局域网病毒的防范和处理.ppt

1、局域网病毒的防范和局域网病毒的防范和处理处理用服培训文档计算机病毒在网络中泛滥已久，而其在局域网中也能快速繁殖，导致局域网计算机的相互感染，下面将为大家介绍有关局域网病毒的入侵原理及防范方法。n局域网病毒入侵原理及现象n局域网病毒的特点n局域网病毒防范方法n局域网病毒的诊断和处理 局域网病毒入侵原理及现象n先来剖析一下其网络的基本结构，中小型企业使用的办公局域网不外乎计算机网络应用的一个分支，因此它离不开网络的基本构成形式。从本质上来看，中小企业的网络同样是由一个个网络节点站所组成的（也可以称其为网络上的一个个站点），站点就可以具体为网络服务器和客户机。计算机病毒可以通过各种途径进入到网络中的

2、一个站点（包括服务器），然后再通过局域网络中的各种特定环境进行传播。具体地说，我们可以把它的传播方式归纳为以下几种。1.局域网资源共享感染病毒n中小型企业组建的局域网很大的一部分用处是在共享资源方面，而正是由于共享资源的“数据开放性”，造就了病毒感染的有效渠道。2.服务器数据传播病毒n中小型企业不可能像花大成本构建含“路由器”等高端网络设备的网络环境，很多工作都会丢给一台普通PC代替的服务器去做，网络中的客户机可以通过服务器来和外界联系，而客户机自间的内部邮件传递也可以通过服务器完成，但普通PC的性能特点，不可避免地在病毒面前有其脆弱性。一旦服务器感染病毒，所有需要经过服务器的数据也会被顺带感

3、染，进而造成整个网络感染病毒的情况。3.客户机之间的数据传递携带病毒n客户机除了和服务器通讯之外，相互之间也需要进行数据传递，如果其中一台计算机感染病毒，在与另一台客户机传递数据时，势必会将病毒带给对方。4.客户机带动服务器染毒，进而感染网络中的其他客户机n这种形式可以说是综合了前三种形式。网络中的某一台客户机染毒，通过1、3种形式感染服务器，服务器再由第2种形式感染其他客户机。n如果企业使用的是“无盘工作站”形式，那么病毒的传播将更为简易。因为其“无盘”并非真的“无盘”（它的盘是网络盘），当其运行网络盘上的一个带毒程序时，便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上，

4、因此整个“无盘”网络就彻底地被病毒感染了。局域网病毒的特点n知道了病毒的传播方式，再来看看它的特点。在中小型企业网络的特定环境下，病毒除了与生俱来的可传播性、可执行性、破坏性等常规病毒的共性外，还具有一些其他的特点：1.感染速度快n病毒的传播必须要一定的途径，在完全封闭的单机情况下，病毒是无法从一台计算机传给另一台计算机的。不过在企业简单的网络环境下，病毒的传播可以利用充分的介质，通过简单而快速的内部网络，病毒可以迅速地传播，举个例子：在常见的100M办公网络内，只要有一台工作站染毒，就可在几十秒钟内将同一网络中的数百台计算机全部感染。2.扩散面广n病毒感染了局域网中某一台客户机，而客户机又可

5、以进一步感染网络中的其他客户机（也包括服务器），而感染了病毒的客户机又可以更进一步的感染更多客户机（也包括了局域网以外的计算机）如此反复交叉感染，病毒在网络中扩散时，除了速度快以外，其扩散范围也相当惊人。3.传播的形式复杂多样n网络内病毒的传播形式前面我们已经做了介绍，这里就不再详细说明，不过随着计算机病毒的推陈出新，相信还会有更多的我们所无法预计的传播形式。4.难于彻底清除n单机上的计算机病毒有时可以通过杀毒和删除带毒文件来解决。如果还不行，低级格式化硬盘等措施总能将病毒彻底清除。n而网络中只要有一台工作站未能清除干净，就可使整个网络重新被病毒感染，甚至刚刚完成杀毒工作的一台工作站，就有可能

6、被网上另一台带毒工作站所感染。因此，以对付单机形式的杀毒方法，在局域网内会显得捉襟见肘，心有余而力不足。5.破坏性大n中小型企业的办公网络，主要就是为企业的工作服务。受到病毒袭击后，不但影响网络正常的工作，而更可怕的是它会使网络崩溃，破坏网络中计算机的数据，使工作成果毁于一旦。6.可激发性n它可以称得上是病毒的隐蔽性在网络上的延伸，网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，也可以是网络的一次通信等等。一个病毒程序可以按照病毒设计者的要求，在某个工作站上爆发，并传播给整个网络。7.潜在性n在网络中，一旦感染了病毒，即使病毒已被清除，其潜在的危险性也是巨大的。根据对企业的网络统

7、计，病毒被清除后，85%的会在30天内会被再次感染。案例n例如尼姆达病毒，会搜索本地网络的文件共享，无论是文件服务器还是终端客户机，一旦找到，便安装一个隐藏文件，名为Riched20.DLL到每一个包含DOC和eml文件的目录中，当用户通过Word、写字板、Outlook打开DOC和eml文档时，这些应用程序将执行Riched20.DLL文件，从而使机器被感染，同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件，不需你打开附件，只要阅读或预览了带病毒的邮件，就会继续发送带毒邮件给你通讯簿里的朋友。n企业还在使用单机版杀毒软件来防御病毒的同时，病毒却在以多种形式借助局域网迅速传

8、播，它们攻击客户端、服务器、网关，几乎无孔不入，不夸张地说，轻而易举地就可以使整个局域网陷于瘫痪，难道我们真的要坐已待毙吗？局域网病毒防范方法 n以尼姆达病毒为例，个人用户感染该病毒后，使用单机版杀毒软件即可清除；然而企业的网络中，一台机器一旦感染尼姆达，病毒便会自动复制、发送并采用各种手段不停交叉感染局域网内的其他用户。n计算机病毒形式及传播途径日趋多样化，因此，大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单，而需要建立多层次的、立体的病毒防护体系，而且要具备完善的管理系统来设置和维护对病毒的防护策略。n一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的，应该根

9、据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。1.增加安全意识n杜绝病毒，主观能动性起到很重要的作用。病毒的蔓延，经常是由于企业内部员工对病毒的传播方式不够了解，病毒传播的渠道有很多种，可通过网络、物理介质等。查杀病毒，首先要知道病毒到底是什么，它的危害是怎么样的，知道了病毒危害性，提高了安全意识，杜绝毒瘤的战役就已经成功了一半。平时，企业要从加强安全意识着手，对日常工作中隐藏的病毒危害增加警觉性，如安装一种大众认可的网络版杀毒软件，定时更新病毒定义，对来历不明的文件运行前进行查杀，每周查杀一次病毒，减少共享文件夹的数量，文件共享的时候尽量控制权限和增加密码

10、等，都可以很好地防止病毒在网络中的传播。2.小心邮件n随着网络的普及，电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时，也无意之中成为了病毒的帮凶。有数据显示，如今有超过90的病毒通过邮件进行传播。尽管这些病毒的传播原理很简单，但这块决非仅仅是技术问题，还应该教育用户和企业，让它们采取适当的措施。只要用户随时小心警惕，不要打开值得怀疑的邮件，就可把病毒拒绝在外。3.挑选网络版杀毒软件n选择一个功力高深的网络版病毒杀手就至关重要了。一般而言，查杀是否彻底，界面是否友好、方便，能否集中管理是决定一个网络杀毒软件的三大要素。局域网病毒的诊断和处理n局域网病毒的诊断n局

11、域网病毒的处理n单机病毒的处理nWINPE的使用快速找出局域网中病毒源头n在局域网环境中上网的朋友会经常碰到无故断线的情况，并且检查电脑也检查不出什么原因。其实出现这种情况，大部分情况下都是局域网中的某一台电脑感染了ARP类型的病毒所至。感染病毒，电脑一一杀毒，电脑过多的情况下显然很费时费力。现在就告诉你这三招两式，快速找出局域网中的“毒瘤”。nARP：Address Resolution Protocol的缩写，即地址解析协议。ARP负责将电脑的IP地址转换为对应的物理地址，即网卡的MAC地址。当发生ARP欺骗时，相关主机会收到错误的数据，从而造成断网的情况发生。一、查看防火墙一、查看防火墙

12、 n日志局域网中有电脑感染ARP类型病毒后，一般从防火墙的日志中可以初步判断出感染病毒的主机。n感染病毒的机器的典型特征便是会不断的发出大量数据包，如果在日志中能看到来自同一IP的大量数据包，多半情况下是这台机器感染病毒了。n这里以Nokia IP40防火墙为例，进入防火墙管理界面后，查看日志项，在“Event Log”标签下可以明显看到内网中有一台机器不断的有数据包被防火墙拦截，并且间隔的时间都很短。目标地址为公司WEB服务器的外网IP地址，设置过滤策略时对WEB服务器特意加强保护，所以可以看到这些项目全部是红色标示出来的。到WEB服务器的数据包被拦截了，那些没有拦截的数据包呢？自然是到达了

13、目的地，而“目的”主机自然会不间断的掉线了。n由于内网采用的DHCP服务器的方法，所以只知道IP地址还没有用，必须知道对应的MAC地址，才能查到病毒源。我们可以利用NBTSCAN来查找IP所对应的MAC地址。如果是知道MAC地址，同样可以使用NBBSCAN来得到IP地址。n由此可见，防火墙日志，有些时候还是可以帮上点忙的。n如果没有专业的防火墙，那么直接在一台客户机上安装天网防火墙之类的软件产品，同样能够看到类似的提醒。二、利用现有工具二、利用现有工具n如果觉得上面的方法有点麻烦，且效率低下的话，那么使用专业的ARP检测工具是最容易不过的事了。这里就请出简单易用，但功能一点也不含糊的ARP 防

14、火墙。ARP防火墙可以快速的找出局域网中ARP攻击源，并且保护本机与网关之间的通信，保护本机的网络连接，避免因ARP攻击而造成掉线的情况发生。软件运行后会自动检测网关IP及MAC地址并自动保护电脑。如果软件自动获取的地址有错误，可单击“停止保护”按钮，填入正确的IP地址后，单击“枚取MAC”按钮，成功获取MAC地址后，单击“自动保护”按钮开始保护电脑。n当本机接收到ARP欺骗数据包时，软件便会弹出气泡提示，并且指出机器的MAC地址。单击“停止保护”按钮，选中“欺骗数据详细记录”中的条目，再单击“追捕攻击者”按钮，在弹出的对话框中单击确定按钮。n软件便开始追捕攻击源，稍等之后，软件会提示追捕到的

15、攻击者的IP地址。其实大多数时候，不用手工追捕，软件会自动捕获到攻击源的MAC地址及IP地址。手动查找中毒机器n在电脑上ping 一下网关的IP 地址，然后使用ARP a 的命令看得到的网关对应的MAC 地址是否与实际情况相符，如不符，可去查找与该MAC 地址对应的电脑。三、有效防守三、有效防守n俗话说，进攻才是最好的防守。虽然通过上面的方法可以找到病毒源，并最终解决问题，不过长期有人打电话抱怨“又断线了”。总是这样擦屁股，似乎不是长久之际，因此有效保护每一台机器不被ARP欺骗攻击才是上策。比较有效的方法之一便是在每一台机器上安装ARP防火墙，设置开机自启动，并且在“拦截本机发送的攻击包”项打

16、勾，这样不仅可以保护不受攻击，还可以防止本机已感染病毒的情况下，发送欺骗数据攻击别的机器的情况发生。应急的方法n手动ARP地址绑定n使用这种方法绑定的弱点便是，机器重新启动之后，绑定便会失效，需要重新绑定。因此可将上面的命令行做成一个批处理文件，并将快捷方式拖放到开始菜单的“启动”项目中，这样就实现每次开机自动绑定了。n方法一：编辑个*.bat 文件内容如下：narp.exe sn*.*.*.*（网关ip）*n*n*n*n*（网关mac 地址）nendn让网络用户点击就可以了!n办法二：编辑一个注册表问题，键值如下：nWindows Registry Editor Version 5.00nH

17、KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunn“mac”=“arp s网关IP 地址网关Mac 地址”n所谓“道高一尺，魔高一丈”，技术总是在不断更新，病毒也在不断的发展。使用可防御ARP攻击的三层交换机，绑定端口MAC-IP，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击，才是最佳的防范策略。对于经常爆发病毒的网络，可以进行Internet访问控制，限制用户对网络的访问。因为大部分ARP攻击程序网络下载到客户端，如果能够加强用户上网的访问控制，就能很好的阻止这类问题的发生。单机病毒的查杀n中毒的一些表现

18、 n中毒诊断n查杀病毒中毒的一些表现n我们怎样知道电脑中病毒了呢？其实电脑中毒跟人生病一样，总会有一些明显的症状表现出来。例如机器运行十分缓慢，杀毒软件生不了级、word文档打不开，电脑不能正常启动、硬盘分区找不到了、数据丢失等等，就是中毒的一些征兆。中毒诊断n按Ctrl+Alt+Del键（同时按此三键），调出windows任务管理器查看系统运行的进程，找出不熟悉进程并记下其名称（这需要经验），如果这些进程是病毒的话，以便于后面的清除。暂时不要结束这些进程，因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态，如果CPU的利用率接近100%或内存的占用值居高不下，此时电

19、脑中毒的可能性是95%。n查看windows当前启动的服务项，由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行；一般而言，正常的windows服务，基本上是有描述内容的（少数被骇客或蠕虫病毒伪造的除外），此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称，假如其名称和路径为C:winntsystem32explored.exe，计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边，中间有一纵向的滚动条，而右边为空白，再双击添加/删除程序或管理工具，窗体内是空的，这是病毒文件winhlpp32.exe发作的特性。n运行注册

20、表编辑器，命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等，查看窗体右侧的项值，看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累，你可以轻易的判断病毒的启动项。n用浏览器上网判断。前一阵发作的Gaobot病毒，可以上新浪、搜狐、网易等网站，但是不能访问安全软件厂商的网站，安装了杀毒软件不能上网升级。n由杀毒软件判断是否中毒，如果中毒，杀毒软件会被病毒程序自动终止，并且手动

21、升级失败。甚至无法打开杀毒软件。n取消文件夹选项的隐藏属性，查看系统文件夹winnt(windows)system32,如果打开后文件夹为空，表明电脑已经中毒；打开system32后，可以对图标按类型排序，看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此；driversetc下的文件hosts是病毒喜欢篡改的对象，它本来只有700字节左右，被篡改后就成了1Kb以上，这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。查杀病毒n在注册表里删除随系统启动的非法程序，然后在注册表中搜索所有该键值，删除之。当

22、成系统服务启动的病毒程序，会在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身，找到之后一并消灭。n停止有问题的服务，改自动为禁止。n如果文件system32driversetchosts被篡改，恢复它，即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。n重启电脑，摁F8进“带网络的安全模式”。目的是不让病毒程序启动，又可以对Windows升级打补丁和对杀毒软件升级。n搜索病毒的执行文件，手动消灭之。n对Windows升级打补丁和对杀毒软件升级。n关闭不必

23、要的系统服务，如remoteregistryservice。n第6步完成后用杀毒软件对系统进行全面的扫描，剿灭漏网之鱼。n上步完成后，重启计算机，完成所有操作。WINPE的使用n在某些时候，病毒可能导致以下特性因而查杀病毒失败：n无法进入安全模式n无法打开任务管理器n无法打开系统服务n注册表无法打开n安全软件无法使用n因此，我们还需要用到WINPE系统来手动查杀n我们使用WINPE光盘或者U盘版的WINPE进入PE系统后，可以使用里面的注册表编辑器或者使用资源管理器查找病毒文件，如果有怀疑某些文件是病毒的时候，并不建议直接删除，而是在某个盘上建立一个文件夹，将怀疑是病毒的文件全部移动到这里。如果有需要更改或者删除注册表，也需要先备份注册表值，同样保存到这里。n清除病毒文件后重启电脑看电脑启动是否正常。如恢复正常则应当重新启动杀毒软件升级最新病毒库来查杀病毒。n病毒文件的特性：n一般病毒文件都喜欢放在系统文件夹内，有可能更改成类似系统核心文件的文件名（例如EXPL0RER.EXE,不是字母“o”，而是数字“0”），还有可能将自身的文件属性修改成“系统”、“隐藏”等，需要注意的是：除了根目录的系统启动文件、系统启动画面和控制面板外，其余的系统文件都不是隐藏属性的。并且病毒文件的最大的马脚就是没有数字签名，而不管它是多么的像系统文件。nEND