的動作都一樣
而大部份 病毒 變種 會越來越厲害沒錯... 但大多是為了提升 反阻擋 中毒率 傳播率

而且 各種 病毒 都會其行動模式...(就是看程式怎麼寫的)
即便是 勒索病毒 也有其行動模式... 但不外乎多是先對 Win 中的 使用者資料 / 可見分割 中 特定 檔案類型 先搞
當然故意把 備份 檔名 取 .jpg 之類的... 而且和 使用者資料 放到一起...故意給病毒加密... 那就沒話說了

老實說 硬碟PE 主要是在做 還原
而不是處理病毒... 不過大多數 病毒 頂多是 系統 出問題... 而影響不到 PE
所以大部份直接 還原 比 清毒 快方便一點 (由其對不會的人)...
而且 清完毒 ... 系統也未必就沒問題... 可能有些部份也是被損壞了...除了會自己還原/修復損壞部份

所以即然不是 中毒 硬碟PE 就掛了... 那為啥不能用
不是每個使用者都會 USB PE + 備份
自己會的可能還好... 若是幫人裝機... 也未必要每一個都幫他搞個 USB PE 吧...
大多也是 硬碟PE + 備份 ... 這和 NB 還原系統 就是一個意思而以
品牌機 的 桌機 有的也是有自己的還原系統 (現在很多都是用 PE 去做還原系統的)

像 我朋友 中毒 , 硬碟損壞(用久了...推測 軸承 讀寫頭 快壞了)
不管啥情況... 硬碟PE 都好好的... 硬碟 直到整顆壞了都不能用 之前...  PE 都還開的起來
所以不是隨便一種情況... 硬碟PE 就掛了
老實說...一般 硬碟PE +  備份... 多是備份 剛安裝好的 純淨系統
當然依人個想法或需求...會有差異
我個人都是 Driver , DirectX .NET FW , VC Redist 灌一灌就備份... 應用程式 因為有可能更新所以都沒在備份
不過幫人用...看人...有的 應用程式 會裝一裝 在備份...

當然多本身有 USB PE ... 也習慣用 USB PE 的人...硬碟PE 沒什麼意義
不過我個人是很懶的用 USB 開機... 硬碟有裝PE 情況下... 開機熱鍵 (Grub4Dos MBR 熱鍵) 就 進入PE 了
主要也是用在 還原 Win 或 Win問題 要用PE處理 時...
平常其實也用不太到... 因為有良好的習慣... 不中毒比較重要
我大概都是 系統 用久了... 感覺不穩不順才大概會還原一下
不過老實說...我覺的我的使用習慣還算好...

至於 SSD Secure Erase ... 其實有 TRIM 或 OP 夠大 ... 其實就還好 ... 不必特意去做
SSD 會掉速 大多沒 TRIM (例如 XP) ...  OP 又不大(只有1級OP)... 另外一部份原因是 晶片 管理比較差 (早期舊的晶片)
另外就是 使用者不太懂 ... 像是 SSD 沒做 OP 又把整個 SSD 空間用到快光光
容易 掉速 不說... WAF 也會比較大 容易 短命
( 所以不太懂的... 而且 空間 都沒在管理...常把 C: 用光的... 選 SSD 本身有 2級OP 的...會好一點... 那怕用 XP 沒 TRIM ... 至少還有 OP )

而 PE 本來就不會常用到...和 HD PE , USB PE 無關
HD PE 只是圖個方便... 只要問題不是嚴重要 PE 都開不了 ...

jerry20530

JonesLee 發表於 2016-6-27 10:24
1. SSD 需要定期 TRIM，至於 SECURE ERASE 建議重灌時整顆做一次，可以加速系統安裝時間
但基本上除非 SS ...

隱藏區 不見得安全 假如有病毒 沒被掃到
當你在修改隱藏區 還是有機會被感染風險
躲在其他分區 互相感染 這樣沒一塊是乾淨的

有風險才不建議 這樣安排 當然如果不怕 任何方式真的看人高興!!

阿達金田一

如果在 中毒 時去處理 隱藏分割 的確 有可能 中毒
問題是... 不是所有 病毒 的行為模式都一樣
我前面有說過... 其實 目前 很多病毒... 都是靠 Win在跑 本身也是 Win程式 (因為要在 Win核心 下執行)
所以很多 病毒 都需依賴 Win 本身的功能 或 漏洞...
而 病毒 的行為模式 可以預見的也有幾種
所以為什麼 防毒 軟體都有 行為 監控 ... 會把有 可疑行為 的 程式 提出警告 或是 當成病毒

老實說...若要光靠 病毒特徵碼 這種方式去阻擋...
可能 病毒碼 都要用 G 來計算... 因為 包(偽)裝病毒 實在太容易
如果 不把 包裝 的加入 病毒碼 ... 那又掃不到
所以現在大多是 監控 行為 ... 來判斷預防... 像 防火牆 也算是一種 監控
而不是光靠 病毒特徵碼 ... 大多是多種判斷機制混合(行為 , 雲端技術 等等)...
Win 本身的 執行身份 和 UAC 就算是一種 防止 監控 ...
只不過比較 78 而以(很多動作都會問)... 不過若是不懂的人...無法自行判斷 執行程式 是否安全的...建議 UAC 別關...
不過最終還是看 使用者 ... 不然就算有 防毒 , UAC ... 不懂的... 看都沒在看... 都只會按 是(Yes) ... 一樣中獎
所以基本的判斷能力還是要有的

0. 修改系統註冊 ( 主要作用 大多就是開機會動跑病毒... 或是 執行某些動作時會觸發病毒 )
1. 母子毒(包裝) ... 母毒 產生 子毒 ... 母毒本身只是用來制作 反阻擋 子毒  ... 只清 子毒 沒用 ... 而母毒 早期防毒軟體(只靠 病毒碼) 為 未必會掃到
2. 偽裝
3. 傳染

上面只是 病毒 本身 比較常見的行為
基本上 病毒 是 程式... 而 Win程式 就是一個 程式檔
不管是 .exe .dll .js .cmd ... 只要是能 執行 功能 的程式 ...
所以像 .jpg .rm .swf ... 也有 功能 能執行... 一樣會 中毒 (因為這些檔案一樣也是要 程式 去執行)
像是以前有 .jpg 病毒... jpg 是單純看圖... 但會使用 Win元件... 主要是引發 Win 本身的漏洞 ... http://chandler-bin.blogspot.tw/2011/07/jpeg-jpg-gif.html
而 .rm 允許包含 連網網址 自動連到該 網址
也就是看 影片 時 ... 會自動連到 病毒網頁 ... 然後就中毒了

不過 除了 勒索加密 比較會 影響 到 其它 資料分割區 檔案外 ... (不過那也是加密)
其它病毒... 除了有 傳染 行為... 不然是無影響 的
而且 傳染 行為... 也是要針對 可中毒 的檔案 ( 就是前面說的 .exe .dll .js .cmd .... 等等 )
檔案 本身要可以被修改成 病毒 ... (當然 偽裝 不算... 那種本身其實是 .exe 檔名 偽裝 成像 其它檔案類型 的不算 )
基本上... 傳染 大多是針對 .exe .dll 的程式檔

那 PE 會被 傳染 嗎 ... 這要看 用什麼 PE ... 和 PE 架構
首先大多數 PE 都是 用 RamDisk 來啟動... 而 PE 本身都是 可 RamDisk 檔 ( IMG , WIM ... 等等)
除非 病毒 會像 感染 壓縮檔內的檔案 ... 一樣...去 感染 RamDisk 檔 內的 檔案 ...
不然 RamDisk檔 ...本身不是 程式 ... 大多不會被感染
不過這類的病毒... 我是覺的並不常見

而 PE 架構...則是看... PE 若是有 外置 或是 外部檔案(程式) ...
也就是有 使用 的 程式 或 檔案 不是在 PE 本身中 ... 那的確 PE 也一樣會有 執行到病毒 的可能
但這和 PE 本身無關...

好吧...把所有可能性 ... 都考量一下... 在 中毒 時... 製做 PE (我是指為製作 PE核心 的... 不是只是別人做好的 PE ...只建構開機而以)
若 病毒 在 PE 中... 那不管放 HDD USB ... 一樣都會有毒 ...

說一堆
我不並是否決發生的 可能性 ... 只是在說其 機率大小 的問題
如果只有 10% 會遇到這些情況... 那至少遇到 90% 時... PE是可以正常運作的... 省的用 USB 開機
實際... 可能只有 5% 或更小 ... 當然 使用者 本身的 中毒率 也有影響
至少我個人是很少 中毒 ... 又剛好 中到 影響 PE 的 毒... 機率 實在太小
(不是 100% 有意義 ... 但也不是 100% 無意義)

就算 USB 也一樣有風險... 如果有 風險 就不建議... 那可能什麼都有 風險 都不要用好了

簡單說 中毒 是 使用者 防毒 問題... 和 PE 沒啥直接關係
而 中毒 是否 影響 硬碟PE ... 有那個可能 ... 但老實說我個人覺的不大 ...
至於 開機 被修改的情況... 那不算 PE 問題... 因為 Win 也會無法啟動... 只能說這時 硬碟PE 無用無意義...
但 PE 又不是要保證 所有 情況 都有意義 ... 可能只要其它情況下... 有意義... 可以用就好了

拿 傳染 程式檔 的 病毒 來說 ... 重點還是在 使用者 本身的 防毒意識 和 知識
傳染 最常反覆中將的就是... 例如
遊戲 放在 非系統分割區 ... 就算用 USB PE 還原系統
系統剛還原 是 無毒 ... 但若 遊戲 被 感染 ... 又去執行被感染的遊戲... 還是一樣會反覆中毒

所以 使用者 本身的 防毒意識 和 知識 ... 還來的比較重要
就算 PE 放到 可見分割區 ... 都不一定會有問題... 只是 機率大小 而以
而放 隱藏分割 ... 那怕 USB 那種 深度隱藏... 也不是 100% 沒問題沒 風險
那怕你再深度...病毒直接幫你 磁區 全都寫入 0x0 ... 一樣沒救

所以最終還是看使用者... 只要別在 中毒系統 接上 USB ...  USB 基本上也不會中毒 ... 是比較 安全無風險
但是...那個 USB 大概就只能當 "問題處理工具" ... 平常大概也不太會用到
若要當 備份工具 ... 可能每次備份 都還要先用 USB PE 開機...用 PE 去備份
不然 使用中的Win 都有 中毒 的 風險 啊

所以要不要用 硬碟PE... 還是看使用者需求
如果本身有在用 USB PE ... 意義 安全 至上... 那就不需求 硬碟PE ... (只要別主板剛好壞 USB 或 USB開機有問題)
反之如果圖方便... 加減用一下