萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 病毒木馬入侵系統後人工查殺步驟

病毒木馬入侵系統後人工查殺步驟

  1.進入安全模式

  在計算機啟動時,按F8鍵,會出現系統啟動菜單,從中可選擇進入安全模式。

  2.將計算機與網絡斷開,防止黑客通過網絡繼續對你進行攻擊。

  3.顯示所有文件和文件夾(包括隱含文件和系統保護文件)

  4.禁用系統還原

  右鍵“我的電腦→系統屬性→“在所有驅動器上關閉系統還原前打上勾→應用(釋放硬盤空間、該空間有可能受到病毒攻擊)

  5.刪除病毒/木馬程序的自啟動項

  打開注冊表編輯器:開始→運行→輸入:regedit→確定

  查找自啟動項

  HKEY_LOCAL_MacHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/文件夾下的三個子件夾

  Run

  RunOnce 

  Runservices

  HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/文件夾下的三個子件夾:

  Run

  RunOnce

  打開系統配置實用程序:開始→運行→輸入:msconfig→確定 

  (如果Windows2000無此文件,可運行共享文件夾中的msconfig.exe)

  檢查:win.ini、system.ini啟動配置文件中的加載項

  win.ini的[windows]字段中

  run=

  load=
  一般情況下“=後面是空白的,如果有後跟程序,如:

  run=c:/windows/file.exe

  load=c:/windows/file.exe

  其中的file.exe很可能是病毒

  system.ini的[boot]字段中

  shell= explorer.exe file.exe

  一般情況下“explorer.exe後面是空白的,如果有後跟程序,如:

  shell= explorer.exe file.exe

  其中的file.exe很可能是病毒

  system.ini的[386Enh]、[mic]、[drivers]、[drivers32]字段中

  driver=“路徑/程序名

  檢查其它啟動配置文件、初始化文件、系統配置文件中的加載項:

  winint.ini:多用於安裝

  winstart.bat:由應用程序、Windows自動生成、Win.com加截多數驅動程序後產生,與Autoexec.bat功能相同。

  autoexec.bat(一般為隱含屬性,掌握對隱含屬性文件的搜索)

  config.sys(同上)

  檢查啟動組:開始→程序→啟動,其中的啟動項內容。

  對應注冊表中的位置:

  HKEY_CURRENT_USER/Software/Microsoft/windows/CurrentVersion/Explorer/shell Folders Startup )

  人工查殺步驟:先殺進程、再刪除病毒文件、最後修復注冊表。

  注冊表或進程表中發現了病毒,先在進程表中殺進程

  打開任務管理器,找到病毒程序的進程,終止運行。

  如果不能終止,可運行其它監視進程的工具軟件進行終止。

  如果仍然不能終止只能重啟後進入安全模式,並斷開與網絡的連接。

  在Dos窗口中刪除病毒文件,也可在資源管理器中刪除,但病毒可能會自行恢復。

  重啟後回到注冊表搜索、刪除全部病毒的殘余信息,尤其是啟動項中的信息。

 現在ARP不只是協議的簡寫,還成了掉線的代名詞。很多網吧和企業網絡不穩,無故掉線,經濟蒙受了很大的損失。根據情況可以看出這是一種存在於網絡中的一種普遍問題。出現此類問題的主要原因就是遭受了ARP攻擊。由於其變種版本之多,傳播速度之快,很多技術人員和企業對其束手無策。下面就來給大家從原理到應用談一談這方面的話題。希望能夠幫大家解決此類問題,淨化網絡環境。

  ARP 欺騙攻擊原理分析

  在局域網中,通過ARP協議來完成IP地址轉換為第二層物理地址,實現局域網機器的通信。ARP協議對網絡安全具有重要的意義。這是建立在相互信任的基礎上。如果通過偽造IP地址和Mac地址實現ARP欺騙,將在網絡中產生大量的ARP通信量使網絡阻塞、掉線、重定向、嗅探攻擊。

  我們知道每個主機都用一個ARP高速緩存,存放最近IP地址到MAC硬件地址之間的映射記錄。Windows高速緩存中的每一條記錄的生存時間一般為60秒,起始時間從被創建時開始算起。默認情況下,ARP從緩存中讀取IP-MAC條目,緩存中的IP-MAC條目是根據ARP響應包動態變化的。因此,只要網絡上有ARP響應包發送到本機,即會更新ARP高速緩存中的IP-MAC條目。如:X向Y發送一個自己偽造的ARP應答,而這個應答中的數據發送方IP地址是192.168.1.3(Z的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(Z的真實MAC地址卻是CC-CC-CC-CC-CC-CC,這裡被偽造了)。當Y接收到X偽造的ARP應答,就會更新本地的ARP緩存(Y可不知道被偽造了)。那麼如果偽造成網關呢?

  Switch上同樣維護著一個動態的MAC緩存,它一般是這樣,首先,交換機內部有一個對應的列表,交換機的端口對應MAC地址表Port n <-> Mac記錄著每一個端口下面存在那些MAC地址,這個表開始是空的,交換機從來往數據幀中學習。因為MAC-PORT緩存表是動態更新的,那麼讓整個 Switch的端口表都改變,對Switch進行MAC地址欺騙的Flood,不斷發送大量假MAC地址的數據包,Switch就更新MAC-PORT緩存,如果能通過這樣的辦法把以前正常的MAC和Port對應的關系破壞了,那麼Switch就會進行泛洪發送給每一個端口,讓Switch基本變成一個 HUB,向所有的端口發送數據包,要進行嗅探攻擊的目的一樣能夠達到。也將造成Switch MAC-PORT緩存的崩潰,如下面交換機中日志所示:

  Internet 192.168.1.4 0000b.cd85.a193 ARPAVlan256

  Internet 192.168.1.5 0000b.cd85.a193 ARPAVlan256

  Internet 192.168.1.6 0000b.cd85.a193 ARPAVlan256

  Internet 192.168.1.7 0000b.cd85.a193 ARPAVlan256

  Internet 192.168.1.8 0000b.cd85.a193 ARPAVlan256

  Internet 192.168.1.9 0000b.cd85.a193 ARPAVlan256

  ARP攻擊時的主要現象

  網上銀行、保密數據的頻繁丟失。當局域網內某台主機運行ARP欺騙的木馬程序時,會欺騙局域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。切換到病毒主機上網後,如果用戶已經登陸服務器,那麼病毒主機就會經常偽造斷線的假像,那麼用戶就得重新登錄服務器,這樣病毒主機就可以竊取所有機器的資料了。

  網速時快時慢,極其不穩定,但單機進行光纖數據測試時一切正常。局域網內頻繁性區域或整體掉線,重啟計算機或網絡設備後恢復正常

  由於ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復從路由器上網,切換過程中用戶會再次斷線。

 入侵檢測系統(IDS)檢查所有進入和發出的網絡活動,並可確認某種可疑模式,IDS利用這種模式能夠指明來自試圖進入(或破壞系統)的某人的網絡攻擊(或系統攻擊)。入侵檢測系統與防火牆不同,主要在於防火牆關注入侵是為了阻止其發生。防火牆限制網絡之間的訪問,目的在於防止入侵,但並不對來自網絡內部的攻擊發出警報信號。而IDS卻可以在入侵發生時,評估可疑的入侵並發出警告。而且IDS還可以觀察源自系統內部的攻擊。從這個意義上來講,IDS可能安全工作做得更全面。今天我們就看看下面這五個最著名的入侵檢測系統。

  1.Snort:這是一個幾乎人人都喜愛的開源IDS,它采用靈活的基於規則的語言來描述通信,將簽名、協議和不正常行為的檢測方法結合起來。其更新速度極快,成為全球部署最為廣泛的入侵檢測技術,並成為防御技術的標准。通過協議分析、內容查找和各種各樣的預處理程序,Snort可以檢測成千上萬的蠕蟲、漏洞利用企圖、端口掃描和各種可疑行為。在這裡要注意,用戶需要檢查免費的BASE來分析Snort的警告。

  2.OSSEC HIDS:這一個基於主機的開源入侵檢測系統,它可以執行日志分析、完整性檢查、Windows注冊表監視、rootkit檢測、實時警告以及動態的適時響應。除了其IDS的功能之外,它通常還可以被用作一個SEM/SIM解決方案。因為其強大的日志分析引擎,互聯網供應商、大學和數據中心都樂意運行OSSEC HIDS,以監視和分析其防火牆、IDS、Web服務器和身份驗證日志。

  3.Fragroute/Fragrouter:是一個能夠逃避網絡入侵檢測的工具箱,這是一個自分段的路由程序,它能夠截獲、修改並重寫發往一台特定主機的通信,可以實施多種攻擊,如插入、逃避、拒絕服務攻擊等。它擁有一套簡單的規則集,可以對發往某一台特定主機的數據包延遲發送,或復制、丟棄、分段、重疊、打印、記錄、源路由跟蹤等。嚴格來講,這個工具是用於協助測試網絡入侵檢測系統的,也可以協助測試防火牆,基本的TCP/IP堆棧行為。可不要濫用這個軟件呵。

  4.BASE:又稱基本的分析和安全引擎,BASE是一個基於PHP的分析引擎,它可以搜索、處理由各種各樣的IDS、防火牆、網絡監視工具所生成的安全事件數據。其特性包括一個查詢生成器並查找接口,這種接口能夠
copyright © 萬盛學電腦網 all rights reserved