|
|
 导购文章 |
|
|
|
但凡是高手,总是艺高胆大,任网络病毒成灾,上起网络依旧裸奔。然而也有不是高手的,却和高手一样在网上裸奔的人。一是自认正派人士,在此类人看来,只要不随意打开什么文件,特别是EXE文件,不随意上什么网站,不随意下载什么东东,网络对于他,不过就有看看新闻,聊聊天而已,那么总不至于中病毒吧?二是机器配置太低的人,现在的杀毒软件,单机版防火墙一装上基本内存就已用完,再想玩什么东东就显的老态,不可接受了,结果裸奔就成了没有办法之举。
想信不少朋友对这些问题都有些疑虑,总以为病毒传播是被动的,会不会感染上病毒完全在于自己如何去使用网络。那么,我们就来做个测试,并在这个测试过程中,顺便介绍一些手动清除病毒的技巧。
测试过程:
把一台PC,重新安装windows 2000 高级服务器版的系统,打上SP4,不安装防火墙及杀毒软件,同时让这台PC连入网络,但是不使用这台PC上网。也就是说,这台PC就摆在办公室,任何人都不去用它,就当不存在。
前面一两天,倒是没有什么问题。到第三天的时候,就发现我自己使用的电脑出现异常:打开网页比较慢,而且网页格式显式不正常,同时会弹出对话框说在执行什么失败。随即,杀毒软件报警!
我感觉有点奇怪,因为我使用的是正版杀毒软件+look’n’stop的安全组合,不仅进程上网权限有严格控制,连进程里面的DLL文件访问网络,也都是有控制的,不应该还会在我不知道的情况下染上病毒,并还能在我机器上执行什么?!
立马检查进程,进程中的DLL,系统服务,SSDT、FSD等,都没有发现异常,接着用杀毒软件查杀,也没有杀到。这就有点恐怖了,什么病毒有这么厉害?!后来检查ARP列表,才发现网关的MAC地址,已经换成了那台装有2000的试验机的MAC。那么情况就非常明显了,首先,2000机器染病毒,并对网内所有机器进行ARP毒性路由,劫持所有HTTP会话,然后向HTTP会话中插入恶意代码,让打开这个网页的机器同时去他的网站下载病毒文件,继而感染这台电脑。真是够黑的!!!当然,我本机在有效的保护下,并没有感染上病毒。
OK,我们这就到2000的机器上看看。
如何有效而又快速的知道机器上有没有染毒?很简单,首先要确定你没有打开任何网络应用,如果不确定你可以先重启一下,完成后什么都不要做,直接打开CMD,输入:netstat –an ,会出现如下显示:
上图我们可以看到,机器正主动与外部网络发生连接,因为我们没有打开任何网络应用程序,所以这个连接非常奇怪,接下来,我们得知道这是谁干的。输入:fport 这个外部命令(此工具可到网上去下载),可以看到如下图:
1043这个端口,竟然是explorer打开的,这绝对不正常,虽然这是个正常的系统进程,但明显被注入了病毒的DLL。因此,我们也可以轻松的断定,这台机器,染病毒了!
接下来,我们按照相应的处理流程来处理了。如下图:
|
| | |
|
提及小熊在线将有更好的价格和服务 |
[] | |  |
|
|
