闪存病毒的历史回顾、剖析与防范方法病毒防范(精选12篇)
闪存病毒的历史回顾、剖析与防范方法病毒防范 第1篇
记得在第一次看到闪存时,感觉非常新奇,不过因为价格不菲,而且容量也非常小,电影等大文件又装不下,只能装一些Word文档或者几首MP3,那时的闪存算是软盘的升级版,我也跟它“擦肩而过”。事实上,闪存虽然在20左右就被大众接受,但普及面并不广,当时的病毒也没有瞧上“她”。
,16MB闪存淡出市场,256 MB闪存在朋友圈中非常流行,我购买了属于我的第一个闪存――256 MB。兴奋没有多久,我的闪存就遭遇了病毒――闪存类病毒,系统变得非常慢了,打开一个网页都需要一分多钟。那一年,对闪存而言是一个刻骨铭心的一年。闪存的容量得到数倍的提高,而价格也低到能被很多学生接受的地步。随着闪存普及,闪存类病毒诞生了,从那年开始,闪存与闪存类病毒的“绯闻”就一直没有断,持续了六年。
闪存容量从512MB,1GB,2GB,4GB,8GB,16GB……不断提高,而价格却一路走低,一百多元就可以买到16GB的闪存。其间我换了两个闪存,经常装电影、重要资料等,被闪存类病毒骚扰的次数也多了起来,特别是在下半年到上半年,AUTO、熊猫烧香、金猪报春等闪存类病毒层出不穷。
为什么病毒总缠着闪存
闪存容量越大,放的东西就越多;价格越便宜,用的人越多,就会吸引各式各样病毒的关注,它们为了利益,都直奔闪存而来。也就是在那个时候,闪存类病毒的外延扩大了,包括熊猫烧香、金猪报春等知名病毒都算是闪存类病毒,于是病毒就成为了闪存的梦魇。
最初的闪存类病毒,功能都非常简单,仅仅是将病毒自身由闪存复制到系统中而已(单向感染),这时的闪存病毒还不具备大面积扩散的能力。之后,闪存类病毒进行技术升级,开始能从系统中逆向感染闪存,可以说具备了自动感染能力。这样病毒就可以通过移动设备进行快速的传播。
现在的闪存类病毒,融合了许多其他技术,例如采用映像劫持、突破主动防御等。这样做的结果是,闪存类病毒与其他类型的病毒区别并不大,两者的内涵都差不多了,单纯的闪存类病毒必将被淘汰,
但闪存类病毒并不会消亡,它们变身成为综合类病毒,这时无论破坏力还是传播面积都比以前大多了。
闪存病毒的害人伎俩
闪存类病毒利用Windows系统中的自动播放功能进行感染,当闪存插入电脑以后,就会自动读取设备根目录中的Autorun.inf文件。Autorun.inf文件本身并不具有危害,但里面的内容会指向一个病毒文件,在打开闪存时,Autorun.inf文件就会激活它指向的病毒文件。
我还发现一个规律,闪存的容量跟病毒的数量是成正比的,容量越做越大,而病毒数量也是越来越多。这个规律将一直沿续下去。
克制闪存病毒方案
闪存类病毒的克制方法大同小异,用通用的方法即可解决。掌握方法后,在为同事和朋友解决这类病毒引起的电脑故障时,就会得心应手。
第一步:运行进程管理工具Wsyscheck,如果发现有可疑的进程,该进程将被标成紫红色,选中这样的进程(图1),点击右键选择“结束进程并删除文件”即可。有的闪存类病毒会使用线程插入技术,这时病毒进程就会以粉红色显示,在模块列表中找到模块文件的模块,点击右键选择“卸载模块并删除文件”即可。
第二步:点击Wsyscheck中的“文件管理”,定位到每个磁盘的根目录下(图2),选择病毒文件和Autorun.inf后,点击右键选择“直接删除”即可。
第三步:点击Wsyscheck中的“服务管理”,病毒的启动服务往往会标成红色,选中这样的启动服务后,点击右键选择“删除选中的服务”即可。如果这里没有发现病毒启动项,那么点击“安全检查→活动文件”,选择病毒启动项,点击右键选择“修复所选项”即可。
然后调出系统修复工具SREng(下载地址www.mydown.com/soft/utilitie/systems/327/440327.shtml),点击“系统修复→高级修复”,再点击“自动修复”即可恢复被病毒破坏的系统。
闪存病毒的历史回顾、剖析与防范方法病毒防范 第2篇
根据自动静音的现象及它所产生的文件我们可以进入安全模式下来删除静音病毒,
第一步、进入安全模式(电脑开机的时候按F8键)。打开我的电脑,将C盘下的iexploror01.exe和TEMP下的iexploror01.exe删除。
第二步、打开我的电脑,进行搜索:alga。将搜索到的文件全部删除,然后继续搜索:iexp1ore(注意:非iexplore,中见不是L,是123的1,系统中的文件是L),将搜索到的文件一并删除!继续搜索以下几个文件:Lgsyzr、O2FLASH、处理结果同上!
第三步、进入注册表(运行里输入regedit):按F3查找以下几项:Lgsyzr、O2FLASH、alga、iexp1ore,iexplora,servicea将搜索出来的值项都删除去,
第四步、开始-运行。输入msconfig。将启动项中的alga、iexp1ore都禁止!重新启动电脑。然后进入SYSTEM下删除ALGA文件(搜索也行,那样快点)
计算机病毒的解析与防范 第3篇
计算机病毒从不同角度大致有三种定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散, 能“传染”其他程序的程序;另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序;还有一种定义是一种人为制造的程序, 它通过不同的途径潜伏或寄生在存储媒体 (如磁盘、内存) 或程序里。当某种条件或时机成熟时, 它会自生复制并传播, 使计算机的资源受到不同程序的破坏, 等等。综而概之, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质 (或程序) 里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
二、计算机病毒的类型
在最近几年, 产生了以下几种主要病毒:
⒈开机型病毒 (Boot Strap SectorVirus)
开机型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为DOS的架构设计, 使得病毒可以在每次开机时在操作系统还没被加载之前就被加载到内存中, 这个特性使得病毒可以针对DOS的各类中断 (Interrupt) 得到完全的控制, 并且拥有更大的能力进行传染与破坏。如Michelangelo米开朗基罗病毒, 潜伏一年, 发病日:3月6日。
2. 文件型病毒 (File Infector Virus)
文件型病毒通常寄生在可执行文件 (如*.COM, *.EXE等) 中。当这些文件被执行时, 病毒的程序就跟着被执行。如Datacrime II资料杀手-低阶格式化硬盘, 高度破坏资和Friday 13th黑色 (13号) 星期五。
⒊复合型病毒 (Multi-PartiteVirus)
复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染*.COM, *.EXE文件, 也可以传染磁盘的开机系统区 (Boot Sector) 。由于这个特性, 使得这种病毒具有相当程度的传染力, 如Flip翻转病毒。
4. 宏病毒 (Macro Virus)
宏病毒主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word、Excel、AmiPro等等。如Taiwan NO.1文件宏病毒。
5. 特洛伊木马病毒 (Trojan)
特洛伊木马程序不像传统的计算机病毒一样会感染其他文件, 特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中, 然后伺机执行其恶意行为, 例如格式化、删除文件、窃取密码等。
6. 蠕虫病毒 (Worm)
这种病毒的公有特性是通过网络或者系统漏洞进行传播, 很大部分的蠕虫病毒都有向外发送带毒邮件, 阻塞网络的特性。比如冲击波 (阻塞网络) , 小邮差 (发带毒邮件) 等。
7. 黑客病毒 (Hack)
黑客病毒则有一个可视的界面, 能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的, 现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan QQ3344, 还有大家可能遇见比较多的针对网络游戏的木马病毒如:TrojanLMir.PSW.60。
三、计算机病毒的防范
树立病毒防范意识, 从思想上重视计算机病毒, 对于计算机病毒, 有病毒防护意识的人和没有病毒防护意识的人对待病毒的态度完全不同。
1. 安装正版的杀毒软件和网络防火墙都是必需的, 并及时升级到最新版本。上网前或启动机器后马上运行这些软件, 就好像给你的机器“穿”上了一层厚厚的“保护衣”, 就算不能完全杜绝网络病毒的袭击, 起码也能把大部分的网络病毒“拒之门外”。如瑞星、金山毒霸、江民、卡巴斯基、诺顿等。
2. 当前各种各样的安全漏洞给网络病毒开了方便之门 (其中以IE和PHP脚本语言的漏洞最多) , 我们平时除了注意及时对系统软件和网络软件进行必要升级外, 还要尽快为各种漏洞打上最新的补丁。其中一个检测漏洞的简易方法就是直接使用系统中自带的“Windows Update”功能。当然也可以使用其他软件对计算机进行安全检测, 如东方卫士和360安全卫士, 及早发现漏洞。
3. 把好入口关, 很多病毒都是因为使用了含有病毒的盗版光盘, 拷贝了隐藏病毒的U盘资料等感染的, 所以必须把好计算机的“入口”关, 在使用这些光盘、U盘以及从网络上下载的程序之前必须使用杀毒工具进行扫描, 查看是否带有病毒, 确认无病毒后, 再使用。
⒋很多中了网页病毒的朋友, 都是因为访问不良站点惹的祸, 因此, 不去浏览这类网页会让你省心不少。另外, 当你在论坛、聊天室等地方看到有推荐浏览某个URL时, 要千万小心, 以免不幸“遇害”, 或者尝试使用以下步骤加以防范: (1) 打开杀毒软件和网络防火墙; (1) 把Internet选项的安全级别设为“高”; (3) 尽量使用以IE为内核的浏览器 (如MyIE2) , 然后在MyIE2中新建一个空白标签, 并关闭Script、javaApple、ActiveX功能后再输入URL。
5. 正所谓“智者千虑, 必有一失”, 为保证计算机内重要数据的安全, 要养成经常备份重要数据的习惯, 要定期与不定期地对磁盘文件进行备份, 特别是一些比较重要的数据资料, 以便在感染病毒导致系统崩溃时可以最大限度地恢复数据, 尽量减少可能造成的损失。
6. 另外, 学习和掌握一些必备的相关知识, 这样才能及时发现新病毒并采取相应措施, 在关键时刻减少病毒对自己计算机造成的危害。
闪存病毒的历史回顾、剖析与防范方法病毒防范 第4篇
关键词:ARP;MAC;IP;VLAN
ARP 是“Address Resolution Protocol”的缩写,它是TCP/IP协议中用来解析网络节点地址的底层协议。
MAC 它是固化在网卡上串行EEPROM中的物理地址,通常有48位长。
IP IP是“Internet Protocol Address”的缩写,是互联网中每一台主机惟一的地址,是该主机在Internet上的唯一标志。它是一串4组由圆点分割的数字组成的,其中每一组数字都在0-256之间,如:0-255.0-255.0-255.0-255.0-255。
VLAN 是“Virtual Local Area Network”的缩写,即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
一、局域网安全防范ARP病毒攻击的方法有以下几种
(一)局域网内主机防范ARP病毒的方法
1.在客户端使用arp命令绑定网关的真实MAC地址
如果已经有网关的正确MAC地址,可手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC。
2.修改系统拒收ICMP重定向报文
(1)在linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。
(2)在win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。
(3)安装单机版防火墙,如天网、瑞星等等,可修改防火墙设置来拒绝接收icmp重定向报文。
3.安装ARP防火墙,如360安全卫士的ARP防火墙等等
其主要功能有:
(1)拦截外部ARP攻击。在系统内核层拦截接收到的虚假ARP数据包,保障本机ARP缓存表的正确性。
(2)拦截对外ARP攻击。在系统内核层拦截本机对外的ARP攻击数据包,避免本机感染ARP病毒后成为攻击源。
(3)拦截IP冲突。在系统内核层拦截接收到的IP冲突数据包,避免本机因IP冲突造成掉线等。
(4)主动防御。主动向网关通告本机正确的MAC地址,保障网关不受ARP欺骗影响。
(二)网络管理层防范ARP病毒的方法
1.选择具有Super VLAN或PVLAN技术的网络设备管理网络
所谓Super VLAN也叫VLAN聚合,这种技术在同一个子网中划出多个Sub VLAN,而将整个IP子网指定为一个VLAN聚合(Super VLAN),所有的Sub VLAN都使用Super VLAN的默认网关IP地址,不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机或IP DSLAM设备的每个端口划为一个Sub VLAN,则实现了所有端口的隔离,也就避免了ARP欺骗。
PVLAN即私有VLAN(Private VLAN) ,PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口划为一个(下层)VLAN,则实现了所有端口的隔离。
PVLAN和SuperVLAN技术都可以实现端口隔离,但实现方式、出发点不同。PVLAN是为了节省VLAN,而SuperVlan的初衷是节省IP地址。两者都可以达到避免ARP欺骗的效果。
2.在局域网主机上IP+MAC绑定,网络设备上IP+MAC+端口绑定
在Win 98/me、win 2000/xp等系统中,打上ARP补丁, 使用arp –s命令设置IP+MAC绑定,实现静态ARP,不要让主机刷新你设定好的转换表。
在网络设备上做IP+MAC+端口绑定,这样当同一二层下的某台机器发伪造的arp reply(源ip和源mac都填欲攻击的那台机子的)给网关时,网络设备可从(物理)端口处拒绝ARP欺骗报文的流入。
对于采用了大量傻瓜交换机的局域网,用户自己可以采取支持arp过滤的防火墙等方法。推荐Look ‘n’Stop防火墙,支持arp协议规则自定义。
3.选择带有ARP防火墙功能的网络交换机或路由器。
二、快速定位局域网内ARP病毒主机
(一)MS-DOS命令行方法
在能上网时,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的MAC地址,将其记录下来。
将记录下来的网关MAC地址与正确的网关MAC地址相比较,可以看出当前电脑的ARP表是错误的,因此该MAC地址不是真正网关的MAC地址,而是攻击者的MAC地址,
注意:这种情况仅在网关的MAC地址已被更改时使用。此时的故障现象是局域网内部所有主机都不能上网,但网络连接显示正常。如果想立即解决上网的问题,可先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a命令,可查看正确的网关MAC地址。
(二)网络设备端
查看网络设备的ARP缓存列表,判断异常的物理MAC地址。
由上表可以看出,物理地址为000d.609e.67e6的电脑主机在不断的变化自己的IP地址,并不断的向网内发包,可以断定这台电脑就是ARP病毒主机。
(三)通过工具软件定位ARP病毒主机
1.Anti ARP Sniffer软件
Anti ARP Sniffer是一款小巧的防ARP攻击的软件,通过他的抓包追捕功能,可以快速的定位ARP病毒主机。
2.Ethereal抓包软件
Ethereal是免费的网络协议检测程序,支持Unix和Windows操作系统。让您经由程序抓取运行的网站的相关资讯,包括每一封包流向及其内容、资讯可依操作系统语系看出,方便查看、监控TCP session动态等等。通过其抓包功能,可以快速定位病毒感染主机。
三、查杀局域网内ARP病毒的方法
(一)网络设备端
在通过以上定位局域网内ARP病毒主机方法确定ARP病毒主机的MAC地址后,可使用DOS命令将此设备的端口关闭,若病毒主机MAC地址为0015.58e7.2d91,可如下图操作:
注:因为网络内部通过定位病毒主机的方法确定的MAC地址,此地址可能是一台电脑,也可能是一台网络交换机,所以要根据情况操作。另外因网络条件的不同,有许多接入层交换机无管理地址或无管理功能,所以也要根据实际情况处理病毒主机。
(二)局域网内ARP病毒主机的彻底查杀
第一步:
1.进入安全模式
2.打开WINDOWSSYSTEM32下找到NPPTOOLS.DLL文件 。 因为WINDOWS發ARP包要用到NPPTOOLS文件。
3.双击,打开方式选记事本.
4.全选记事本内的字符(看起来象乱码~_~),删除并保存它.这时NPPTOOLS.DLL文件应该是0字节.
5.在NPPTOOLS上点右键,选中只读,再点安全选项卡,把里边所有用户改成拒绝.(XP可能有的没有安全选项卡,这时要打开一个文件夹,点工具-文件夹选项-查看-使用简单文件共享的勾去掉
第二步:
1.进入“MS-DOS”;
2.输入ARP –s 10.78.135.131 00-EO-4C-4E-4B-8F ;(绑定网关IP+MAC)
(三)使用ARP guard杀毒软件,彻底清除ARP病毒,可快速恢复网络主机的通讯。
(四)使用网上发布的ARP病毒专杀工具对机器进行查杀。
多媒体木马的防范方法病毒防范 第5篇
Helix Producer Plus是一款图形化的专业流媒体文件制作工具,这款软件把其他格式的文件转换成RM或RMVB格式,也可以对已存在的RM文件进行重新编辑,在编辑的同时,我们可以把事先准备好的网页木马插入其中,这样只要一打开这个编辑好的媒体文件,插入在其中的网页木马也会随之打开,甚至还能控制网页木马打开的时间,让网页木马更隐蔽。
二、WMV、WMA文件中加入木马的方式
对于WMA、WMV文件,是利用其默认的播放器Windows Media Player的“Microsoft Windows媒体播放器数字权限管理加载任意网页漏洞”来插入木马。当播放已经插入木马的恶意文件时,播放器首先会弹出一个提示窗口,说明此文件经过DRM加密需要通过URL验证证书,而这个URL就是事先设置好的网页木马地址,当用户点击“是”进行验证时,种马便成功了,
和RM文件种马一样,在WMV文件中插入木马我们还需要一样工具DDWMDRM打包加密器,这是一款可以对WMA、WMV进行DRM加密的文件,软件本身是为了保护媒体文件的版权,但在攻击者手中,便成了 的帮凶。
三、防御方法
1.看影片之前,用Helix Producer Plus 9的rmevents.exe清空了影片的剪辑信息,这样就不会出现指定时间打开指定窗口的事件了。(适合RM木马)
2.升级所有的IE补丁,毕竟RM木马实际上也是靠IE漏洞执行的。(适合RM木马)
3.用网络防火墙屏蔽RealPlayer对网络的访问权限。(适合RM木马)
4.换其他播放器,如:梦幻鼎点播放器、暴风影音、Mplayer等。(适合两款木马)
闪存病毒的历史回顾、剖析与防范方法病毒防范 第6篇
然后,在Windows目录下建立一个空文件,文件名为logo1_.exe,文件属性设置成“只读、隐藏、系统属性”。按照此方法,还需建立rundl123.exe、logo_1.exe以及Sy0.exe~Sy9.exe等文件。
接着,拔掉网线,断开网络,暂时关闭病毒防护,
还原被隔离的.exe文件,点击运行。这时被感染的.exe文件就会脱壳,logo1_.exe以及rundl123.exe等会被释放。用最新的专杀对这个.exe文件检测一遍,然后把它放入RAR压缩包里。在RAR中的.exe文件不会感染,在RAR中运行这个程序也没问题。
注意,在使用超级兔子等软件时一定不能清理自己创建的那几个文件。否则,病毒将再次开始活动。
最后,再次全面查杀,保证内部无毒。
闪存病毒的历史回顾、剖析与防范方法病毒防范 第7篇
第一步,清除掉内存中的病毒
1、按住Ctrl+Shift+Esc调出“任务管理器”,单击“进程”页,
2、找到名为“nppsvc.exe”的进程,在其上点击鼠标右键,选择“结束进程”。
第二步,删除染毒文件
1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾,然后点击“确定”。
2、进入Windows下的system32文件夹(默认为C:Windowssystem32),找到名为“nppsvc.exe”的文件,将其删除。
第三步,删除注册表中的病毒信息
1、打开注册表编辑器(点击“开始”->“运行”,输入“regedit.exe”,点击“确定”。)
2、在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中找到名称为“Windows Audio Panel”且数据为“nppsvc.exe”的一项,将其删除,
3、重新启动计算机,查看“nppsvc.exe”文件是否存在,若不存在说明病毒已经清除干净。
附:“MSN布克”病毒借“Facebook”传播
天极网络安全频道资讯 1月28日中午,一个MSN病毒在网上爆发,并被瑞星命名为“MSN布克”。
短短数小时内已有近百用户向瑞星求助。中毒电脑会向MSN好友发送名为“facebook11.zip”的病毒文件,用户打开运行此文件后就会中毒。
据瑞星技术部门分析,该病毒除了会向msn好友滥发垃圾文件之外,还可能在机器中开启后门,使 可对中毒机器进行远程操作。由于该病毒发送的文件名看起来跟著名社交网站Facebook相关,很容易被用户误认为是Facebook通讯录之类的文件而打开运行,这加大了用户的中毒概率。
专家提醒说,随着春节、情人节等重大节日的来临,此类通过MSN、QQ等传播的病毒还可能给用户带来极大的安全隐患,用户接收MSN好友发来的文件时一定要小心处理。同时,用户可以把自己的重要软件,如MSN、QQ等放入瑞星帐号保险柜,这样即使中毒,病毒也无法向外滥发垃圾信息。
闪存病毒的历史回顾、剖析与防范方法病毒防范 第8篇
一、AV病毒 (帕虫病毒)
AV病毒又名帕虫病毒, 英文全名为:A n-t ivirus。它是一系列反击杀毒软件、植入木马下载器的病毒, 它指的是一批具备一定破坏性的病毒、木马和蠕虫。此病毒以U盘传播和网络传播两种方式为主, 采用Windows映像劫持技术 (又名IFEO劫持) , 当病毒在被感染的客户机运行时, 会在硬盘根目录下产生Autorun.inf文件, 以及两个扩展名为:dat和dll的8位随机数字的文件, 并依靠自身的强大威力, 关闭计算机中安装的杀毒软件与防火墙, 甚至连系统更新也无法运行。以达到其独居深处、雀占巢垒的目的, 彻底使中毒的计算机暴露在安全防线之外。
二、AV病毒的特征
AV病毒能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能, 导致用户计算机的安全性能下降, 容易受到病毒的侵袭。同时它会下载并运行其它盗号病毒和恶意程序, 严重威胁到用户的网络个人财产。此外, 它还会造成计算机无法进入安全模式, 并可以通过移动存储介质传播。受感染的计算机即使重新安装操作系统后, 也很容易被再次感染。用户格式化后, 只要双击其它盘符, 病毒将再次运行。AV病毒会使计算机的安全防御体系被彻底摧毁, 安全性几乎为零。它还自动连接某网站, 下载数百种木马病毒及各类盗号木马、广告软件、风险程序, 在用户计算机毫无抵抗力的情况下, 鱼贯而入, 用户的各种密码以及重要资料都处于极度危险之中。
三、AV病毒的传播途径
AV病毒的重要传播途径是U盘等移动存储介质。它能通过U盘、移动硬盘的自动播放功能传播。此外, AV病毒最初的来源是通过大量劫持会话, 利用网站漏洞下载传播。而AV病毒正是利用了电子阅览室为师生提供上网浏览、资源下载、文献检索等服务的特点, 在师生进行资源下载、存储信息的同时将病毒传播。导致电子阅览室绝大部分机器中毒。
四、我馆电子阅览室AV病毒的处理方法
由于AV病毒会攻击杀毒软件, 已经中毒的计算机杀毒软件是无法正常启动的, 双击没有任何反应, 因而这时无法用杀毒软件来清除;利用手动解决也相当困难, 并且, AV病毒是一批病毒, 不能简单的通过分析报告来人工删除。经过实验测试, 有两种比较可行的方法:
方法一:在未中毒的计算机上下载AV病毒专杀工具。禁止自动播放功能, 以避免计算机通过插入U盘或移动硬盘被病毒感染, 将下载的AV病毒专杀工具从未中毒的计算机复制到U盘或移动硬盘上, 然后再复制到中毒的计算机上。执行AV病毒专杀工具, 清除已知的病毒, 修复系统配置。此时不要立即重新启动计算机, 由于病毒已清除, 可以启动计算机中的杀毒软件, 升级病毒库, 进行全盘扫描, 以清除木马下载器下载的其它病毒。
方法二:首先, 从网上下载Ice Sword工具, 并将该工具改名, 比如改成aa.exe, 这样就可以突破病毒进程对该工具的屏蔽。然后打开Ice Sword工具, 结束一个8位数字扩展名为:exe的文件进程。利用Ice Sword的文件管理功能, 展开到C:Program FilesCommon FilesMicrosoft SharedMSINFO下, 删除2个8位随机数字的文件, 其扩展名分别为:dat和dll。然后到各个硬盘根目录下面删除Autorun.inf文件和可疑的8位数字文件, 注意不要直接双击打开各个硬盘分区, 而应该利用Windows资源管理器左边的树状目录来浏览。如果计算机由于中毒无法查看隐藏文件, 可以利用Win Rar软件的文件管理功能, 浏览文件和进行删除操作。最后利用Ice Sword的注册表管理功能, 展开注册表项到:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionImage File Execution Options], 删除里面的IFEO劫持项。当完成以上操作之后, 就可能打开杀毒软件了, 此时升级杀毒软件到最新的病毒库, 就可以对计算机进行全盘杀毒了。
五、AV病毒的防范措施
对于病毒而言, 良好的防范措施, 胜过中毒之后再绞尽脑汁去寻找杀毒方法, 而一旦感染病毒, 清除过程也相当复杂。为了给电子阅览室营造就一个良好的上网环境, 我们应该加强对于AV病毒的防范, 下面提出一些对AV病毒的防范措施。
1. 管理好U盘、MP3、移动硬盘等移动存储介质的
使用。当外来存储介质接入计算机时, 请不要直接双击打开, 如果该存储介质中有AV病毒, 当双击打开时, AV病毒将自动运行。所以当移动存储介质接入计算机时, 一定要先进行杀毒处理, 再打开。
2. 关闭Windows的自动播放功能。
禁用系统的自动播放功能, 防止病毒从U盘、MP3、移动硬盘等移动存储介质进入计算机。关闭Windows系统的自动播放功能的方法是:在运行中输入:gpedit.msc后“确定”, 打开“组策略”, 依次选择“计算机配置管理模块系统关闭自动播放已启动所有驱动器确定”即可。
3. 安装系统补丁程序。
AV病毒与目前绝大多数的木马程序一样, 都是利用微软的MS06-014和MS07-017两个漏洞, 入侵到计算机系统里面的。电子阅览室的所有计算机都打上MS06-014和MS07-017两个补丁, 可以避免绝大多数的网页木马。
4. 安装并使用正版的防火墙软件和杀毒软件。
防火墙软件在防病毒过程中也可以起到至关重要的作用, 能有效地阻挡来自网络的攻击和病毒的入侵。经常更新杀毒软件 (病毒库) , 定期检查局域网病毒, 定期对整个电子阅览室的计算机进行查毒、杀毒。
5. 安装软件要到正规网站下载。
在下载一些小软件的安装程序时, 尽量选择到正规的网站去下载, 避免软件安装包被捆绑木马病毒。
参考文献
[1]吴长江.电子阅览室ARP病毒的处理与防御[J].科技情报开发与经济, 2008, 3
计算机病毒与防范 第9篇
关键词:计算机;网络安全;计算机病毒
中图分类号:TP309.5
1 计算机病毒概述
在人类跨入新的世纪后计算机的发展更加迅猛,而当前计算机的应用已经比较普及,但是,人们对计算机病毒的认识还比较肤浅,不能及时采取预防措施,因此让用户掌握必须的计算机病毒知识是非常必要的。
1.1 计算机病毒的定义
计算机病毒是指破坏计算机功能或者数据,并能自我复制的程序。
1.2 计算机病毒起源
计算机病毒从性质上来讲,一般有以下几种来源:(1)搞计算机的人员和业余爱好者为了寻求刺激、自我表现的一种恶作剧;(2)为了避免非法复制合法的软件,软件商在软件产品中加入病毒程序并按一定条件触发感染。
1.3 计算机病毒特点
(1)寄生性。计算机病毒一般会寄生在其他程序中,当用户未执行这个程序之前,它一般不易被发觉,一旦用户执行这个程序时,病毒就起到破坏作用;(2)潜伏性和可激发性。一般计算机感染病毒后,一般不会马上就发作,可能隐藏在电脑中几个月或者几年,等到某个触发事件或者数值的出现,才会发作进而攻击计算机;(3)传染性。如果计算机病毒一旦被触发,它会迅速传染符合条件的程序或者存储介质,然后再主动复制或产生变种,然后以令人难以预防的速度传播整个网络,感染其他的程序和计算机;(4)破坏性强。网络病毒破坏性极强。计算机中毒后,一般会降低计算机的运行速度,也可能会导致软件和硬件的无法运行,甚至会导致整个网络崩溃,造成严重的后果。
1.4 计算机病毒的表现形式
计算机被病毒感染后,会出现不同的现象,具体总结如下:(1)计算机运行速度变慢或者出现死机重启现象;(2)系统无法启动;(3)磁盘空间迅速变小;(4)文件打不开或被更改图标;(5)数据丢失;(6)文件内容和长度有所改变;(7)不能正常开、关机;(8)自动运行某些程序,干扰正常操作;(9)无法正常上网;(10)外部设备工作异常。
1.5 计算机病毒的主要传播渠道
1.5.1 U盘等可移动存储设备。U盘、移动硬盘、光盘、照相机中的SD卡都可能成为病毒的传播媒介,一般当存储设备插入一台已感染的计算机,而病毒趁机植入该移动设备,而用户再插入其他的计算机就会导致其中毒。
1.5.2 通过网络传播。(1)电子邮件。黑客将病毒放在电子邮件中或者其附件中,引诱受害者打开电子邮件或者其附件而传染病毒;(2)QQ、MSN即时通讯软件。在我们日常使用QQ软件聊天时,常常会收到“你已中奖,请打开以下网址”等等,如果我们打开那个网址,很可能就会中毒,而后通过QQ给你的好友发送带有病毒的网址,从而使病毒迅速蔓延扩散出去;(3)手机、平板电脑等移动通讯设备。随着智能手机和3G、4G网络的普及,用户通过手机、平板电脑可以轻松上网,然而手机、平板电脑给病毒提供了一种新的传播平台;(4)网络钓鱼陷阱。一些非法网站通过伪装化身成网上银行、淘宝网、网上证券等网站,窃取用户的银行帐号和密码等个人隐私,进而盗取用户资金;(5)网页病毒。一旦用户浏览含有病毒的网页,这种病毒会在用户的计算机上自动执行和传播病毒;(6)间谍软件。这种软件是一种恶意程序,它隐藏在软件安装包中并趁机潜入计算机系统中,跟踪用户,从而窃取用户的密码和个人隐私信息。
2 计算机病毒防范
要保证计算机安全就必须要做好预防工作,这也是防治病毒的关键。一般可以采取以下措施:
2.1 个人计算机安全意识的增强
2.1.1 避免链接形式进入密码网站。目前有很多用户使用银行卡交易查询等,都是在计算机上操作的,对于这样的操作尽量不用链接方式直接进入网站。有很多网络破坏者,通过在网络中建立相似的网站盗取密码,所以对于银行业务或网上交易尽量不用链接的直接进入方式操作。很多人会为自己的计算机设置密码,这也是为了保护计算机安全,所以在任何情况下都不要将设置的密码告诉其他人,并且经常更改密码以更好的保护计算机安全。
2.1.2 避免使用不确定的移动设备。计算机发展十分迅速,移动设备种类也就越来越多,而移动设备对于人们来说,存储信息十分方便,但是移动设备在多个计算机之间进行转移数据,就会存在很多安全隐患。移动设备中会存在很多病毒文件,如果连接计算机后,病毒就会感染自己的计算机。所以,在生活或者工作中,尽量避免将不确定的移动设备连接计算机,或者要在打开设备之前进行杀毒。
2.1.3 陌生网站或邮件尽量避免浏览。尽量浏览自己较为熟悉的网站,保证计算机运行和工作的环境基本安全,陌生的邮件尽量不要看,网络中存在很多病毒或者木马,这些病毒都可以利用电子邮件进行传播。所以对于陌生的网站或邮件,尽量避免浏览或回应。
2.2 安装正版杀毒软件和防火墙
安装有效的防毒软件是计算机防御系统的重要组成部分。它可以排除病毒对计算机的威胁,保护系统,保护自己的个人隐私。在计算机上设置防火墙也可以避免计算机受到恶意的攻击,其实防火墙就像一个分离器,它能够阻止内部网和外部网之间的任何活动,从而保证内部网络的安全。
2.3 及时更新系统并合理安装软件程序
(1)及时更新查杀计算机病毒引擎,一般至少一个月更新一次,最好每周更新一次,如果遇到突發病毒应及时更新;(2)经常用杀毒软件对系统进行计算机整个系统的病毒检查;(3)不要在安全性得不到保障的网站下载软件;(4)不随意安全不知晓的软件;(5)从网络下载的软件应及时杀毒;(6)安装软件程序时,要合理、谨慎的选择某些功能模块。
2.4 正确使用移动设备
使用U盘时,最好先进行病毒查杀;禁止用U盘的自动播放功能。
2.5 设置安全密码
建议设置长度在8位以上的密码,最好采用英文、数字、特殊符号等组合方式。
2.6 网上交易保护
谨慎进行网上交易,并保护好自己的网银证书。
2.7 备份
做好重要数据的备份,以免在遭受病毒侵害后及时恢复。
网络让我们的生活更加方便和快捷,但也使我们遭受个人隐私和商业秘密的威胁,如何发挥计算机的最大利益,又能把病毒拒之门外,这是我们每个人要学习和解决的问题。虽然病毒的发展和传播速度超过我们的想象,危害极大,只要我们不断增强计算机安全的意识,采取有效的防范措施,最终我们会战胜计算机病毒。
参考文献:
[1]冯卫.计算机病毒及网络安全的对策研究[J].电脑知识与技术,2007(18).
[2]石晓玉.浅析计算机网络安全[J].科技情报开发与经济,2010(24).
[3]赵锦域计算机网络安全与对策[J].教育信息化,2010(09).
[4]李旭华.计算机病毒──病毒机制与防范技术[M].重庆:重庆大学出版社,2002.
闪存病毒的历史回顾、剖析与防范方法病毒防范 第10篇
简单的说就是:这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址,而那个源MAC地址可能是自己的MAC,也可能是一个无用的MAC地址。而目的IP地址和目的MAC地址都是广播地址,这样的话,这个新的ARP条目就会发送到网络中的任何一个设备中。然后,这些设备就会更新自己的ARP缓存,这样一来呢,就达到欺骗的效果了。以后我们的机器在往重要的设备上发送数据的时候,就会先检查自己的ARP缓存啊,确实存在这么一个ARP条目,殊不知已经是被掉包的了。所以呢,我们发送的数据就不会按照我们原来的意愿,到达真正的目的地。
从上面的这些话当中,我们可以提炼出:中毒后的机器会频繁的自动产生一些假的ARP包,来达到让别的设备更新自己的ARP缓存的目的,以达到欺骗的目的。
我们可以分下实现这个ARP病毒需要分几个步骤:
1.机器得自己产生ARP报文。
2.并且一定要频繁,更新设备ARP缓存的间隔一定要比正常情况下的小,且小的多。
3.别的设备得接受,并且承认这种频繁来更新的ARP条目。
知道了它的工作过程,那么我们就从各个步骤进行分析,下对策。
首先说呢,ARP这个协议本身就不怎么地,本身就是不安全的。就是在没有ARP请求包的情况下,机器也可以发送ARP回应包。这样看来的话,就好像是UDP对应起TCP一样,是属于那种“无连接状态”的。也正是这种协议本身的安全缺陷,才让欺骗这么容易的进行。没事的情况下,设备还具备发送这样的ARP包的能力呢,别说中毒了,那就发送的更狂了,并且发送的还都是一些经过特定修改的。修改ARP回应包的源Ip地址,修改成重要设备的地址。修改了这个IP地址,才可以对这个对应的IP地址的设备进行阻碍,以后发送往这个设备发送的数据都会发送到这个中毒的机器来。也许你会说,中毒的可以发,人家那个正常的设备也可以发啊。是啊,所以为不让其他的设备承认真正的设备发送的ARP包,这个中毒的机器才使得自己拼命的发,一个劲的发,拼命的发。这样的话,让那个真正的设备发送的ARP包没有机会更新其他设备的ARP缓存。如果我们不该找个ARP包的源MAC地址的话,也就是说这个MAC地址是这个中毒的机器的MAC地址,那么以后发送到那个源IP地址的设备的数据都会发送到这个中毒的机器来。如果这个MAC地址是网关的地址的话,那么其他的机器上网的数据不是发送到真正的网关了,而是发送到这个中毒的机器来。如果在这个机器上再安装个分析软件的话,就完全可以知晓网络中的一切信息交流。如果这个MAC地址是个无效的。那么以后发送到那个源IP地址的数据流就会被无奈的丢弃啦。因为在LAN中传输数据用的是MAC啊,。现在每个机器都是知道了那个IP地址的是那个MAC地址,殊不知这个MAC是静心策划的无效MAC。这样一来的话,就会导致发送到那个IP地址的数据全部被丢弃。造成的后果如何就看这个ARP包的源Ip地址是什么设备的IP地址 了。如果是网关的话,那么全网的机器就都上不去网了。如果是一个普通机器的Ip地址呢,那么这个机器就上不去了。我们说的,这种ARP病毒包会频繁的发送,虽然正常的ARP包被接受的几率很小很小了,但是也会有被接受的可能啊,所以,ARP病毒会导致网络中的机器上网断断续续的。厉害了,就完全出现网络断开的现象咯。不知不觉,一个“首先”就分析了1和2两个步骤。那么我们对于上述的这些过程,该如何阻挠呢?细看,这些都是病毒的实质的工作方式。我们不可能更改他们啊。那么我们就想想是否可以阻止这样的数据包进入网络。如果进入不了网络,那就完全么事咯。这个问题就需要我们在机器联网的地方做手脚了。那就是接入层交换机上的端口咯。也就说得让交换机的端口只允许一个MAC地址的数据包通过,并且这个数据包还是的MAC地址还是下面连接的机器的真正的MAC地址。这样一来呢,如果再找个端口上进出其他MAC地址的数据包,这个端口就会采取相应的措施:关闭端口(永久性关闭或者将端口周期性的进入到err-disable状态)、限制(将非匹配MAC地址的数据包全部丢弃掉)、保护(当端口学习的MAC地址数到达了设置在这个端口上可以学习的MAC的最大数量的时候,丢弃后面来的任何不同于先前这些MAC地址的数据包。)
最近,我单位碰到一个非常奇怪的问题,一台P4品牌电脑,内置英特尔网卡,一直以来用得挺好,浏览互联网,内网的通信都很正常。突然有一天,发现这台计算机在浏览互联网时时通时断,ping互联网上的地址时,也是通一下,断一下,但ping内网时什么问题也没有,和内网的通信也非常正常,就是和互联网通信时有这种现象,非常令人费解。这台电脑的IP地址为192.168.24.55,防火墙的 IP地址为192.168.24.7。
检查物理链路
我单位所有访问互联网的电脑都是通过Netscreen NS25防火墙来连接的,如果说是防火墙的问题,而其他的电脑访问互联网都挺正常,没有时通时断的现象。根据这台电脑ping的现象来看,问题似乎应该在下三层,而时通时断的现象好像是典型的物理层的问题,那么首先开始检查链路。
这台电脑是接在一台Cisco三层交换机的某一个端口上,防火墙也是接在这台三层交换机上,在三层交换机上启用了路由,配置上肯定没有问题。先检查电脑到交换机的网线,如果说这根网线有问题,那么这台电脑与内网的通信也应该有问题,通过对这根网线的测试证实没有问题。防火墙到交换机的跳线就更应该没有问题了,因为其他的电脑都没有问题。由此可以判断链路是没有问题的,网卡会有问题吗?肯定也不会,因为它跟内网的通信是正常的,所以网卡肯定也没有问题。那么就可以排除物理层的问题了。
模拟数据通信
再看网络层,这台电脑能够访问互联网,但并不是完全不行,只不过有丢包而已,似乎网络层也不应该有问题,那么所有问题似乎就集中在数据链路层了。数据链路层的问题会是哪里呢?思考了几天,毫无头绪,最后只好仔细的想一想网络通信的过程,看能不能找到问题。
假设这台电脑有一个数据包需要发送到互联网,那么首先它会检查目的地址与本机地址是否是在一个网络中,如果不在一个网络中,就会将数据包发送给默认网关,本案例中目的IP为互联网地址,所以肯定不在一个网络中,所以数据包会发送给默认网关。在这里默认网关为那台Cisco三层交换机,IP地址为192.168.24.10。这时192.168.24.55这台电脑会检查本机的ARP表,查找192.168.24.10所对应的MAC地址,如果在ARP表中没有发现相应的ARP表项,它就会发送一个ARP请求包,将它发送给网络中的所有设备来获得192.168.24.10的MAC地址。由于ARP请求包是以广播方式发送的,网络中的所有设备都会接收到这个包,然后传送给网络层检验。
当Cisco三层交换机接收到这个ARP请求时,就会检查本机的IP地址和ARP请求包中的目的IP地址是否相同,如果相同,交换机就会做出ARP应答,将它的MAC地址发送给源,也就是192.168.24.55这台电脑。这台电脑收到ARP应答包后,就会将交换机的IP地址192.168.24.10和MAC地址写入ARP表,然后将交换机的MAC地址作为目的MAC地址封装到数据包中,并将数据包发送到交换机。交换机在收到数据包后,就会检查目的IP是否在本网段中,发现不在本网段中,就会查找路由表,看看有没有到目的IP的路由条目,如果没有,就会将数据包发送给默认路由,在本案例中这台交换机的默认路由是那台IP为192.168.24.7的防火墙。所以交换机就会发送一个ARP广播,以获得防火墙的MAC地址。防火墙做出ARP应答后,交换机就会将防火墙的MAC地址作为目的MAC地址封装到数据包中,数据包就会发送到防火墙,然后防火墙就会又重复上述过程,将数据包发送给互联网上的目的地址。这一切过程都是正常的,没有什么问题。在电脑和交换机的ARP表中都能找到相应的ARP记录,用tracert命令跟踪路由也是正常的,那问题究竟在什么地方呢?看来还得继续分析。
过滤ARP表
在数据包到达了互联网上的目的地址之后,响应的数据包要返回到这台电脑,那么它也应该重复前面的过程。返回数据包先到达防火墙,在防火墙的ARP表中寻找目的IP地址所对应的MAC地址,如果没有,就会发送ARP请求,得到目的电脑的MAC地址,将电脑的IP地址和MAC地址写入防火墙的ARP表,封装后发送给这台电脑,
这一切看起来都是正常的,但为什么会出现时通时断的现象呢?由这台电脑在内网都是正常的现象来判断,在三层交换机上应该是没有问题的,只是在访问互联网时才出现问题,最后决定从防火墙上开始检查。
Telnet上防火墙,检查防火墙配置,一切正常;检查端口,一切正常;检查路由表,也是一切正常。疑惑中,似乎不知该从哪里下手了。突然间,想起来为了防止内网用户盗用IP地址上网,在防火墙上做了IP地址和MAC地址的绑定的!对,检查检查ARP表。于是输入命令:get arp,显示一大串ARP表的信息,竟然全部是IP地址和MAC地址的静态绑定的信息,仅仅只有一条动态的,那是防火墙的下一跳的IP地址和下一跳的MAC地址的信息,就是没有192.168.24.55的ARP表项,难道是……ARP表的问题?似乎看到了一丝希望!
于是决定先清除几个静态绑定的ARP表项试试,先用unset arp命令一连清除了6条静态绑定的ARP表项,然后在那台电脑上ping互联网的地址,居然不丢包了!?困扰我几天的问题难道就这样解决了吗?我简直有点不敢相信,又让我的同事在这台电脑上面测试一下,登录QQ,浏览网页,收发邮件……,居然一切正常,再也没有原来时通时断的现象了!再Telnet到防火墙上,get arp一看,192.168.24.55那台电脑的ARP表项赫然在目。看来问题真的解决了!高兴之余坐下来再好好的想一想原因吧。
故障溯源
这台Netscreen NS 25的防火墙最多支持128个ARP表项,如果不进行静态绑定,ARP表项会不断地进行更新,超时的自动会删掉,所以不会出现ARP表项被占满的情况。而如果是静态绑定,那么它永远就不会被清除,永远会占据一个ARP表项,留给动态使用的ARP表项空间就会越来越少,直到全部占满,导致我所碰到的情况。那么既然如此,有朋友会问了,既然都占满了,其他的电脑就会完全不通,为什么会出现时通时断的现象呢?于是我将ARP表项数了一下,静态绑定的刚好达到127个,剩下一个给防火墙的下一跳的地址占用了,注意这个是动态的,当它的更新时间到了之后,就被删掉了,那台电脑就占用了这个表项,于是网络就通了,因为还有其它的电脑在不断地访问互联网,所以192.168.24.55的ARP表项一到达更新时间马上就会被防火墙的下一跳的地址所占用,这时网络就不通了。其实在这时,我单位的所有机器在访问互联网时都会出现时通时断的现象,只不过防火墙的下一跳的地址占用ARP表项的时间长,互联网中断的时间在大家能够忍受的范围内,都没有发觉罢了。因为防火墙的下一跳的地址占用ARP表项的时间长,192.168.24.55的ARP表项写不进ARP表,产生超时,所以它不通的时间就长一些,就出现时通时断的现象了。
1、清空ARP缓存:大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题,该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备,用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,具体解决过程如下:
第一步:通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式;
第二步:在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息;
第三步:使用arp -d命令,将储存在本机系统中的ARP缓存信息清空,这样错误的ARP缓存信息就被删除了,本机将重新从网络中获得正确的ARP信息,达到局域网机器间互访和正常上网的目的。如果是遇到使用ARP欺骗工具来进行攻击的情况,使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒,病毒每隔一段时间自动发送ARP欺骗数据包,这时使用清空ARP缓存的方法将无能为力了。下面将接收另外一种,可以解决感染ARP欺骗病毒的方法。
2、指定ARP对应关系:其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储的网关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。
第一步:我们假设网关地址的MAC信息为00-14-78-a7-77-5c,对应的IP地址为192.168.2.1。指定ARP对应关系就是指这些地址。在感染了病毒的机器上,点击桌面->任务栏的“开始”->“运行”,输入cmd后回车,进入cmd命令行模式;
第二步:使用arp -s命令来添加一条ARP地址对应关系, 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了,本机网络连接将恢复正常了;
第三步:因为每次重新启动计算机的时候,ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件(例如:bat)中,然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话,就可以免除因为ARP静态映射信息丢失的困扰了。
3、添加路由信息应对ARP欺骗:
一般的ARP欺骗都是针对网关的,那么我们是否可以通过给本机添加路由来解决此问题呢。只要添加了路由,那么上网时都通过此路由出去即可,自然也不会被ARP欺骗数据包干扰了。第一步:先通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式;
第二步:手动添加路由,详细的命令如下:删除默认的路由: route delete 0.0.0.0;添加路由:
route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;确认修改:
route change此方法对网关固定的情况比较适合,如果将来更改了网关,那么就需要更改所有的客户端的路由配置了。
4、安装杀毒软件:
安装杀毒软件并及时升级,另外建议有条件的企业可以使用网络版的防病毒软件。
如何能够快速检测定位出局域网中的ARP病毒电脑?
面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并且实时监控着来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但是其MAC地址竟然是其它电脑的MAC地址的时候,这时,无疑是发生了ARP欺骗。对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出中毒电脑了。下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法。
命令行法
这种方法比较简便,不利用第三方工具,利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候,ARP病毒电脑会向全网不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成ARP病毒电脑的MAC地址,这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,查询命令为 ARP -a,需要在cmd命令提示行下输入。输入后的返回信息如下:
Internet Address Physical Address Type
192.168.0.1 00-50-56-e6-49-56 dynamic
电脑病毒与内部结构病毒防范 第11篇
先简单介绍一下硬盘上相关结构:
1、MBR(主引导记录)
硬盘第一个物理扇区为MBR,当我们选择从硬盘启动时,由 bois从该扇区读入引导代码。MBR关键数据可分为3部分:
(1) 引导代码
(2) 分区表
(3) 结束标志(55AA)
分区表用以管理整个磁盘空间的划分。它从MBR的0x1BE偏移开始,有4个表项,每项16个字节,因此最多只能可以建立4个主分区。(微软为了克服这个数量限制,设计了扩展分区的方式,所谓扩展分区就是分区表中指向的一个普通分区而已,只是在它自己分区内部又有特殊的结构,使得我们可以分出多个逻辑分区,我们平时看到的d、e、f等驱动器实际上都是扩展分区内部划分的逻辑分区,你可以用winhex查看你的分区表,会发现里面只有两项,一项代表C盘分区,另外一项就是代表其他所有驱动器之和的扩展分区了,当然如果自己分了其他主分区的情况除外)
2、DBR
每个主分区的第一个扇区存放着另一个引导扇区DBR,“分区引导扇区”或叫“DOS引导扇区”,
该扇区的目的就是读入ntldr,以进行进一步分引导。该扇区也是以”55AA”标志结束。
3、扩展分区
详细讲一下扩展分区的结构,我们平时能分多个逻辑磁盘出来都是它的功劳。
前面说了扩展分区内部有着自己特殊的结构以实现多分区,它和普通的主分区一个明显的差别就是它的第一个扇区存放的就不是DBR了,而是一个叫虚拟MBR的扇区。叫虚拟MBR是因为他和MBR结构很像。结构也为3部分:
(1) 全0
(2) 分区表
(3) 55AA
它没有引导代码,以全0代替。分区表偏移也在0x1BE处,为4项。只是它只会用前两项。后面两项全0。第一项指向一个逻辑驱动器(逻辑分区)比如d盘。第二项指向下一个虚拟MBR(如果还有逻辑分区的话)。如此就形成了一个链,突破了分区个数限制。扩展分区本身没有DBR,它的DBR在它的每个孩子即逻辑分区的第一个扇区。你可以把扩展分区想象成一个独立的硬盘,只是分区的组织方式变成链表了,这样可能好理解点。忘了一点,记得曾经有过硬盘逻辑锁的概念,其原理就是把逻辑分区的链表修改成了一个环,这样在系统遍历这个链表时就死循环了。
windows系统从MBR开始的引导过程简单描述为:MBR->活动分区DBR->Ntldr->boot.ini启动菜单->加载系统。
闪存病毒的历史回顾、剖析与防范方法病毒防范 第12篇
再次仔细检查我们会发现,在系统收藏夹里被添加了“手机铃声下载”和“娱乐互动门户”两个链接,其地址分别是“hxxp://u.7town.***/Pub/mms/7/?uid=19612”和“hxxp://***.eqibbs.com/”。
用System Repair Engineer扫描后发现了一些端倪:
这个恶意软件在运行后会自动删除其本身,并自动复制副本到%SYSTEM%目录下,
同时%SYSTEM%killme.bat这个恶意软件的批处理文件会被复制到%SYSTEM%,并自动删除本身,
而在注册表里,创建了服务项:
系统中创建了文件:
在释放%SYSTEM%jsefusf.dll后,还会插入winlogon.exe进程,
知道了它的机理,清除方法也就大致出来了。
首先删除注册表里的服务项,选择“开始”―〉“运行”―〉“输入”―〉“regedit”,然后依次展开:HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservices,删除里面的jsefusf。在IE浏览器的“属性”选项里把主页更改回来。
然后,重启计算机。进入系统后找到并删除下面两个文件
【闪存病毒的历史回顾、剖析与防范方法病毒防范】相关文章:
u盘病毒的防范方法08-20
网络安全与病毒防范07-25
计算机病毒分析与防范07-23
计算机病毒解析与防范02-21
计算机病毒与防范措施02-21
计算机病毒特点与防范02-21
浅谈计算机病毒与防范03-18
传播与防范计算机病毒论文提纲09-03
病毒分析报告病毒防范09-08
传播与防范计算机病毒论文参考文献09-07