论文部分内容阅读
宽带网络的普及也使得病毒、木马变得异常疯狂,给我们的工作带来很多麻烦。比如我所在的单位,公司网管几乎每天都疲于奔命,网络巨慢、无法共享、打不开网页等等,每个人的网络出现问题都要找他解决。不过,一台电脑一台电脑的查杀病毒,往往治标不治本。希望下面的方法,能给大家提供一个彻底查杀局域网病毒的思路(见图1)。
如何判断局域网出现“内奸”?
单位的网络应用环境如上图所示,近来出现了以下多种疑难故障:
1共享文件服务器运行缓慢、不稳定,甚至有时共享被停用。
2杀毒软件和安全软件被禁用,有时机器上安装的影子系统或Returnil等还原软件也会被击穿。
3将服务器断网全盘杀毒后上线,15分钟内就又会被感染,杀毒软件不停报警,但有一部分病毒和木马无法清除,直到杀毒软件再次被禁用。
4用Ghost备份恢复系统或重分区、格式化硬盘后重装系统,再上线同样马上被感染,这就证明并不是服务器本身的病毒、木马没有清除彻底,而是有一个外在的毒源直指局域网内的服务器。
5被感染的重灾区往往是提供共享服务的电脑(严重影响整个单位的正常工作)。
因为感染的速度非常快(有时上线4、5分钟就被感染了),感染后症状非常相似,如果是外网的毒源,感染速度不会如此之快,也不会如此准确地每次都指向一个小单位并不起眼的文件服务器,所以是外网毒源的可能性很小,最大的可能就是局域网内部有某台电脑已经被病毒、木马彻底攻占,成了专门攻击局域网内服务器的“内奸”。
设局诱捕内网内奸
下面是我的解决方法,对遇到相似故障的朋友,应该会有所帮助。
第1步:将共享服务器断网后清理干净,并用Ghost作好系统的备份。重启后将冰刃(IceSword,下载地址:http://www.onlinedown.net/soft/53325.htm)的主程序文件改名并运行(若不改名,病毒木马有可能通过“关键字”关闭冰刃的进程)。
第2步:将共享服务器上线,设置好必要的网络服务后,在冰刃中中执行“文件→设置”命令调出如图2所示窗口,勾选“禁止进线程创建”。这样,一来不会影响基本的共享服务,二来病毒、木马就无法破坏共享服务器了。
第3步:接下来设计一个“陷阱”引诱出“内奸”。由于电脑台数较多,一台一台的去慢慢甄别费时费力,我采用的方法如下:
随便找一台电脑,首先运行冰刃,接入局域网中,再故意开启一个没有内容的共享(比如一个空的文件夹),也就是做一个陷阱机。接着监视IceSword中的端口,看是谁连接这个陷阱共享,持续15分钟左右,因为内奸是自动扫描端口的,一般一会儿就会上钩了(见图3)。将抓获的IP地址记下来,用网管软件强制断开这些IP的连接。由于“内奸”机不能上网了,机主会自动报告故障的。当然,也可以根据IP所在的主机名称,找到“内奸”机具体位置,比如用“net view”命令可以获取固定IP地址对应的用户列表,也可以用LanSee(下载地址:http://www.onlinedown.net/soft/21691.htm)查阅动态IP所在的主机名称等。
第4步:将内奸机断网后进行彻底的清理,这个清理的过程都是常规的手段,在此不再详述。试运行一段时间,如果正常则可以解除共享服务器上的冰刃IceSword限制了。
(1)
(2)
火速链接
本期《穿行在局域网中的X》一文,为大家详细讲解了局域网病毒发展及其原理,大家可以参考。局域网病毒的一个共同特点,就是能通过一台电脑感染另一台电脑,所以借鉴本文方法,基本上都能实现诱捕。
(3)
小编有话说:
在处理局域网中的病毒、木马等引起的故障问题时,不要把眼光局限于服务器本身,这样有可能白白浪费大量的时间。最好能借鉴本文的方法,灵活运用冰刃软件,制造一个陷阱找出内妹,从而快速挖出病根。
如何判断局域网出现“内奸”?
单位的网络应用环境如上图所示,近来出现了以下多种疑难故障:
1共享文件服务器运行缓慢、不稳定,甚至有时共享被停用。
2杀毒软件和安全软件被禁用,有时机器上安装的影子系统或Returnil等还原软件也会被击穿。
3将服务器断网全盘杀毒后上线,15分钟内就又会被感染,杀毒软件不停报警,但有一部分病毒和木马无法清除,直到杀毒软件再次被禁用。
4用Ghost备份恢复系统或重分区、格式化硬盘后重装系统,再上线同样马上被感染,这就证明并不是服务器本身的病毒、木马没有清除彻底,而是有一个外在的毒源直指局域网内的服务器。
5被感染的重灾区往往是提供共享服务的电脑(严重影响整个单位的正常工作)。
因为感染的速度非常快(有时上线4、5分钟就被感染了),感染后症状非常相似,如果是外网的毒源,感染速度不会如此之快,也不会如此准确地每次都指向一个小单位并不起眼的文件服务器,所以是外网毒源的可能性很小,最大的可能就是局域网内部有某台电脑已经被病毒、木马彻底攻占,成了专门攻击局域网内服务器的“内奸”。
设局诱捕内网内奸
下面是我的解决方法,对遇到相似故障的朋友,应该会有所帮助。
第1步:将共享服务器断网后清理干净,并用Ghost作好系统的备份。重启后将冰刃(IceSword,下载地址:http://www.onlinedown.net/soft/53325.htm)的主程序文件改名并运行(若不改名,病毒木马有可能通过“关键字”关闭冰刃的进程)。
第2步:将共享服务器上线,设置好必要的网络服务后,在冰刃中中执行“文件→设置”命令调出如图2所示窗口,勾选“禁止进线程创建”。这样,一来不会影响基本的共享服务,二来病毒、木马就无法破坏共享服务器了。
第3步:接下来设计一个“陷阱”引诱出“内奸”。由于电脑台数较多,一台一台的去慢慢甄别费时费力,我采用的方法如下:
随便找一台电脑,首先运行冰刃,接入局域网中,再故意开启一个没有内容的共享(比如一个空的文件夹),也就是做一个陷阱机。接着监视IceSword中的端口,看是谁连接这个陷阱共享,持续15分钟左右,因为内奸是自动扫描端口的,一般一会儿就会上钩了(见图3)。将抓获的IP地址记下来,用网管软件强制断开这些IP的连接。由于“内奸”机不能上网了,机主会自动报告故障的。当然,也可以根据IP所在的主机名称,找到“内奸”机具体位置,比如用“net view”命令可以获取固定IP地址对应的用户列表,也可以用LanSee(下载地址:http://www.onlinedown.net/soft/21691.htm)查阅动态IP所在的主机名称等。
第4步:将内奸机断网后进行彻底的清理,这个清理的过程都是常规的手段,在此不再详述。试运行一段时间,如果正常则可以解除共享服务器上的冰刃IceSword限制了。
(1)
(2)
火速链接
本期《穿行在局域网中的X》一文,为大家详细讲解了局域网病毒发展及其原理,大家可以参考。局域网病毒的一个共同特点,就是能通过一台电脑感染另一台电脑,所以借鉴本文方法,基本上都能实现诱捕。
(3)
小编有话说:
在处理局域网中的病毒、木马等引起的故障问题时,不要把眼光局限于服务器本身,这样有可能白白浪费大量的时间。最好能借鉴本文的方法,灵活运用冰刃软件,制造一个陷阱找出内妹,从而快速挖出病根。