導(dǎo)語：計算機(jī)病毒防范與應(yīng)急處置一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

現(xiàn)在網(wǎng)絡(luò)的飛速發(fā)展改變了我們的生活，我們可以通過網(wǎng)絡(luò)來完成很多的工作，可以通過電子商務(wù)網(wǎng)來購物，通過VPN連接單位服務(wù)器工作，可以通過即時通訊軟件與朋友聊天與交流，可以通過論壇社區(qū)來學(xué)習(xí)、灌水、娛樂等等.........

但是我們也要認(rèn)識到當(dāng)我們進(jìn)行以上網(wǎng)絡(luò)活動時都有著一定威脅存在，病毒、木馬、惡意腳本、嗅探、會話劫持等黑客攻擊行為都嚴(yán)重的威脅到我們自身的機(jī)密信息、網(wǎng)絡(luò)安全與計算機(jī)本身的安全，其中計算機(jī)病毒的威脅是比較嚴(yán)重的，因為在還沒有網(wǎng)絡(luò)成型時就已經(jīng)有了計算機(jī)病毒了，大家可以想想DOS下的乒乓病毒等，也可以看看現(xiàn)在的流行病毒如：“CIH”，“紅色代碼”，“SQL蠕蟲王”，“沖擊波”，“小郵差”，“網(wǎng)絡(luò)天空”，“IRC波特”等.......計算機(jī)病毒的發(fā)展速度是越來越快了，現(xiàn)在的病毒大部分是蠕蟲型病毒了，通過E-Mail、網(wǎng)絡(luò)共享文件、系統(tǒng)漏洞等進(jìn)行的傳播，而且我們還可以發(fā)現(xiàn)現(xiàn)在的病毒更加智能化了，一個50KB的病毒竟然能集成文件掃描、弱口令掃描、局域網(wǎng)掃描、漏洞攻擊、盜取銀行帳號密碼、木馬功能、后門功能、黑客攻擊等多種功能于一身，可以看出病毒的作者也是煞費苦心了。當(dāng)然沒有病毒的飛速發(fā)展也就不會給網(wǎng)絡(luò)安全人員有飯吃了，網(wǎng)絡(luò)安全技術(shù)也就不會有很快的提高了，不過回過頭來我們還是來說說怎么樣預(yù)防和處理計算機(jī)病毒吧。

關(guān)于計算機(jī)病毒的劃分，病毒大體分為引導(dǎo)型，文件型，混合型等，現(xiàn)在流行的病毒都是一個蠕蟲型的病毒，如果仔細(xì)再講的話，那么這蠕蟲與病毒還是有區(qū)分的，這里不做主要講解了，以下將主要介紹對當(dāng)今流行的病毒防御與處理（也就是指網(wǎng)絡(luò)蠕蟲類）。

先說說計算機(jī)病毒的預(yù)防，誰也不想讓自己的或自己崗位上電腦或服務(wù)器中毒，那么首先就一定要有一個網(wǎng)絡(luò)安全意識，其次是技術(shù)上和管理上的措施，當(dāng)你有了網(wǎng)絡(luò)安全意識就同時具備了防范技術(shù)，為什么這么說呢？

我們可以發(fā)現(xiàn)這樣的一個規(guī)律，大部分的流行性病毒的全球爆發(fā)基本上都是利用了windows操作系統(tǒng)的漏洞來實現(xiàn)的傳播與攻擊，也就是說當(dāng)Microsoft了安全公告后黑客們才編寫了新病毒并使他在短時間里爆發(fā)，為什么會爆發(fā)呢？就因為大家的安全意識不強(qiáng)，認(rèn)識不到漏洞的危險。我?guī)Т蠹一仡櫼韵掳伞?/p>

2001年6月18日MS了MS01-033的公告，2001年7月16日爆發(fā)了CodeRed，中間間隔了有28天的時間；

2000年10月17日MS了MS00-078的公告，2001年9月18日爆發(fā)了Nimda，中間間隔了有336天是時間；

2001年3月29日MS了MS01-020的公告，2002年1月17日爆發(fā)了Klez-E，中間間隔了有294天的時間；

2002年7月24日MS了MS02-039的公告，2003年1月24日爆發(fā)了SQLSlammer，中間間隔了有184天的時間；

2003年3月17日MS了MS03-007的公告，2003年5月5日爆發(fā)了Trojan.Kaht，中間間隔了有49天的時間；

2003年7月21日MS了MS03-026的公告，2003年8月12日爆發(fā)了Blaster,中間間隔了有22天的時間；

從以上我們就可以看出，計算機(jī)病毒的爆發(fā)基本上等候是基于系統(tǒng)漏洞的，而且是在Microsoft公告后爆發(fā)的，如果我們大家能夠及時的給自己的系統(tǒng)打上補(bǔ)丁就可以免遭災(zāi)難。

光是打補(bǔ)丁就可以了嗎？答案是不可以！我們還要使用一些好的殺毒軟件，要求殺毒效果好，使用方便，占用系統(tǒng)資源少，價格合理，服務(wù)好，個人推薦江民KV系列，希望大家不要再計較KV300L++的事件了，過去畢竟是過去了。安裝好殺毒軟件后我們要進(jìn)行仔細(xì)的配置，單機(jī)版有單機(jī)版的配置，網(wǎng)絡(luò)版有網(wǎng)絡(luò)版的配置，關(guān)于配置的問題交給讀者們了，因為每個人的需要是不同的，但無論怎么樣一定要做到每天更新病毒庫，有人可能要說了“殺毒軟件公司又不一定每天都更新，那我更新也不是沒有用嗎？”這樣想就錯，如果這樣想就說明你還沒有網(wǎng)絡(luò)安全的意識，有誰能保證每天不會有新的變種或新型病毒的出現(xiàn)呢？所以無論你怎么配置殺毒軟件都要時刻保證殺毒軟件的病毒庫是最新的。引用這樣的一句話“過時的病毒掃描程序比沒有病毒掃描程序好不了多少”。

有了新的Microsoft系統(tǒng)補(bǔ)丁與更新加上好的殺毒軟件與最新病毒庫也只能說你病毒防御體系很一般了，為什么這么說？因為你還沒有完全關(guān)上危險的大門，我繼續(xù)引用三句話你就明白我說什么了，“再強(qiáng)大的安全性也會葬送在脆弱的密碼手里。計算機(jī)的安全性受制于管理員的可靠性。加密數(shù)據(jù)的安全性受制于解密密鑰的安全性?！标P(guān)鍵是管理，我要提醒各位網(wǎng)絡(luò)管理員，我們要注意的有物理層的管理也有安全技術(shù)的管理，怎么解釋呢？這樣通俗的說吧，如果有人可以接觸到并操作你的計算機(jī)與服務(wù)器那么這還有什么安全可談呢？這是物理上；安全技術(shù)上的管理是指使用權(quán)限制，給不同的用戶不同的權(quán)限與密碼，盡量減少使用管理員身份登陸服務(wù)器，刪除系統(tǒng)中不需要的用戶，修改系統(tǒng)中默認(rèn)的Administrator管理員名，密碼要使用密碼復(fù)雜策略，在網(wǎng)絡(luò)中或域中盡量不要開共享，如果需要共享那么給只讀權(quán)限就可以，要認(rèn)真仔細(xì)的設(shè)置組策略，充分利用AD來管理，為什么要這樣做我在本文的開頭就說過了，現(xiàn)在的病毒越來越只能化了，他們可以對系統(tǒng)默認(rèn)的管理員用戶進(jìn)行密碼探測和弱口令掃描，會對整個網(wǎng)絡(luò)進(jìn)行共享文件的掃描，當(dāng)某個計算機(jī)有共享文件且管理員密碼為空或簡單密碼時就很輕易的將自己復(fù)制到那臺計算機(jī)上，對于一個安全性不高的網(wǎng)絡(luò)來說這就是災(zāi)難，病毒會不停的向外部發(fā)送數(shù)據(jù)包，感染的計算機(jī)越多發(fā)送的數(shù)據(jù)包也就越多，最終使整個網(wǎng)絡(luò)癱瘓，嚴(yán)重時可以燒壞物理的網(wǎng)絡(luò)設(shè)備。

有了病毒防火墻還要加一個網(wǎng)絡(luò)防火墻，正如我們上面所講的，病毒會向局域網(wǎng)或外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)，他可能發(fā)送的掃描數(shù)據(jù)，也有可能是發(fā)送他竊取的計算機(jī)機(jī)密信息的數(shù)據(jù)，所以一定要用網(wǎng)絡(luò)防火墻來做網(wǎng)絡(luò)訪問限制，對可疑程序訪問網(wǎng)絡(luò)時先將其禁止，等徹底搞明白了再放行。

有人問了，“這樣就安全了嗎？”我的回答還是“不完全安全”，因為有些時候并不是我們自己運行了病毒使他開始傳播的，也許是我們所在網(wǎng)絡(luò)中的其他無知的人從郵箱或其他地方下載病毒運行了他，那這樣我們怎么辦？有人說那是他個人的事，是他個人的計算機(jī)，不管我的事，這樣說就完全錯了，你是沒有中毒，但網(wǎng)絡(luò)中充滿了病毒的數(shù)據(jù)包，那你上網(wǎng)還能上的去嗎？對于一個大型網(wǎng)絡(luò)如學(xué)校機(jī)房，單位機(jī)房的網(wǎng)絡(luò)管理員來說要做的是什么？除了管理就是宣傳與教育，叫大家認(rèn)識到病毒的危險與他的破壞性，只有全網(wǎng)民對網(wǎng)絡(luò)安全與病毒有了基本的認(rèn)識了。那樣我們的網(wǎng)絡(luò)也就相對安全了。那么網(wǎng)絡(luò)安全與計算機(jī)病毒防御體系也就做到位了，你也是一個很合格的管理員與技術(shù)員了。

我們做了很好的安全防御之后還有可能被病毒攻擊和侵入，這些病毒可能是已知的，也有可能是未知的，因為絕對的安全是根本不存在的，也是不可能做到，這樣就需要我們用平時積累的經(jīng)驗來判斷了。這就要求我們的管理員也好還是個人也好都要對算機(jī)操作系統(tǒng)有所了解，也就是說要熟悉系統(tǒng)從啟動到最后完全開機(jī)運行程序時的過程，雖然現(xiàn)在引導(dǎo)型病毒不是很多了，而且引導(dǎo)型病毒都大同小異，也比較好解決，但我們知道一些還是沒有壞處的，其次就是要知道自己的系統(tǒng)開放那些服務(wù)了，他們在系統(tǒng)中的相關(guān)進(jìn)程是哪些，如：RemoteRegistry，Telnet，TerminalServices，F(xiàn)TP，Smtp，snmp，POP等。如果說你不做務(wù)器用的話請關(guān)閉不需要的服務(wù)，即使是做服務(wù)器RemoteRegistry也是要關(guān)閉的。我們還要時刻注意電腦有無異常情況，如：機(jī)器運行越來越慢，向外發(fā)送的數(shù)據(jù)突然增大，無故重啟與死機(jī)，文件莫名其妙的丟失或多出，在系統(tǒng)文件下發(fā)現(xiàn)不常見的文件，在系統(tǒng)進(jìn)程中發(fā)現(xiàn)可以進(jìn)程等，這個時候就要引起注意了，看看到底是什么原因?qū)е碌?，使用防火墻和監(jiān)視器可以很快的幫助我們來確定是不是有蠕蟲病毒，因為蠕蟲在一個計算機(jī)上運行是他就要去查找下一個目標(biāo)了，通常情況下他會馬上訪問網(wǎng)絡(luò)來通過掃描來尋找新的目標(biāo)，這樣我們在防火墻里就可以記錄是什么程序要訪問網(wǎng)絡(luò)，和他關(guān)聯(lián)的進(jìn)程是什么了，使用網(wǎng)絡(luò)分析器可以截取發(fā)出的數(shù)據(jù)包，拆包分析后也可以知道發(fā)送的內(nèi)容（難度較大，沒有功底的人很難分析出來）。如果說發(fā)現(xiàn)的是一個已知病毒，這是很好辦的結(jié)束進(jìn)程然后殺毒，或者去安全模式下殺毒，有的是可以直接將病毒文件刪除的，但有的是不可以的。如果說是一個未知的病毒話那就先將其病毒文件提取出來發(fā)送到殺毒軟件公司，然后使用防火墻阻止他繼續(xù)訪問網(wǎng)絡(luò)，關(guān)閉他開放的端口，結(jié)束他的進(jìn)程，馬上到注冊表下查看系統(tǒng)啟動項的鍵值是否被修改了，如果被修改了先將修改回來試試。如果個人有能力的話可以對這個可疑程序進(jìn)行反匯編或動態(tài)調(diào)試來分析他到底實現(xiàn)了什么功能，他在系統(tǒng)中做了什么手腳，這樣我們自己也可以處理他了，包括寫針對性的專殺工具.

到這里我已經(jīng)把計算機(jī)病毒的防御與簡單的應(yīng)急方法介紹完了，本人以前一直是在自學(xué)網(wǎng)絡(luò)安全的，也是最近才開始研究病毒的，并把自己工作與生活中經(jīng)驗介紹給大家，希望本文對大家在作與生活中有一些幫助作用。世界生活中沒有絕對的安全，最后再提醒大家：一定要備份，備份，再備份?。。≈挥羞@樣才能將損失降到最低。