不知道這個是不是bug還是怎麼樣的


如果是bug的話可能就要請阿一大回報給卡巴一下了

我這邊測試是這樣

毒我已經清了。現在系統是完全無毒的狀態

而測試方式如下：

將c:\windows\system32\dllcache\tdi.sys改名為tdi.sy
在將c:\windows\system32\drivers\tdis.sys改名為tdi.sy

然後會跳出檔案保護的視窗，按下否
此時會tdi.sys檔案就消失

好，此時系統理已經沒有毒了，卡巴也重新安裝並更新到最新的狀態

重開機後

卡巴就顯示駭客防護失效。

不知道有沒有人可以順便測一下的。

不過話又說回來....tdi.sys都掛了連網路也連不上駭客防護會失效很正常的吧

[ 本帖最後由 sylovanas 於 2008-9-16 15:23 編輯 ]

這不是bug
因為你用的是explorer.exe的信任權限來修改tdi.sys
tdi.sys是系統用來控制硬體的一個驅動
正常情況沒有惡意軟體能夠隨意變更tdi.sys
而且我懷疑你的系統不正常．．．
因為正常情況下變更tdi.sys或者是刪除它
它會馬上重生，不應該會像你這樣出錯．．

引用:

原帖由 ㄚ一 於 2008-9-16 16:36 發表
這不是bug
因為你用的是explorer.exe的信任權限來修改tdi.sys
tdi.sys是系統用來控制硬體的一個驅動
正常情況沒有惡意軟體能夠隨意變更tdi.sys
而且我懷疑你的系統不正常．．．
因為正常情況下變更tdi.sys或者是 ...

沒錯!
刪除正常的tdi.sys
系統會再生tdi.sys

我知道那檔案是重要檔，是傳輸驅動程式介面 Transport DriverInterface (TDI)

一般情形是這樣沒錯 ，因為系統檔案保護的關係 ( WFP，Windows File Protection )
這我也知道

只是剛好想到會不會因為就是他被刪除所以讓駭客防護失效
至於系統有問題的話.....我這邊只有10台電腦，每一台我都這樣做檔案都不會還原
我想應該不會10台都有問題吧？以我上面的操作來說，中毒的情形就沒辦法測那麼多
頂多我這邊虛擬機環境兩個作業系統而已，不過是一樣的情形。

我這邊沒先將dllcache\tdi.sys移除掉的話一樣該檔案刪了就補回去了

所以我才說先刪除dllcache\tdi.sys (將被份還原的檔案先刪除)
在刪除drivers\tdi.sys
這樣因為沒有還原檔案所以就要你放入光碟片還原
那按下否之後這東西就確確實實的不會還原了

不過系統正不正常....這我也不清楚
兩個虛擬環境都被我操的很慘。不過基本運作是ok的就是

tdi.sys被壞不能聯網
這樣對病毒設計者一點好處都沒有
駭客防護我想是依賴tdi.sys的吧
不能聯網少了駭客防護也沒有什麼損失