用BitLocker进行随身资料加密
在过去Windows操作系统的使用者,如果想要保护电脑中的资料,只能借助第三方加密软件或是EFS(Encrypting File System,加密文件系统),不过各种第三方加密软件使用的技术都不相同,使用者必须在不同的电脑上安装同样的软件,而Windows内建的EFS也仅能加密单一文件或文件夹,无法全面性地保护整台磁盘机,使用上有诸多限制。
到了Windows Vista,微软在操作系统中加入了内建的磁盘加密工具”BitLocker”,它能保护系统磁盘(通常为C盘)中所有的文件或文件夹,而不像EFS必须分开加密并保存金钥或密码,如果再搭配AD中的群组原则,可以大幅提升系统磁盘的资料安全性,同时减少文件加密时间。
以Vista SP1来说,BitLocker加密的范围已经可以包含全部的本机磁盘,而不是受限于安装Windows操作系统的系统磁盘。然而,由于外接式磁盘或USB随身盘携带方便,几乎已经成为暂时存放或迁移资料时不可或缺的重要储存设备,不过由于体积小、重量轻,这类型的装置遗失率也特别高,而其中储存的重要资料价值,更是远在设备本身之上,所以如何管理随身盘一直是企业相当重视的环节,BitLocker的加密功能却并没有将这类型的储存装置纳入保护范围内。
一直到了Windows 7,微软再度改进加密资料的BitLocker功能,延伸至上述的抽取式储存设备,让企业在全面禁用或开启USB随身盘的管理方式外,能有较为弹性的选择,同时又能保障资料安全。
企业版及旗舰版的专属功能
这项新的磁盘加密功能称为”BitLocker To Go”,目前仅内建在企业版与旗舰版的Windows 7中,不过其他版本的Windows(Vista或XP)仍然可以读取被BitLocker To Go加密过的磁盘。
BitLocker To Go可加密所有使用FAT(包含FAT32、exFAT等)或NTFS格式的抽取式储存设备,同时操作方式也和BitLocker互相独立,换句话说,使用这项功能时,并不需要先使用BitLocker加密其他本机磁盘,电脑也不需要内建TPM安全芯片。
BitLocker To Go的特殊加密机制
当使用者删除磁盘机中的文件时,这些资料并不是真的消失,而只是把资料和读取装置之间的连结移除而已,因此有些看起来是闲置的空间,事实上却包含了机密资料,所以一般而言,加密软件的处理流程是先读取资料(包含未使用空间),然后将这些资料加密,最后再把加密过的资料写入磁盘。但是当磁盘空间使用率不到20%时,读取可用空间并加密的行为,就会显得相当耗时。
BitLocker采取的作法则是仅加密已使用空间的文件,再自行创造一些无意义的资料来填补未使用空间,以避免系统浪费时间在加密已删除的资料上,微软宣称,这样的机制让BitLocker加密闲置空间资料的速度,比加密一般资料快2倍。
加密后不影响文件传输效能
根据我们的实测,在Intel Core i7处理器搭配3GB记忆体的个人电脑上,使用BitLocker加密容量为2GB的随身盘(内含755MB的文件),约需费时16分钟30秒。相较于知名的企业级加密软件PGP,加密过程约需耗时5小时20分,BitLocker To Go的加密速度显然较快。至于免费软件TrueCrypt,虽然加密同样容量的随身盘(不含资料)仅需6分钟20秒,不过当随身盘内存有文件时,必须先利用本机磁盘手动建立一个新的加密磁区,再将随身盘上的所有文件搬移到加密磁区中,之后才能完成文件加密,过程相当麻烦。
即使BitLocker To Go的加密速度仍有进步空间,但经过加密的随身盘能保持和未加密相同的读取效能。我们将大小为755MB的文件复制到未加密的随身盘中,历时31.3秒,平均每秒传输速度为24.11MB;如果复制到由BitLocker To Go加密过的同一个USB随身盘,则是费时31.4秒,平均每秒可传送24.05MB的资料,两者之间几乎没有差别。
如何使用BitLocker To Go
在控制台启动BitLocker To Go
使用者可以到控制台的”BitLocker磁盘机加密”选项中开启BitLocker To Go,如果想要解除加密状态,也必须到控制台才能执行解密。
用右键选单启动BitLocker To Go
除了从控制台启用外,直接在文件总管的卸除式磁盘图示上按下滑鼠右键,就会出现”开启BitLocker”选项,点选后就能直接开始加密。
支援密码或智慧卡保护
加密过程中可以选择使用密码或智慧卡来锁定或解除加密装置。在IT人员未启用强制套用强式密码群组原则的 情况下,密码需超过8个字元。
BitLocker加密图示
经BitLocker加密过的外接式硬盘或USB随身盘,Windows 7会以不同颜色的锁和钥匙图示来反映目前的存取状况,其中灰色代表加密的磁盘已经解锁,黄色则是未解锁。
用修复金钥解锁BitLocker To Go随身盘
一般情况下, 使用者可以透过密码或智慧卡来解除BitLocker,如果忘记密码,也可以选择使用修复金钥来解除锁定的磁盘机,系统将提示8位数的金钥识别码。
BitLocker To Go在XP环境的使用限制
在Windows XP 环境下,只能以唯读的方式来存取经过BitLocker To Go加密的随身盘资料,使用者可以直接将文件”拖”出来, 或是点选文件后再指定复制位置。这个BitLocker专属的读取程式,会在加密过程中一并安装于被加密的卸除式磁盘,并于 连接电脑后自动执行。
症状 电脑的所有文件夹的都被设置成了隐藏,怀疑是病毒,出现的现象是所以的盘里的显示0对象,但是空间已被占,通过输入路径可以打开文件,后恢复显示了,但是所有的属性被改成了隐藏,而且显示暗灰色,没法修改.
对策划 sxs.exe是修改过的落雪病毒 也就是现在非常流行的病毒!
可以结束SXS的进程删除,记住,用鼠标右键进入硬盘
同时按下Ctrl+Shift+Esc三个键 打开windows任务管理器
选择里面的“进程”标签
在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”
一定要结束所有的“sxs.exe”进程
打开我的电脑 单击 工具菜单下的“文件夹选项”
单击“查看”标签 把“高级设置”中的
“隐藏受保护的操作系统文件(推荐)”前面的勾取消
并选择下面的“显示所有文件和文件夹”选项
单击“确定”
用鼠标右键点C盘(不能双击!) 选择 “打开”
删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件
用鼠标右键点D盘 选择 “打开”
删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件(另外有个文件也是,是个.exe 同样删了它)
……
以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件
单击开始 选择“运行” 输入 "regedit"(没有引号) ,回车
依次展开注册表编辑器左边的 我的电脑>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目
关闭注册表编辑器
然后重新启动计算机
删除硬盘上是ROSE:
按下shift键不放 插入U盘 直到电脑提示“新硬件可以使用”
打开我的电脑
这时在U盘的图标上点鼠标右键 选择“打开” (不要点自动播放或者是双击!)
删除 SXS.exe和autorun.inf文件 病毒就没有了
有史以来第一次遭遇如此顽固的病毒,网上找了找,没有统一的名字,瑞星称为 Trojan.PSW.QQPass.pqb 病毒,我就叫它 sxs.exe病毒吧
重装系统后,双击分区盘又中了,郁闷,瑞星自动关闭无法打开,决定手动将其删除
现象:系统文件隐藏无法显示,双击盘符无反映,任务管理器发现 sxs.exe 或者 svohost.exe (与系统进程 svchost.exe 一字之差),杀毒软件实时监控自动关闭并无法打开
找了网上许多方法,无法有效删除,并且没有专杀工具
手动删除“sxs.exe病毒”方法:
在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉
二、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SuperHidden,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
五、后续
杀毒软件实时监控可以打开,但开机无法自动运行
最简单的办法,执行杀毒软件的添加删除组件——修复,即可
其实很简单方法如下:1.菜单键+R启动运行2.输入cmd3.输入【attrib -a -s -h -r drive:*.* /s /d】,《【】里的东西鼠标右键粘贴就行》4.回车 drive就是哪个文件夹隐身的盘 例如E盘被隐身了就输入attrib -a -s -h -r E:*.* /s /d
link:
烟筒拆除 fluid facility fluid facility sanitary pump plastic machinery 草花苗木 碳纤维布 输送设备 辊道输送机 超声波焊接机 金银丝 金银线 螺旋钢管 吸音板 磁选机 乳化机 阻火器 视镜 混合器