病毒隔离,删除和恢复

根据恶意代码迹象的重要性对其进行适当的分级是很重要的,因为它们会传播到其他电脑的系统中。一般情况下,对恶意代码进行基本的分析可以确定入侵的是哪种恶意代码,从而也就可以很容易的确定该恶意代码可能采取的行动。大多数情况下,网络的管理者并不一定知道内网被感染电脑的具体数量,但是他们可以判断出感染的规模是大范围的感染还是仅有很少的系统被感染。

4, 隔离,删除和恢复

除了以上介绍的一般性的指导,这节将针对恶意代码的封锁以及对感染来源线索的收集和处理提供详细的建议。

4.1 选择适当的封锁策略

由于恶意代码具有隐蔽和繁殖、传播快等特性,所以对恶意代码的及时封锁可以阻止它传播扩散,从而造成更大的破坏。如果被感染的系统不是很重要,那么就应该尽快地断开它与网络的物理连接。如果被感染系统所起的作用非常重要,除非保持物理连接所承担的安全风险远远超出了该系统所起作用的重要性,否则建议不要随便断开物理连接。如果遇到下面所提到的恶意代码情况,还需要采取其他措施:

* 使用上节提到的措施:当一个系统被感染时,它极有可能会去感染其他系统,所以在设置封锁策略的时候一定要防止病毒向其他系统扩散。

* 鉴别和隔离被感染主机:反病毒软件的报警系统是一个很好的消息来源,但是并不是每个病毒都能被反病毒软件探测到的。所以管理员还需要通过其他手段来寻找感染信息。

例如:
- 通过端口扫描来查看是否有木马在监听端口
- 使用反病毒扫描和专杀工具来清楚特定的病毒
- 通过查看邮件服务器、防火墙甚至是具体某台主机的日志来判断是否有病毒侵入
- 设置网络和主机的入侵检测软件来识别可能的病毒活动
- 审查运行中的进程是否是合法进程

* 发送未知病毒的样本给反病毒厂商:有时候,反病毒软件无法识别已感染的恶意代码,用户不通过反病毒厂商升级特征码将无法对恶意代码进行隔离来防止它扩散。这种情况下,用户应该恶意代码的样本提交给反病毒厂商。

* 通过设置邮件服务器和客户端来阻塞病毒邮件:许多邮件系统都可以通过手动设置来阻塞特定主题,附件名或其他标准来阻塞带有恶意代码的邮件。虽然这种方法并不是十分安全有效,但是在没有相匹配的反病毒特征码时,这种方法是对付将要到来的已知病毒最好的方法。

* 阻塞发送出的访问:如果恶意代码向外部发送病毒邮件或是尝试与外部连接,那么管理员应该阻塞已感染系统尝试连接的外部主机的IP地址或是服务

* 关闭邮件服务器:当遇到破坏特别严重的恶意代码的时候,假设这时内网中已经有大量的主机被感染,并且病毒试图通过邮件传播出去。这时,邮件服务器可能已经被内网中上百台电脑发来的病毒邮件搞得完全瘫痪。这种情况下,关闭邮件服务器,防止病毒向外扩散是非常必要的。

* 断开局域网与因特网的连接:当遇到极为严重的蠕虫病毒侵袭的时候,局域网可能会因此瘫痪。有时情况严重,外网的蠕虫还可以使局域网与因特网连接的网关完全瘫痪。一般遇到这种情况,特别是如果局域网已经因为蠕虫完全无法同因特网取得联系时,最好断开局域网与因特网的连接,这样可以保护局域网内的系统不会遭到外网蠕虫的侵袭;如局域网已经被蠕虫感染,这样做也可以防止蠕虫感染其他网络的系统和造成网络拥塞。

确定局域网中被感染和存在漏洞的主机需要通过复杂的动态运算。如果网络中所有的电脑都开着,并且连在网中,那么清除恶意代码就会变的相对简单一些。但是,实际情况中可能存在被感染的主机没有开机,或是迁移到其他网络中,或是电脑虽然开着,但是用的人已经离开了办公室等情况。存在漏洞的主机尽管在使用者不在时是关闭的,但是它很可能一开机就被病毒感染。确定被感染和存在漏洞的主机不能仅仅依赖于我们的参与。无论如何,单位或组织也没有足够的人力和时间去对每台主机进行手动检查,特别是当这里有很多人是使用移动电脑或是在家里通过使用与工作单位连接的计算机终端来进行远距离工作时。在出现大规模的恶意代码爆发时,组织或是单位必须慎重考虑这些情况,从而采用最有效的封锁策略。

4.2 感染来源线索的收集和处理

尽管收集这些线索是可能的,但是这并没有多大用处,因为恶意代码既可以自动传播,也可以通过被感染用户传播。所以,确定病毒的来源是非常困难并且费时间的工作。但是,收集病毒样本用于以后的测试在某些情况下是非常有用的。

4.3 杀除与恢复

反病毒软件可以有效的鉴定和清除恶意代码;尽管有的被感染文件是无法清除的(这些文件可以被删除或用未被感染的备份文件覆盖;对与一个程序来说,被感染程序可以卸载重装。)。这样,即使病毒为它的操纵者窃取了管理员级的权限,它也将无法执行操作者接下来的指令,在这种情况下,用户可以用未被感染的备份文件来恢复系统,或是重新安装。然后应该采取措施保护系统使它不会在轻易地被同一种恶意代码感染。

(0)

相关推荐

  • 病毒隔离,删除和恢复

    根据恶意代码迹象的重要性对其进行适当的分级是很重要的,因为它们会传播到其他电脑的系统中.一般情况下,对恶意代码进行基本的分析可以确定入侵的是哪种恶意代码,从而也就可以很容易的确定该恶意代码可能采取的行动.大多数情况下,网络的管理者并不一定知道内网被感染电脑的具体数量,但是他们可以判断出感染的规模是大范围的感染还是仅有很少的系统被感染. 4, 隔离,删除和恢复 除了以上介绍的一般性的指导,这节将针对恶意代码的封锁以及对感染来源线索的收集和处理提供详细的建议. 4.1 选择适当的封锁策略 由于恶意代

  • shell脚本实现mysql定时备份、删除、恢复功能

    mysql备份脚本: 脚本实现:按照数据库名称,全量备份mysql数据库并定期删除 #!/bin/bash #全备方式,一般在从机上执行,适用于小中型mysql数据库 #删除15天以前备份 #作者:lcm_linux #时间:2019.08.06 source ~/.bash_profile #加载用户环境变量 set -o nounset #引用未初始化变量时退出 set -o errexit #执行shell命令遇到错误时退出 #备份用户---需要在mysql中提前创建并授权 #GRANT

  • rpmsvc.exe,image11.zipMSN蠕虫病毒手动删除方法

    最近网站挂马比较验证,我的电脑的也超卡,建议大家下360safe,文件名称:image.JPG-www.photobucket.com 文件大小:10752 bytes  AV命名:(暂无,哈哈``因为全部过了``) 加壳方式:未知 编写语言:Delphi 病毒类型:IRCBot 文件MD5:0e404cb8b010273ef085afe9c90e8de1 行为: 1.释放病毒副本: %Systemroot%\system32\rpmsvc.exe    10752 字节 C:\Document

  • 发现SoundMan.exe病毒附删除方法

    此病毒利用了替换服务等方式启动自身,利用SoundMan.exe这样比较熟悉的程序迷惑人.并具有结束杀毒软件和下载病毒的功能. 病毒释放如下文件 %SystemRoot%\system32\ineters.exe %SystemRoot%\system32\SoundMan.exe(伪SoundMan.exe,且图标与真实的SoundMan.exe相同) %SystemRoot%\system32\tthh3.ini 所有文件的数字签名均为番茄花园 如果有新的可移动存储接入 则写入auto.ex

  • sqlserver数据库危险扩展删除和恢复代码

    曾经遇过,差点抓狂,有装MSSQL的朋友,赶紧试一下,删除以下的组件.当然,前提是你要把自己的数据库搞定后再去删除,否则组件删除后很多功能不能用,为了安全,就得牺牲某些功能,当然,像我这类的,我除了把MSSQL导入后,基本上一年用不到两次,所以,我是会毫不犹豫地删除,嘿. 一, 将有安全问题的SQL过程删除.比较全面.一切为了安全! 删除了调用shell,注册表,COM组件的破坏权限 MS SQL SERVER2000 使用系统帐户登陆查询分析器 运行以下脚本 复制代码 代码如下: use ma

  • SQLserver 数据库危险存储过程删除与恢复方法

    今天为了实现SQLServer/" target="_blank">sqlserver的复制功能,因为以前删除了很多的sqlserver的一些会导致不安全因素的扩展,导致很多功能无法用,没有办法需要重新的恢复扩展. 曾经遇过,差点抓狂,有装MSSQL的朋友,赶紧试一下,删除以下的组件.当然,前提是你要把自己的数据库搞定后再去删除,否则组件删除后很多功能不能用,为了安全,就得牺牲某些功能,当然,像我这类的,我除了把MSSQL导入后,基本上一年用不到两次,所以,我是会毫不犹

  • 如何强制删除或恢复SQLServer正在使用的数据库

    通常情况睛,SQLServer2000正在使用的数据库(有数据库连接),是不能删除或被恢复的,可以将数据库设置为单用户模式,即可删除: ALTER DATABASE IpaddrDB SET SINGLE_USER with ROLLBACK IMMEDIATE GO DROP DATABASE IpaddrDB

  • 熊猫烧香病毒,熊猫病毒专杀,最新变种清除,删除方法 超强推荐

    熊猫烧香病毒,熊猫病毒专杀,最新变种清除,删除方法 超强推荐

    近日,江民科技发布紧急病毒警报,一伪装成"熊猫烧香"图案的病毒正在疯狂作案,已有数十家企业局域网遭受重创.来自我国不同地区的企业向江民反病毒中心举报,他们公司正在遭受不明病毒攻击,电脑中所有可执行的.exe文件都变成了一种怪异的图案,该图案显示为"熊猫烧香"中毒症状表现为系统蓝屏.频繁重启.硬盘数据被破坏等等,严重的整个公司局域网内所有电脑全部中毒,公司业务几乎陷入停顿.广东.上海等地区也出现了类似病毒疫情,江民大客户技术服务部电话响个不停.迹象表明,"熊

  • 解决无法删除病毒文件的处理方法

    随着不限时宽带的普及,为了方便BT下载,很多朋友都爱24小时挂机.全天候的在线,这给一些病毒.木马"入侵"系统带来了极大便利,他们可以在半夜入侵我们的电脑,肆意为非作歹.近日笔者在帮助一位朋友杀毒的时候,就遭遇一个"无法删除的病毒",下面将查杀经验与大家共享.  1.惊现病毒.朋友的电脑安装的是Windows XP专业版,近来常常彻夜开机用BT下载电影,没想到在一次开机的时候,Norton就报告在下发现病毒"exporer.exe",不过使用No

  • sxs.exe病毒删除完美解决方法

    方法一: 可以用WINRAR软件打开D: E: F:等盘 看看 , 是不是每个盘都有SES.EXE文件 如果是的话 那么中的是修改过的ROSE病毒解决方法是这样的:在安全模式下进行手动杀毒,另外,我在注册表里,手动搜索与病毒有关的文件:sxs.exe.svohost.autorun.inf,找到后全删,把每个盘符的都删掉,然后顺安全模式下运行杀毒软件,就OK了 . 手工处理如下:任务管理器可以结束SXS的进程删除,记住,用鼠标右键进入硬盘 同时按下Ctrl+Shift+Esc三个键 打开wind

随机推荐