计算机病毒防范与应急处置

现在网络的飞速发展改变了我们的生活，我们可以通过网络来完成很多的工作，可以通过电子商务网来购物，通过VPN连接单位服务器工作，可以通过即时通讯软件与朋友聊天与交流，可以通过论坛社区来学习、灌水、娱乐等等.........

但是我们也要认识到当我们进行以上网络活动时都有着一定威胁存在，病毒、木马、恶意脚本、嗅探、会话劫持等黑客攻击行为都严重的威胁到我们自身的机密信息、网络安全与计算机本身的安全，其中计算机病毒的威胁是比较严重的，因为在还没有网络成型时就已经有了计算机病毒了，大家可以想想DOS下的乒乓病毒等，也可以看看现在的流行病毒如：“CIH”，“红色代码”，“SQL蠕虫王”，“冲击波”，“小邮差”，“网络天空”，“IRC波特”等.......计算机病毒的发展速度是越来越快了，现在的病毒大部分是蠕虫型病毒了，通过E-Mail、网络共享文件、系统漏洞等进行的传播，而且我们还可以发现现在的病毒更加智能化了，一个50KB的病毒竟然能集成文件扫描、弱口令扫描、局域网扫描、漏洞攻击、盗取银行帐号密码、木马功能、后门功能、黑客攻击等多种功能于一身，可以看出病毒的作者也是煞费苦心了。当然没有病毒的飞速发展也就不会给网络安全人员有饭吃了，网络安全技术也就不会有很快的提高了，不过回过头来我们还是来说说怎么样预防和处理计算机病毒吧。

关于计算机病毒的划分，病毒大体分为引导型，文件型，混合型等，现在流行的病毒都是一个蠕虫型的病毒，如果仔细再讲的话，那么这蠕虫与病毒还是有区分的，这里不做主要讲解了，以下将主要介绍对当今流行的病毒防御与处理（也就是指网络蠕虫类）。

先说说计算机病毒的预防，谁也不想让自己的或自己岗位上电脑或服务器中毒，那么首先就一定要有一个网络安全意识，其次是技术上和管理上的措施，当你有了网络安全意识就同时具备了防范技术，为什么这么说呢？

我们可以发现这样的一个规律，大部分的流行性病毒的全球爆发基本上都是利用了windows操作系统的漏洞来实现的传播与攻击，也就是说当Microsoft了安全公告后黑客们才编写了新病毒并使他在短时间里爆发，为什么会爆发呢？就因为大家的安全意识不强，认识不到漏洞的危险。我带大家回顾以下吧。

2001年6月18日MS了MS01-033的公告，2001年7月16日爆发了CodeRed，中间间隔了有28天的时间；

2000年10月17日MS了MS00-078的公告，2001年9月18日爆发了Nimda，中间间隔了有336天是时间；

2001年3月29日MS了MS01-020的公告，2002年1月17日爆发了Klez-E，中间间隔了有294天的时间；

2002年7月24日MS了MS02-039的公告，2003年1月24日爆发了SQLSlammer，中间间隔了有184天的时间；

2003年3月17日MS了MS03-007的公告，2003年5月5日爆发了Trojan.Kaht，中间间隔了有49天的时间；

2003年7月21日MS了MS03-026的公告，2003年8月12日爆发了Blaster,中间间隔了有22天的时间；

从以上我们就可以看出，计算机病毒的爆发基本上等候是基于系统漏洞的，而且是在Microsoft公告后爆发的，如果我们大家能够及时的给自己的系统打上补丁就可以免遭灾难。

光是打补丁就可以了吗？答案是不可以！我们还要使用一些好的杀毒软件，要求杀毒效果好，使用方便，占用系统资源少，价格合理，服务好，个人推荐江民KV系列，希望大家不要再计较KV300L++的事件了，过去毕竟是过去了。安装好杀毒软件后我们要进行仔细的配置，单机版有单机版的配置，网络版有网络版的配置，关于配置的问题交给读者们了，因为每个人的需要是不同的，但无论怎么样一定要做到每天更新病毒库，有人可能要说了“杀毒软件公司又不一定每天都更新，那我更新也不是没有用吗？”这样想就错，如果这样想就说明你还没有网络安全的意识，有谁能保证每天不会有新的变种或新型病毒的出现呢？所以无论你怎么配置杀毒软件都要时刻保证杀毒软件的病毒库是最新的。引用这样的一句话“过时的病毒扫描程序比没有病毒扫描程序好不了多少”。

有了新的Microsoft系统补丁与更新加上好的杀毒软件与最新病毒库也只能说你病毒防御体系很一般了，为什么这么说？因为你还没有完全关上危险的大门，我继续引用三句话你就明白我说什么了，“再强大的安全性也会葬送在脆弱的密码手里。计算机的安全性受制于管理员的可靠性。加密数据的安全性受制于解密密钥的安全性。”关键是管理，我要提醒各位网络管理员，我们要注意的有物理层的管理也有安全技术的管理，怎么解释呢？这样通俗的说吧，如果有人可以接触到并操作你的计算机与服务器那么这还有什么安全可谈呢？这是物理上；安全技术上的管理是指使用权限制，给不同的用户不同的权限与密码，尽量减少使用管理员身份登陆服务器，删除系统中不需要的用户，修改系统中默认的Administrator管理员名，密码要使用密码复杂策略，在网络中或域中尽量不要开共享，如果需要共享那么给只读权限就可以，要认真仔细的设置组策略，充分利用AD来管理，为什么要这样做我在本文的开头就说过了，现在的病毒越来越只能化了，他们可以对系统默认的管理员用户进行密码探测和弱口令扫描，会对整个网络进行共享文件的扫描，当某个计算机有共享文件且管理员密码为空或简单密码时就很轻易的将自己复制到那台计算机上，对于一个安全性不高的网络来说这就是灾难，病毒会不停的向外部发送数据包，感染的计算机越多发送的数据包也就越多，最终使整个网络瘫痪，严重时可以烧坏物理的网络设备。

有了病毒防火墙还要加一个网络防火墙，正如我们上面所讲的，病毒会向局域网或外部网络发送数据，他可能发送的扫描数据，也有可能是发送他窃取的计算机机密信息的数据，所以一定要用网络防火墙来做网络访问限制，对可疑程序访问网络时先将其禁止，等彻底搞明白了再放行。

有人问了，“这样就安全了吗？”我的回答还是“不完全安全”，因为有些时候并不是我们自己运行了病毒使他开始传播的，也许是我们所在网络中的其他无知的人从邮箱或其他地方下载病毒运行了他，那这样我们怎么办？有人说那是他个人的事，是他个人的计算机，不管我的事，这样说就完全错了，你是没有中毒，但网络中充满了病毒的数据包，那你上网还能上的去吗？对于一个大型网络如学校机房，单位机房的网络管理员来说要做的是什么？除了管理就是宣传与教育，叫大家认识到病毒的危险与他的破坏性，只有全网民对网络安全与病毒有了基本的认识了。那样我们的网络也就相对安全了。那么网络安全与计算机病毒防御体系也就做到位了，你也是一个很合格的管理员与技术员了。

我们做了很好的安全防御之后还有可能被病毒攻击和侵入，这些病毒可能是已知的，也有可能是未知的，因为绝对的安全是根本不存在的，也是不可能做到，这样就需要我们用平时积累的经验来判断了。这就要求我们的管理员也好还是个人也好都要对算机操作系统有所了解，也就是说要熟悉系统从启动到最后完全开机运行程序时的过程，虽然现在引导型病毒不是很多了，而且引导型病毒都大同小异，也比较好解决，但我们知道一些还是没有坏处的，其次就是要知道自己的系统开放那些服务了，他们在系统中的相关进程是哪些，如：RemoteRegistry，Telnet，TerminalServices，FTP，Smtp，snmp，POP等。如果说你不做务器用的话请关闭不需要的服务，即使是做服务器RemoteRegistry也是要关闭的。我们还要时刻注意电脑有无异常情况，如：机器运行越来越慢，向外发送的数据突然增大，无故重启与死机，文件莫名其妙的丢失或多出，在系统文件下发现不常见的文件，在系统进程中发现可以进程等，这个时候就要引起注意了，看看到底是什么原因导致的，使用防火墙和监视器可以很快的帮助我们来确定是不是有蠕虫病毒，因为蠕虫在一个计算机上运行是他就要去查找下一个目标了，通常情况下他会马上访问网络来通过扫描来寻找新的目标，这样我们在防火墙里就可以记录是什么程序要访问网络，和他关联的进程是什么了，使用网络分析器可以截取发出的数据包，拆包分析后也可以知道发送的内容（难度较大，没有功底的人很难分析出来）。如果说发现的是一个已知病毒，这是很好办的结束进程然后杀毒，或者去安全模式下杀毒，有的是可以直接将病毒文件删除的，但有的是不可以的。如果说是一个未知的病毒话那就先将其病毒文件提取出来发送到杀毒软件公司，然后使用防火墙阻止他继续访问网络，关闭他开放的端口，结束他的进程，马上到注册表下查看系统启动项的键值是否被修改了，如果被修改了先将修改回来试试。如果个人有能力的话可以对这个可疑程序进行反汇编或动态调试来分析他到底实现了什么功能，他在系统中做了什么手脚，这样我们自己也可以处理他了，包括写针对性的专杀工具.

到这里我已经把计算机病毒的防御与简单的应急方法介绍完了，本人以前一直是在自学网络安全的，也是最近才开始研究病毒的，并把自己工作与生活中经验介绍给大家，希望本文对大家在作与生活中有一些帮助作用。世界生活中没有绝对的安全，最后再提醒大家：一定要备份，备份，再备份！！！只有这样才能将损失降到最低。