无忧启动论坛

标题: 文件比较工具修复系统专用 2008.12.8 [打印本页]

作者: nn2nn 时间: 2008-12-6 21:36
提示: 作者被禁止或删除内容自动屏蔽

作者: zhhsh 时间: 2008-12-6 21:37
软件呢??????????

作者: CWD 时间: 2008-12-6 23:13
好啊！阿呆的新玩意出炉咯，拿下玩玩鲜。。。

作者: nn2nn 时间: 2008-12-6 23:20
提示: 作者被禁止或删除内容自动屏蔽

作者: lxl1638 时间: 2008-12-7 00:21

原帖由 nn2nn 于 2008-12-6 23:20 发表
只能自己执刀的玩意，为己为人。

你是通过哪种比较确定"修改文件"的？DM5校验还是CRC校验？

作者: wmjm 时间: 2008-12-7 02:24
好软件，测试一下，这样能节省很多时间，谢谢。

作者: wanghh 时间: 2008-12-7 06:47
原创很不错！~~~~~~~

作者: lxl1638 时间: 2008-12-7 09:36

原帖由 nn2nn 于 2008-12-6 23:20 发表
只能自己执刀的玩意，为己为人。

点子有玩意，但目前还需完善。
图是在WinPE下离线比较硬盘系统与WIM挂载目录的。
注：本人系统中某些文件或免疫文件已加了权限(前面说过)，以防木马修改或木马安装文件。
建议完善一下，这样的文件跳过，并将这类"无法读取"的文件加入列表。

另，你这个东东使用了何方控件？压缩后还有400多K。

[ 本帖最后由 lxl1638 于 2008-12-7 09:53 编辑 ]

未命名.PNG (33.47 KB, 下载次数: 80)

作者: hydro 时间: 2008-12-7 10:00
可惜我太菜了，继续关注学习

作者: aidixiao 时间: 2008-12-7 10:34
这个一定要收藏，很实用，谢谢分享！

作者: 凤凰之吻 时间: 2008-12-7 11:11
我一般是把wim文件映射到内存，然后totalcmd同步一下就OK了。感觉应该比这个方便吧。

作者: 421062724 时间: 2008-12-7 11:25
挺不错的貌似n大很久没怎么冒泡了~

作者: zhaohj 时间: 2008-12-7 11:35
主要是“原系统文件”难以准确保存，一些软件和微软补丁也会改变系统文件

作者: nn2nn 时间: 2008-12-7 11:38
提示: 作者被禁止或删除内容自动屏蔽

作者: nn2nn 时间: 2008-12-7 11:42
提示: 作者被禁止或删除内容自动屏蔽

作者: nn2nn 时间: 2008-12-7 11:44
提示: 作者被禁止或删除内容自动屏蔽

作者: nn2nn 时间: 2008-12-7 11:47
提示: 作者被禁止或删除内容自动屏蔽

作者: nn2nn 时间: 2008-12-7 11:51
提示: 作者被禁止或删除内容自动屏蔽

作者: zhhsh 时间: 2008-12-7 11:53
搭配AcrionTure Image应该更好！（利用它的mount的功能）

作者: lxl1638 时间: 2008-12-7 12:26

原帖由 nn2nn 于 2008-12-7 11:44 发表
注：本人系统中某些文件或免疫文件已加了权限(前面说过)，以防木马修改或木马安装文件。

这东西好呀, lxl1638 推广一下,如何做,效果如何?

NTFS分区上的文件都可以加权限和加密。

免疫法，在很多论坛上有讨论，早期的红叶盘也菜用：
提前建立木马病毒要建立的文件目录(空的)，加权限，也或加密，网上的木马病毒无法在硬盘上建立文件目录，
加上注册表重要位置(或注册表文件)也加权限，木马病毒想发作也无能为力了。
这种方法只能对付已知的木马病毒。

图中那个垃圾文件是网页广告。

[ 本帖最后由 lxl1638 于 2008-12-7 12:27 编辑 ]

未命名.PNG (26.22 KB, 下载次数: 66)

作者: nn2nn 时间: 2008-12-7 12:41
提示: 作者被禁止或删除内容自动屏蔽

作者: mapeimapei 时间: 2008-12-7 13:11
1，对注册表远程访问加权限，设置winreg的访问控制列表ACL可以实现
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

2，ntfs下对系统%systemroot%\system32和%systemroot%\profiles下的相关文件进行权限设置。。如：regedit.exe，regedit32.exe,ntuser.dat等。。

作者: mapeimapei 时间: 2008-12-7 13:12
顺便问问nn2nn老大，怎么对wim下的文件不挂载直接访问。。

批处理+wimnt.exe应该可以实现的吧。假设wim文件在可写介质上。。

[ 本帖最后由 mapeimapei 于 2008-12-7 13:14 编辑 ]

作者: 凤凰之吻 时间: 2008-12-7 13:36

原帖由 nn2nn 于 2008-12-7 11:47 发表
全更新当然可以,但自己新加的工具就要重来了.你等可能很易,我等恢复工作就要半天.

TOTALCMD操作时会显示已被删除、修改、新增文件，可以具体选择同步那些文件。文件基本未被改变的情况下，同步一个30G的分区10多秒就OK了，界面很人性化。

如果要加权限，建个受限帐户就完全可以了，防御99%的病毒木马没问题。另外之前好像看红叶提过在admin帐户下降低权限runas IE浏览器，个人觉得这样也很方便。

作者: nn2nn 时间: 2008-12-7 19:17
提示: 作者被禁止或删除内容自动屏蔽

作者: nn2nn 时间: 2008-12-7 20:03
提示: 作者被禁止或删除内容自动屏蔽

作者: nn2nn 时间: 2008-12-7 20:05
提示: 作者被禁止或删除内容自动屏蔽

作者: wsma 时间: 2008-12-7 21:30
用久了系统经常用ghostexp重新还原,这个挺实用的.

作者: lisong 时间: 2008-12-7 23:30
终于又看到n大的新作了，麻烦以后也到我论坛（winpe教育论坛）发表一下老大的高作吧，谢谢！

作者: nn2nn 时间: 2008-12-8 10:15
提示: 作者被禁止或删除内容自动屏蔽

作者: sunice001 时间: 2008-12-8 10:31
好东西啊，尝尝鲜再说呢。。。

作者: nn2nn 时间: 2008-12-9 09:08
提示: 作者被禁止或删除内容自动屏蔽

作者: cduser 时间: 2008-12-10 14:28
老大，我是菜鸟，我在琢磨着扫描出来的文件那么多，不可能都有问题吧？
PS，我今天的IE一打开就报错，然后关闭，我检测了，又没中毒，没中流氓，就尝试用用你的宝贝，结果我可能还是不能领会！因为图中那么多文件，我绝对不相信所有都有问题，所以没敢去还原！

2008-12-10_142244.jpg (112.11 KB, 下载次数: 96)

作者: cduser 时间: 2008-12-10 14:33
换成只比较可执行文件，也有那么多，我怎么知道哪些才是罪魁祸首啊？哪些才敢还原啊？

2008-12-10_143335.jpg (187.23 KB, 下载次数: 92)

作者: cduser 时间: 2008-12-10 14:36
老大，能不能再搞智能一点呀，比如有问题的直接用红色标示出来，我等菜鸟一眼就可以看到，并且敢杀之。

作者: nn2nn 时间: 2008-12-10 16:42
提示: 作者被禁止或删除内容自动屏蔽

作者: nn2nn 时间: 2008-12-10 16:47
提示: 作者被禁止或删除内容自动屏蔽

作者: cduser 时间: 2008-12-10 17:23
谢谢大大的经验，为哈我就扫出那么多来，你就只扫出一个，期待更智能一点的办法了。

作者: secowu 时间: 2008-12-10 17:27
楼主厉害。。。精品收藏下

作者: nn2nn 时间: 2008-12-10 23:20
提示: 作者被禁止或删除内容自动屏蔽

作者: lxl1638 时间: 2008-12-11 20:47

原帖由 nn2nn 于 2008-12-10 23:20 发表
我只是演示,中止比较了.

提个建议，能否将比较后的文件按下图方法分类：

自定义的文件目录(主要是注册表，也可自定义添加其它重要文件)
被修改的文件目录
新增加的文件目录
被删除的文件目录
被跳过的文件目录(跳过一些文件目录不作比较，如无法读取的文件)

比较完毕可自动执行钩选的操作，按自定义操作自动恢复系统。
每类文件分页列出来，每页都可弹出一个菜单，供选择"(恢复/删除)(所选定的/所钩选的/所有的)文件目录"。

未命名.PNG (23 KB, 下载次数: 87)

作者: xhj 时间: 2008-12-11 22:18
很不错的啊，基本上明白怎么使用了。很好

作者: 135956 时间: 2008-12-12 02:03
实用方便的小工具。十分多谢，我正好用得上。

作者: 135956 时间: 2008-12-12 13:33
同网虫的那个pe配合用，挺方便好用的。

作者: laji100 时间: 2008-12-12 14:38
文件很简单，但是很实用，最不喜欢的就是VISTA那种界面华丽，效果垃圾的软件了

作者: nn2nn 时间: 2008-12-12 15:06
提示: 作者被禁止或删除内容自动屏蔽

作者: nn2nn 时间: 2008-12-12 15:15
提示: 作者被禁止或删除内容自动屏蔽

作者: nn2nn 时间: 2008-12-12 15:18
提示: 作者被禁止或删除内容自动屏蔽

作者: lxl1638 时间: 2008-12-12 17:17

原帖由 nn2nn 于 2008-12-12 15:06 发表

比较工具现在是基于文件操作.

3、显示表可以具体操作每个文件，点击表头可以排序文件；点击“比较”可显示不同比较结果。
得到分类后,再点击就可排序(可按目录排序).

勾选"比较完成自动还原系统 ...

本人这个是用KOL做的，只是玩玩而已，目前只做好了界面(220K左右)，
近来玩KOL，不用VCL组件，目前KOL的组件库也很够用了，只是没有VCL方便。

EasyFileSearch？本人不很了解，这类问题本人一般用APIs完成，建议
多线程Search，一个线程Search源，一个线程Search目标。

单纯的FileSearch是很快的(本人试验，一个分区6万多个文件也就15秒左右)。

[ 本帖最后由 lxl1638 于 2008-12-12 17:40 编辑 ]

未命名.PNG (15.93 KB, 下载次数: 89)

作者: nn2nn 时间: 2008-12-12 19:42
提示: 作者被禁止或删除内容自动屏蔽

作者: lxl1638 时间: 2008-12-12 20:13

原帖由 nn2nn 于 2008-12-12 19:42 发表
KOL我也玩一下,感觉玩不起,就不玩了.

EasyFileSearch就是API改为VCL. 懒人的办法.
多线程Search,可能快,目录结构可能缓存了.
但多线程文件内容比较,可能就快不了,因为瓶颈是读文件.多线程 ...

是对源和目标同时Search，即一个线程Search硬盘系统，另一个线程Search备份目录。

作者: pop 时间: 2008-12-12 20:45
支持原创.多谢楼主热心提供.

作者: wglz 时间: 2008-12-12 20:49
收下了，感谢楼主

作者: stwcb2007 时间: 2008-12-13 11:25
支持
也许可以有数据库来保存正常文件的字节
只要不符合的或多出的统统判定为不健康文件

作者: nn2nn 时间: 2008-12-13 12:05
提示: 作者被禁止或删除内容自动屏蔽

作者: lxl1638 时间: 2008-12-13 12:27

原帖由 stwcb2007 于 2008-12-13 11:25 发表
支持
也许可以有数据库来保存正常文件的字节
只要不符合的或多出的统统判定为不健康文件

单纯凭文件字节大小是不能准确判断文件是否健康的，一些被病毒木马修改过的文件字节大小是不变的。
判断文件是否健康最好的方法是校验，如 MD5、CRC 等校验。

作者: lvyanan 时间: 2008-12-13 13:35
思路正确，方法很好，支持原创，下载试用，谢谢！

作者: phc8275 时间: 2008-12-13 20:08
这个东西值得收藏收下了。。

作者: chenall 时间: 2008-12-14 11:41
支持一下,收下,经常会用到的工具

作者: yohyoh 时间: 2008-12-14 14:06
为己为人很实用，谢谢分享！

作者: dd102 时间: 2008-12-14 14:09
能将文件MD5值保存在数据库中，做成快照就好了。省的带原文件到处跑
另外受限用户也不安全。。我在的公司就是受限用户+瑞星，老挂，现在我换成影子 SD+受限用户+EQ，嘿嘿

[ 本帖最后由 dd102 于 2008-12-14 14:11 编辑 ]

作者: nn2nn 时间: 2008-12-14 14:58
提示: 作者被禁止或删除内容自动屏蔽

作者: stwcb2007 时间: 2008-12-14 21:52

原帖由 lxl1638 于 2008-12-13 12:27 发表

单纯凭文件字节大小是不能准确判断文件是否健康的，一些被病毒木马修改过的文件字节大小是不变的。
判断文件是否健康最好的方法是校验，如 MD5、CRC 等校验。

能够通过这个方法判定出系统是否健康
就已经足够了
毕竟很多病毒木马是未知的

还原的办法有很多
备份整个原系统应该是比较笨的办法
也许备份部分重要文件就足够了

支持继续完善

[ 本帖最后由 stwcb2007 于 2008-12-14 21:57 编辑 ]

作者: nn2nn 时间: 2008-12-15 09:00
提示: 作者被禁止或删除内容自动屏蔽

作者: 江直樹 时间: 2008-12-18 11:06
是不是類似于SFC命令的原理？

作者: fjdejf 时间: 2008-12-18 11:46
这个好！！谢谢分享！！收藏下！

作者: zery 时间: 2008-12-20 19:03
先下载试用一下再说　

作者: nn2nn 时间: 2008-12-30 08:45
提示: 作者被禁止或删除内容自动屏蔽

作者: 2012kuobie 时间: 2012-4-25 22:49
谢谢。工具很好。还没试过

作者: zh94518 时间: 2012-7-11 15:53
标题: 哦看
不错下了谢谢提供。。。。。。。。。

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)