本文作者:胡凌霄 單位:國家廣電總局824臺
一、前言
信息技術的發(fā)展推動了計算機網(wǎng)絡的普及,局域網(wǎng)的重要性逐漸顯現(xiàn)出來����,影響正常工作的病毒也日漸增多�。局域網(wǎng)的病毒危害極大,不但會導致機器中的數(shù)據(jù)丟失,還會將病毒轉染給局域網(wǎng)中的其他機器����,嚴重時導致網(wǎng)絡癱瘓�。因此對網(wǎng)絡病毒的防范及排除����,是網(wǎng)絡機房維護人員關注的重要問題。
二、計算機病毒概述要探析怎樣排除網(wǎng)絡機房中計算機病毒故障,首先要弄明白產生計算機病毒的原因���,只有找準病因才能夠對癥下藥,才能夠有效排除故障。
(一)計算機病毒現(xiàn)象
1.有時候計算機中會多了來歷不明的文件或壓縮包,嚴重影響計算機正常運行。2.計算機系統(tǒng)發(fā)生異常的動作�;如沒有任何操作指令下���,計算機突然死機后又自動重新啟動�。3.莫名其妙的多了許多數(shù)據(jù)���,導致系統(tǒng)空間大幅降�,低影響計算機正常運行。4.遭受病毒攻擊導致大量占用引導區(qū),致使系統(tǒng)運行緩慢甚至死機����。5.計算機中的數(shù)據(jù)與程序莫名其妙丟失����,影響計算機正常運行���。6.頻頻出現(xiàn)死機現(xiàn)象���。7.對可執(zhí)行文件進行雙擊���,沒有反應���。8.病毒進入到計算機后�,修改了硬盤引導信息或刪除某些文件�,致使系統(tǒng)不能啟動。9.鼠標或鍵盤無端鎖死����。
(二)計算機病毒緣由
1.感染計算機硬盤磁盤�,必然會影響到引導扇區(qū)�。這種病毒自身附加到boot扇區(qū)中引導程序上,把部分或全部病毒分別存進引導扇區(qū)�,并且以各種方式隱藏在引導區(qū)�;如果計算機要啟動該引導區(qū)或要讀取數(shù)據(jù)����,必然會引發(fā)病毒����。再將這些帶有病毒數(shù)據(jù)拷貝進機器內存中���,必然會擴展開來感染其他磁盤引導區(qū)���,也可能經過網(wǎng)絡感染其他計算機�。這種病毒傳播主要途徑是U盤。
2.感染計算機的操作系統(tǒng)�,這種途徑是病毒經過操作系統(tǒng)中的模塊或者程序實施傳染���。當系統(tǒng)啟動之后���,操作系統(tǒng)要調入一些數(shù)據(jù)到內存,該病毒就能夠通過模塊或程序一起進入到內存中�。一旦具備了傳染條件馬上影響內存運行�。比如網(wǎng)絡上傳播著一種蠕蟲病毒����,能夠通過計算機操作系統(tǒng)而影響音頻文件(比如mp3),事實上該病毒并沒有對音頻文件造成破壞����,僅僅讓文件無法正常運行����;一旦感染了蠕蟲病毒的音頻文件傳到WEB服務器上����,還能夠經過在線播放下載感染到其他的計算機系統(tǒng),進一步給其他計算機造成危害�。
3.感染計算機應用程序���,這種病毒多是以鏈接方式感染應用程序���。該病毒一旦在某個程序中取得控制權�,必然會掃描到其他硬盤上的應用程序�,等到具備傳染條件之后馬上進行傳染。比如馬吉斯變種G病毒即經過局域網(wǎng)����、感染文件等各種方式進行傳播���,導致許多常用的軟件不能正常工作���。該病毒侵入之后就會自動感染到Windows中EXE可執(zhí)行文件,導致一些軟件被損而不能正常運行。
三����、排除網(wǎng)絡機房計算機病毒的故障
病毒進入網(wǎng)絡機房計算機中�,無論是何種方式何種狀態(tài)都會影響到計算機正常運行����,嚴重者還可能導致數(shù)據(jù)外泄造成經濟損失。因此,一旦確診網(wǎng)絡機房計算機發(fā)生了病毒故障,就要及時進行排除,可以從如下幾個方面進行。
(一)采用殺毒軟件
對于一些簡單病毒可以使用殺毒軟件進行查殺����,最好的狀態(tài)即是將病毒清除干凈�。在使用殺毒軟件時����,要采用干凈的引導盤來啟動計算機。當然不同的病毒不能夠統(tǒng)一而定,應該在不同環(huán)境下進行殺毒�。
1.非系統(tǒng)文件內被激活的病毒查殺比較簡單����,在Windows環(huán)境中就能夠進行查殺���,而且大都能夠全部殺滅�。
2.系統(tǒng)文件內發(fā)作的病毒查殺就不能那么隨意,要在Windows的安全模式中進行�,在這種模式中病毒是不能夠被激活�,只有這樣才能徹底把病毒清除干凈。
3.系統(tǒng)文件內的病毒,查殺難度相對比較大����,大都是在干凈DOS環(huán)境中進行查殺���,如果有必要還需要反復進行查殺才可以徹底清除����。因此在查殺前要做好備份���,防止查殺導致文件數(shù)據(jù)丟失����。
4.經過局域網(wǎng)傳播病毒�,要先將網(wǎng)絡斷開才能夠進行查殺清除。
5.有一些病毒不能夠自動刪除,需要手動刪除;比如打開資源管理器���,從中找到“Nimad”病毒進行手工刪除;打開注冊表找到“木馬”病毒進行手工刪除。
(二)重裝系統(tǒng)
有時候除了上面幾種查殺之外�,還有其他病毒不能夠解決���,這種就只能夠用重裝系統(tǒng)的方法加以解決����。對于網(wǎng)絡機房可以使用網(wǎng)絡版ghost恢復所有機器的系統(tǒng)���。首先要完整安裝好一臺機器�,利用ghost克隆該機器硬盤,制作出映像文件存放到指定硬盤之中���。接著運行對應Ghost可執(zhí)行文件,啟動克隆功能。當然需要工作站的硬盤與網(wǎng)卡配置上要完全一致�,只需要完成映像文件的復制���,最后重新啟動計算機就安裝好所有機器了�。但是如只需要對操作系統(tǒng)以及一些數(shù)據(jù)進行恢復�,就不必克隆整個硬盤,只需要克隆有操作系統(tǒng)分區(qū)就可以了。
(三)ARP病毒
1.ARP病毒概述����。事實上���,ARP病毒屬于一種欺騙地址的病毒,是目前比較特殊的一種木馬病毒�,不能自我復制不會主動傳播���,但是該病毒一旦發(fā)作之后就會通過網(wǎng)絡發(fā)布偽造ARP的數(shù)據(jù)包���,導致網(wǎng)絡運行中的垃圾數(shù)據(jù)大幅增加����,嚴重影響到網(wǎng)絡正常運行�,導致上網(wǎng)斷斷續(xù)續(xù),嚴重者可能導致整個網(wǎng)絡出現(xiàn)癱瘓�,其危害性不亞于一些蠕蟲病毒�。因此對ARP病毒處理至關重要�。而要處理這種病毒就必須要清楚其工作原理,在原理基礎上對病毒進行診斷����。
(1)AIP病毒的攻擊原理ARP病毒大都使用了ARP欺騙攻擊方式����。具體有兩種形式:其一�,當局域網(wǎng)中某一臺主機被ARP病毒所感染,病毒就會截取網(wǎng)關數(shù)據(jù)�,給路由器傳送錯誤內網(wǎng)MAC地址����,并且這種錯誤不斷進行���,導致真實地址信息根本不能夠進行更新保存���。這樣就會讓流向網(wǎng)絡中心流量改變方向流向病毒的主機,導致網(wǎng)絡出現(xiàn)故障而無法正常運行����。其二,ARP病毒在路由器中構建假網(wǎng)關����,網(wǎng)段內PC發(fā)出數(shù)據(jù)被假網(wǎng)關所截獲�,導致正常路由器根本無法獲取信息正常上網(wǎng)���。
(2)診斷ARP病毒其一���,一旦發(fā)現(xiàn)無法正常上網(wǎng)就要先把網(wǎng)卡禁用�,之后再啟動,還不能夠正常上網(wǎng)就要懷疑是ARP病毒����。其二���,打開“開始”—“運行”�,輸入cmd命令����,再輸入arp-a,如果出現(xiàn)了多個IP地址���,但是多個地址對應MAC卻是一樣,這種幾乎可以確診為ARP欺騙�。其三����,打開“開始”—“運行”���,輸入cmd命令���,再輸入arp-a�,點擊“確定”����,重新上網(wǎng),如果恢復且可以診斷為ARP病毒造成。
