計(jì)算機(jī)病毒防范與應(yīng)急處置

1、計(jì)算機(jī)病毒防范與應(yīng)急處置現(xiàn)在網(wǎng)絡(luò)的飛速發(fā)展改變了我們的生活，我們可以通過 網(wǎng)絡(luò)來完成很多的工作，可以通過電子商務(wù)網(wǎng)來購物，通過 VPN連接單位服務(wù)器工作， 可以通過即時(shí)通訊軟件與朋友聊 天與交流，可以通過論壇社區(qū)來學(xué)習(xí)、灌水、娛樂等等 但是我們也要認(rèn)識(shí)到當(dāng)我們進(jìn)行以上網(wǎng)絡(luò)活動(dòng)時(shí)都有著一定威脅存在，病毒、木馬、惡意腳本、嗅探、會(huì)話劫持 等黑客攻擊行為都嚴(yán)重的威脅到我們自身的機(jī)密信息、網(wǎng)絡(luò) 安全與計(jì)算機(jī)本身的安全，其中計(jì)算機(jī)病毒的威脅是比較嚴(yán) 重的，因?yàn)樵谶€沒有網(wǎng)絡(luò)成型時(shí)就已經(jīng)有了計(jì)算機(jī)病毒了， 大家可以想想 DOS下的乒乓病毒等，也可以看看現(xiàn)在的流 行病毒如：“C舊”，紅色代碼”，“SQL需蟲王

2、 沖擊波工小郵差”，網(wǎng)絡(luò)天空”，“IRCM特”等.計(jì)算機(jī)病毒的發(fā)展 速度是越來越快了，現(xiàn)在的病毒大部分是蠕蟲型病毒了，通 過E-Mail、網(wǎng)絡(luò)共享文件、系統(tǒng)漏洞等進(jìn)行的傳播，而且我 們還可以發(fā)現(xiàn)現(xiàn)在的病毒更加智能化了，一個(gè)50KB的病毒竟然能集成文件掃描、弱口令掃描、局域網(wǎng)掃描、漏洞攻擊、 盜取銀行帳號(hào)密碼、木馬功能、后門功能、黑客攻擊等多種 功能于一身，可以看由病毒的作者也是煞費(fèi)苦心了。當(dāng)然沒 有病毒的飛速發(fā)展也就不會(huì)給網(wǎng)絡(luò)安全人員有飯吃了，網(wǎng)絡(luò) 安全技術(shù)也就不會(huì)有很快的提高了，不過回過頭來我們還是 來說說怎么樣預(yù)防和處理計(jì)算機(jī)病毒吧。關(guān)于計(jì)算機(jī)病毒的劃分， 病毒大體分為引導(dǎo)型，文件型， 混

3、合型等，現(xiàn)在流行的病毒都是一個(gè)蠕蟲型的病毒，如果仔 細(xì)再講的話，那么這蠕蟲與病毒還是有區(qū)分的，這里不做主 要講解了，以下將主要介紹對(duì)當(dāng)今流行的病毒防御與處理。先說說計(jì)算機(jī)病毒的預(yù)防，誰也不想讓自己的或自己崗 位上電腦或服務(wù)器中毒，那么首先就一定要有一個(gè)網(wǎng)絡(luò)安全 意識(shí)，其次是技術(shù)上和管理上的措施，當(dāng)你有了網(wǎng)絡(luò)安全意 識(shí)就同時(shí)具備了防范技術(shù)，為什么這么說呢？我們可以發(fā)現(xiàn)這樣的一個(gè)規(guī)律，大部分的流行性病毒的 全球爆發(fā)基本上都是利用了 windows操作系統(tǒng)的漏洞來實(shí)現(xiàn) 的傳播與攻擊，也就是說當(dāng)Microsoft發(fā)布了安全公告后黑客 們才編寫了新病毒并使他在短時(shí)間里爆發(fā)，為什么會(huì)爆發(fā) 呢？就因?yàn)榇蠹业?/p>

4、安全意識(shí)不強(qiáng)，認(rèn)識(shí)不到漏洞的危險(xiǎn)。我 帶大家回顧以下吧。2001年6月18日MS發(fā)布了 MS01-033的公告,2001 年7月16日爆發(fā)了 CodeRed,中間間隔了有 28天的時(shí)間；2000年10月17日MS發(fā)布了 MS00-078的公告,2001 年9月18日爆發(fā)了 Nimda,中間間隔了有 336天是時(shí)間；2001年3月29日MS發(fā)布了 MS01-020的公告，2002年1月17日爆發(fā)了 Klez-E,中間間隔了有 294天的時(shí)間；2002年7月24日MS發(fā)布了 MS02-039的公告，2003 年1月24日爆發(fā)了 SQLSlammer,中間間隔了有184天的時(shí) 問；2003年3月17

5、日MS發(fā)布了 MS03-007的公告,2003 年5月5日爆發(fā)了，中間間隔了有 49天的時(shí)間；2003年7月21日MS發(fā)布了 MS03-026的公告,2003 年8月12日爆發(fā)了 Blaster,中間間隔了有22天的時(shí)間；從以上我們就可以看生，計(jì)算機(jī)病毒的爆發(fā)基本上等候 是基于系統(tǒng)漏洞的，而且是在 Microsoft發(fā)布公告后爆發(fā)的， 如果我們大家能夠及時(shí)的給自己的系統(tǒng)打上補(bǔ)丁就可以免 遭災(zāi)難。光是打補(bǔ)丁就可以了嗎？答案是不可以！我們還要使用 一些好的殺毒軟件，要求殺毒效果好，使用方便，占用系統(tǒng) 資源少，價(jià)格合理，服務(wù)好，個(gè)人推薦江民KV系列，希望大家不要再計(jì)較KV300L+的事件了，過去畢竟

6、是過去了。 安裝好殺毒軟件后我們要進(jìn)行仔細(xì)的配置，單機(jī)版有單機(jī)版 的配置，網(wǎng)絡(luò)版有網(wǎng)絡(luò)版的配置，關(guān)于配置的問題交給讀者 們了，因?yàn)槊總€(gè)人的需要是不同的，但無論怎么樣一定要做 到每天更新病毒庫，有人可能要說了 殺毒軟件公司又不一定 每天都更新，那我更新也不是沒有用嗎？”這樣想就錯(cuò)，如果 這樣想就說明你還沒有網(wǎng)絡(luò)安全的意識(shí)，有誰能保證每天不 會(huì)有新的變種或新型病毒的由現(xiàn)呢？所以無論你怎么配置 殺毒軟件都要時(shí)刻保證殺毒軟件的病毒庫是最新的。引用這 樣的一句話過時(shí)的病毒掃描程序比沒有病毒掃描程序好不 了多少”。有了新的 Microsoft系統(tǒng)補(bǔ)丁與更新加上好的殺毒軟件 與最新病毒庫也只能說你病毒防御體

7、系很一般了，為什么這 么說？因?yàn)槟氵€沒有完全關(guān)上危險(xiǎn)的大門，我繼續(xù)引用三句 話你就明白我說什么了， 再強(qiáng)大的安全性也會(huì)葬送在脆弱的 密碼手里。計(jì)算機(jī)的安全性受制于管理員的可靠性。加密數(shù) 據(jù)的安全性受制于解密密鑰的安全性?！标P(guān)鍵是管理，我要提醒各位網(wǎng)絡(luò)管理員，我們要注意的有物理層的管理也有安全 技術(shù)的管理，怎么解釋呢？這樣通俗的說吧，如果有人可以 接觸到并操作你的計(jì)算機(jī)與服務(wù)器那么這還有什么安全可 談呢？這是物理上；安全技術(shù)上的管理是指使用權(quán)限制，給 不同的用戶不同的權(quán)限與密碼，盡量減少使用管理員身份登 陸服務(wù)器，刪除系統(tǒng)中不需要的用戶，修改系統(tǒng)中默認(rèn)的 Administrator管理員名，密碼

8、要使用密碼復(fù)雜策略，在網(wǎng)絡(luò) 中或域中盡量不要開共享，如果需要共享那么給只讀權(quán)限就 可以，要認(rèn)真仔細(xì)的設(shè)置組策略，充分利用 AD來管理，為 什么要這樣做我在本文的開頭就說過了，現(xiàn)在的病毒越來越 只能化了，他們可以對(duì)系統(tǒng)默認(rèn)的管理員用戶進(jìn)行密碼探測 和弱口令掃描，會(huì)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行共享文件的掃描，當(dāng)莫個(gè) 計(jì)算機(jī)有共享文件且管理員密碼為空或簡單密碼時(shí)就很輕 易的將自己復(fù)制到那臺(tái)計(jì)算機(jī)上，對(duì)于一個(gè)安全性不高的網(wǎng) 絡(luò)來說這就是災(zāi)難，病毒會(huì)不停的向外部發(fā)送數(shù)據(jù)包，感染 的計(jì)算機(jī)越多發(fā)送的數(shù)據(jù)包也就越多，最終使整個(gè)網(wǎng)絡(luò)癱 瘓，嚴(yán)重時(shí)可以燒壞物理的網(wǎng)絡(luò)設(shè)備。有了病毒防火墻還要加一個(gè)網(wǎng)絡(luò)防火墻，正如我們上面 所講

9、的，病毒會(huì)向局域網(wǎng)或外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)，他可能發(fā)送 的掃描數(shù)據(jù)，也有可能是發(fā)送他竊取的計(jì)算機(jī)機(jī)密信息的數(shù) 據(jù)，所以一定要用網(wǎng)絡(luò)防火墻來做網(wǎng)絡(luò)訪問限制，對(duì)可疑程 序訪問網(wǎng)絡(luò)時(shí)先將其禁止，等徹底搞明白了再放行。有人問了，這樣就安全了嗎？ 我的回答還是 不完全安 全”，因?yàn)橛行r(shí)候并不是我們自己運(yùn)行了病毒使他開始傳播 的，也許是我們所在網(wǎng)絡(luò)中的其他無知的人從郵箱或其他地 方下載病毒運(yùn)行了他，那這樣我們怎么辦？有人說那是他個(gè) 人的事，是他個(gè)人的計(jì)算機(jī)，不管我的事，這樣說就完全錯(cuò) 了，你是沒有中毒，但網(wǎng)絡(luò)中充滿了病毒的數(shù)據(jù)包，那你上 網(wǎng)還能上的去嗎？對(duì)于一個(gè)大型網(wǎng)絡(luò)如學(xué)校機(jī)房，單位機(jī)房 的網(wǎng)絡(luò)管理員來說要

10、做的是什么？除了管理就是宣傳與教 育，叫大家認(rèn)識(shí)到病毒的危險(xiǎn)與他的破壞性，只有全網(wǎng)民對(duì) 網(wǎng)絡(luò)安全與病毒有了基本的認(rèn)識(shí)了。那樣我們的網(wǎng)絡(luò)也就相 對(duì)安全了。那么網(wǎng)絡(luò)安全與計(jì)算機(jī)病毒防御體系也就做到位 了，你也是一個(gè)很合格的管理員與技術(shù)員了。我們做了很好的安全防御之后還有可能被病毒攻擊和侵入，這些病毒可能是已知的，也有可能是未知的，因?yàn)榻^ 對(duì)的安全是根本不存在的，也是不可能做到，這樣就需要我 們用平時(shí)積累的經(jīng)驗(yàn)來判斷了。這就要求我們的管理員也好 還是個(gè)人也好都要對(duì)算機(jī)操作系統(tǒng)有所了解，也就是說要熟 悉系統(tǒng)從啟動(dòng)到最后完全開機(jī)運(yùn)行程序時(shí)的過程，雖然現(xiàn)在 引導(dǎo)型病毒不是很多了，而且引導(dǎo)型病毒都大同小異，

11、也比 較好解決，但我們知道一些還是沒有壞處的，其次就是要知 道自己的系統(tǒng)開放那些服務(wù)了，他們在系統(tǒng)中的相關(guān)進(jìn)程是 哪些，如： RemoteRegistry, Telnet, Terminalservices, FTP, Smtp, snmp, POP等。如果說你不做務(wù)器用的話請關(guān)閉不需 要的服務(wù)，即使是做服務(wù)器 RemoteRegistry也是要關(guān)閉的。 我們還要時(shí)刻注意電腦有無異常情況，如：機(jī)器運(yùn)行越來越 慢，向外發(fā)送的數(shù)據(jù)突然增大，無故重啟與死機(jī)，文件莫名 其妙的丟失或多由，在系統(tǒng)文件下發(fā)現(xiàn)不常見的文件，在系 統(tǒng)進(jìn)程中發(fā)現(xiàn)可以進(jìn)程等，這個(gè)時(shí)候就要引起注意了，看看 到底是什么原因?qū)е碌?，使?/p>

12、防火墻和監(jiān)視器可以很快的幫 助我們來確定是不是有蠕蟲病毒，因?yàn)槿湎x在一個(gè)計(jì)算機(jī)上 運(yùn)行是他就要去查找下一個(gè)目標(biāo)了，通常情況下他會(huì)馬上訪 問網(wǎng)絡(luò)來通過掃描來尋找新的目標(biāo)，這樣我們在防火墻里就 可以記錄是什么程序要訪問網(wǎng)絡(luò)，和他關(guān)聯(lián)的進(jìn)程是什么 了，使用網(wǎng)絡(luò)分析器可以截取發(fā)生的數(shù)據(jù)包，拆包分析后也 可以知道發(fā)送的內(nèi)容。如果說發(fā)現(xiàn)的是一個(gè)已知病毒，這是 很好辦的結(jié)束進(jìn)程然后殺毒，或者去安全模式下殺毒，有的是可以直接將病毒文件刪除的，但有的是不可以的。如果說 是一個(gè)未知的病毒話那就先將其病毒文件提取由來發(fā)送到 殺毒軟件公司，然后使用防火墻阻止他繼續(xù)訪問網(wǎng)絡(luò)，關(guān)閉 他開放的端口，結(jié)束他的進(jìn)程，馬上到注冊表下查看系統(tǒng)啟 動(dòng)項(xiàng)的鍵值是否被修改了，如果被修改了先將修改回來試 試。如果個(gè)人有能力的話可以對(duì)這個(gè)可疑程序進(jìn)行反匯編或 動(dòng)態(tài)調(diào)試來分析他到底實(shí)現(xiàn)了什么功