反病毒软件和影子还原软件混用

零、写在最前面：

本文已经写得像是Windows操作系统了，补丁落补丁的，不建议没有耐心的朋友来看。

有人会问，需要这么麻烦吗？

如果你是一个网吧的网管，或者一个小公司的技术支持科的工作人员，或者你喜欢给你身边的朋友们安装新软件——那就是得这么麻烦才保险，才对得起你的老板，你的同事，或者你身边的朋友对你的信任>.<

如果你不是上面这三种人，千万别看这篇老太婆的裹脚布（又长又臭）的文章。

毕竟，电脑是用来使用的，不是用来研究如何与病毒进行无限制地攻防战的！

我不会再更新这篇文章了，再更新下去，心理医生所说的，我的强迫型人格障碍会越来越加重的。

另外，本人从初三第二学期开始，就因为心理问题和种种问题辍学至今，当宅男大概10年了吧。

但是我初一的时候也得过全国中小学生作文大赛三等奖的（可惜全国得三等奖的有好几十个，这奖不值钱）

——所以本文在逻辑上应该不会有重大问题，

只是涉及到了电脑技术方面的文章，估计没几个人有办法把它写得又通俗易懂、又能解决所有问题，还风趣幽默吧？

影子系统




一、首先，硬盘分区如下：

1、C盘装系统（打好安全补丁）以及反病毒软件；

2、D盘装不用经常更新的绿色小工具软件，以及大型工具软件；

3、E盘中安装经常更新的软件；

4、F盘用来保存软件安装包和下载的电影等等。

二、其次，保护措施是“影子系统类”动态还原软件加反病毒软件，有三种思路。

A、追求简单方便的思路——相信这也是网吧或者小公司的电脑办公用户会采用的方案：

(1)、“只有”C分区长期用影子模式保护起来；

(2)、反病毒软件装在D盘，但是D分区不用影子进行保护。

反馈信息：

该思路的实践者是gambler（深度论坛反入侵区正式会员，感谢他的消息），他亲身用RVS++nod32+EQ尝试过这个方案，长达一年。

其主要缺点是在每次升级后，杀毒软件里显示的病毒库的更新日期都没有变化，

但这并不会影响到杀毒软件的正常使用。

B、追求最大化的稳定、可靠的使用思路——这是一部分个人用户，包括我自己在内的使用方案。

(1)、反病毒软件装在C分区——因为越靠前的分区读取速度越快；

(2)、平时不要开启影子模式——因此反病毒软件的正常升级从理论上来说不会受到任何影响；

(3)、平时上网就使用具有一定防毒能力的IE外壳类浏览器，比如世界之窗2.x版——不怕麻烦且愿意尝鲜的可以去用Opera、Fire Fox。

(4)、在安装新软件的时候，手动启动你的影子系统类软件，把C、D、E分区都保护起来，如果装好后没发现什么问题，就保留这次的修改——如果装好后发现不好用，有毒或者有兼容性问题，就热启退出影子模式，还原一切变化。

反馈信息：

“荔枝狐狸”（反入侵区版主兼HIPS资深玩家，感谢她提供的消息）推荐使用影子卫士（Shadow Defender），影子卫士支持手工转储、自定义需保护分区，这种使用思路基本上是没有问题的。

我自己用的是国产的影子系统2.8.2，它不支持手工转储和自定义需保护分区，只是当初下载的是永久免费的官方版——总是舍不得卸载罢了。

-------

C、试图在简单使用和稳定可靠之间寻找一个平衡点的思路——没有人实践过，纯属我的一个构思：

(1)、反病毒软件装在D盘，并且开启它的自动升级功能；

(2)、影子系统类软件长期打开，同时保护C、D两个分区；

(3)、在影子系统类软件中进行设置，将反病毒软件的病毒库文件所在的目录设定为监控并且能够“手工转储”的目录；

(4)、每天在反病毒软件的多次升级过程中，您都不用怎么去管理它，只在您每次关机或热启时，影子系统类软件是否需要手工转储（那个病毒库文件所在的目录内发生的修改时），选择“是”就可以了；

热启动



(5)、有时反病毒软件会在某次升级后，提示您“需要热启计算机，本次升级才能生效，是否立即热启”。

我猜测这时它对它添加在C盘系统中的某些驱动程序级组件进行了修改，

因此这时进行热启的话，

a、如果在影子系统类软件中选择“不允许保存”C盘上所发生的修改，那么反病毒软件的这次升级就会失效；

b、如果在影子系统类软件中选择“允许保存”C盘上所发生的修改，那么就有可能把本次开机后，电脑所感染的某种未知的木马程序也保留了下来。

所以我的想法是：

I、现在反病毒软件给出的升级提示中选择“否”，不热启计算机；

II、而后在影子系统类软件中选择“不允许保存”C盘上所发生的修改，也“不允许保存手工转储”目录中所发生的修改——即让反病毒软件这次的升级行为彻底失效；

III、热启计算机后进入正常模式，重新升级反病毒软件一次（像这种需要热启后才能生效的“大型”应该不会天天碰到吧？）；

IV、还得热启计算机一次，以确保“反病毒软件”的这次大型升级成功完成。

V、如果你用的是“荔枝狐狸”推荐的影子卫士，那么恭喜你，你可以在不热启的情况下马上进入影子模式

——如果你用的是“影子用户”（Shadow User），那么为了再次进入影子模式，你还得热启一次计算机>.<

各种安全方案就是这样，无法同时达到安全、方便、稳定可靠这三个特点——这是一个伟大而永远无法实现的梦想。

另外、我个人比较推崇迅雷的安全中心，在下载的同时调集整个“迅雷网络”中其它网友的杀软扫描结果，能在一定程度上查出常见已知病毒。

三、一些补充：

1、“桌面、快速启动栏、开始菜单、我的文档，IE收藏夹”这些目录只要放在非C盘就好。

“桌面、快速启动栏、开始菜单”中的快捷方式，凡是能正确地指向绿色软件的，那么它们一般就能正常使用，不论你用Ghost还原几次系统都可以用下去。

2、据“风云三号”说，Ghost大概从8.3版开始支持NTFS分区，在备份C盘时不会保存虚拟内存缓冲文件（即使保存了，那种文件也很容易被压缩到最小）。

3、据“jr21066”介绍，虚拟内存分页文件最好按默认放在C盘，以提升系统的运行效能。

4、用Ghost备份出来的那个镜像文件包平时放到哪里？

a、刻录成光盘最好；b、其次是U盘（“柴子”的建议）；c、最后就是把它放在硬盘上的最后一个分区中，以尽量降低对高速分区的空间的占用——硬盘上越靠前的分区存取速度越快。

5、据“358号工程师”介绍卡巴斯基在升级后有时会改写注册表、据“jr21066”和“柴子”分别说明，微点主防和德国的小红伞也有同样的情况。所以反病毒软件在升级时会修改注册表这个结论应该是一个广泛存在的现象。

----

四、一些后续的说明及疑问：

1、针对思路A：

(1)、RVS是什么，消息不灵通的我还真的不知道，估计也是某种磁盘还原软件（建议版主搞一个常见的缩写字母大全快速查询表，以方便新来的菜鸟）；

(2)、nod32是一种杀毒软件，不是诺顿哦。我前些日子一直以为它是诺顿的某个版本（居然连个中文名都不起）——支持它的高手说它的系统资源占用率非常低，而且有中文界面；反对它的高手说它的病毒库中缺乏中国地区的木马样本——我都不知道该听谁的……

(3)、EQ是“E盾”，就是超级兔子系统优化软件里的那个“魔法盾”（支持三防），是一种手工的HIPS（主机入侵防御系统，有人也称之为动作报警器）。

想去下载它试用的用户请注意，据说它的3.41正式版，以及4.0的第二个测试版（BETA2）比较稳定，为了减少碰到意外事件的机率，“荔枝狐狸”建议去下载这两个版本。

作者鸣谢



2、针对思路B的一些补充：

(5)在需要安装一个新软件前，把你的扫描型反病毒软件的“启发式扫描”功能开到最大，同时打开扫描压缩包的选项（这个应该可以设定为一种右键快捷扫描方式吧？），扫描该软件的安装包——这个步骤可以过滤一部分已知病毒和未知病毒了；

(6a)、有较强电脑应用知识（能大概分析出一个软件在C盘中所进行的动作是否有害）的用户，可以打开反病毒软件中的HIPS功能模块，并开到最大，

或者直接使用一个独立的HIPS软件，然后在其监控下，安装新软件——这个步骤可以过滤大部分的，没有明显发作效果的未知木马

——不过采用它的前提是你在信息安全方面的知识达到了较高的水平；

(6b)、电脑应用知识较差的用户，如果希望更安全，可以使用智能化的HIPS，然后在其监控下安装新软件，比如国产的MP（微点）、国外的DW和TF——其安全性可能会差一些，不过误报率和无拦截率就会降低。

DW和TF是什么，消息不灵通的我完全不清楚。

------

五、鸣谢。

感谢“荔枝狐狸”(反入侵区版主兼HIPS资深玩家)、

和正式会员“柴子”（HIPS资深玩家)、

“gambler”（HIPS资深玩家，以上三者均来自深度论坛），

“358号工程师”（来自卡巴斯基官方论坛），

网友“风云三号”（Linux系统爱好者，QQ上认识的），

还有电脑&数码区版主“jr21066”（来自微点官方论坛）等高手们提供的意见和建议，他们为本文的这个版本贡献出了许多的智慧和创意，

让我们这些菜鸟为他们思想中的闪光而喝彩。

另外，本文的基础构思是深度论坛的“上官婉儿”提出来的，我只是在进行不断的“打补丁”的工作而已，

希望有后来者继续对其进行完善……

——我们对于技术、安全，与性能的追求，是永无止境的！