怎么病毒隔離
當病毒還沒出現的時候,我們可以嘗試著把病毒隔離,以預防它的出現或者深入,那我們該怎么病毒隔離呢? 下面是學習啦小編整理的一些關于怎么病毒隔離的相關資料,供你參考。
根據惡意代碼跡象的重要性對其進行適當的分級是很重要的,因為它們會傳播到其他電腦的系統中。一般情況下,對惡意代碼進行基本的分析可以確定入侵的是哪種惡意代碼,從而也就可以很容易的確定該惡意代碼可能采取的行動。大多數情況下,網絡的管理者并不一定知道內網被感染電腦的具體數量,但是他們可以判斷出感染的規模是大范圍的感染還是僅有很少的系統被感染。
病毒隔離1 選擇適當的封鎖策略
由于惡意代碼具有隱蔽和繁殖、傳播快等特性,所以對惡意代碼的及時封鎖可以阻止它傳播擴散,從而造成更大的破壞。如果被感染的系統不是很重要,那么就應該盡快地斷開它與網絡的物理連接。如果被感染系統所起的作用非常重要,除非保持物理連接所承擔的安全風險遠遠超出了該系統所起作用的重要性,否則建議不要隨便斷開物理連接。如果遇到下面所提到的惡意代碼情況,還需要采取其他措施:
* 使用上節提到的措施:當一個系統被感染時,它極有可能會去感染其他系統,所以在設置封鎖策略的時候一定要防止病毒向其他系統擴散。
* 鑒別和隔離被感染主機:反病毒軟件的報警系統是一個很好的消息來源,但是并不是每個病毒都能被反病毒軟件探測到的。所以管理員還需要通過其他手段來尋找感染信息。
例如:
- 通過端口掃描來查看是否有木馬在監聽端口
- 使用反病毒掃描和專殺工具來清楚特定的病毒
- 通過查看郵件服務器、防火墻甚至是具體某臺主機的日志來判斷是否有病毒侵入
- 設置網絡和主機的入侵檢測軟件來識別可能的病毒活動
- 審查運行中的進程是否是合法進程
* 發送未知病毒的樣本給反病毒廠商:有時候,反病毒軟件無法識別已感染的惡意代碼,用戶不通過反病毒廠商升級特征碼將無法對惡意代碼進行隔離來防止它擴散。這種情況下,用戶應該惡意代碼的樣本提交給反病毒廠商。
* 通過設置郵件服務器和客戶端來阻塞病毒郵件:許多郵件系統都可以通過手動設置來阻塞特定主題,附件名或其他標準來阻塞帶有惡意代碼的郵件。雖然這種方法并不是十分安全有效,但是在沒有相匹配的反病毒特征碼時,這種方法是對付將要到來的已知病毒最好的方法。
* 阻塞發送出的訪問:如果惡意代碼向外部發送病毒郵件或是嘗試與外部連接,那么管理員應該阻塞已感染系統嘗試連接的外部主機的IP地址或是服務
* 關閉郵件服務器:當遇到破壞特別嚴重的惡意代碼的時候,假設這時內網中已經有大量的主機被感染,并且病毒試圖通過郵件傳播出去。這時,郵件服務器可能已經被內網中上百臺電腦發來的病毒郵件搞得完全癱瘓。這種情況下,關閉郵件服務器,防止病毒向外擴散是非常必要的。
* 斷開局域網與因特網的連接:當遇到極為嚴重的蠕蟲病毒侵襲的時候,局域網可能會因此癱瘓。有時情況嚴重,外網的蠕蟲還可以使局域網與因特網連接的網關完全癱瘓。一般遇到這種情況,特別是如果局域網已經因為蠕蟲完全無法同因特網取得聯系時,最好斷開局域網與因特網的連接,這樣可以保護局域網內的系統不會遭到外網蠕蟲的侵襲;如局域網已經被蠕蟲感染,這樣做也可以防止蠕蟲感染其他網絡的系統和造成網絡擁塞。
確定局域網中被感染和存在漏洞的主機需要通過復雜的動態運算。如果網絡中所有的電腦都開著,并且連在網中,那么清除惡意代碼就會變的相對簡單一些。但是,實際情況中可能存在被感染的主機沒有開機,或是遷移到其他網絡中,或是電腦雖然開著,但是用的人已經離開了辦公室等情況。存在漏洞的主機盡管在使用者不在時是關閉的,但是它很可能一開機就被病毒感染。確定被感染和存在漏洞的主機不能僅僅依賴于我們的參與。無論如何,單位或組織也沒有足夠的人力和時間去對每臺主機進行手動檢查,特別是當這里有很多人是使用移動電腦或是在家里通過使用與工作單位連接的計算機終端來進行遠距離工作時。在出現大規模的惡意代碼爆發時,組織或是單位必須慎重考慮這些情況,從而采用最有效的封鎖策略。
病毒隔離2 感染來源線索的收集和處理
盡管收集這些線索是可能的,但是這并沒有多大用處,因為惡意代碼既可以自動傳播,也可以通過被感染用戶傳播。所以,確定病毒的來源是非常困難并且費時間的工作。但是,收集病毒樣本用于以后的測試在某些情況下是非常有用的。
病毒隔離3 殺除與恢復
反病毒軟件可以有效的鑒定和清除惡意代碼;盡管有的被感染文件是無法清除的(這些文件可以被刪除或用未被感染的備份文件覆蓋;對與一個程序來說,被感染程序可以卸載重裝。)。這樣,即使病毒為它的操縱者竊取了管理員級的權限,它也將無法執行操作者接下來的指令,在這種情況下,用戶可以用未被感染的備份文件來恢復系統,或是重新安裝。然后應該采取措施保護系統使它不會在輕易地被同一種惡意代碼感染。
看過文章“怎么病毒隔離”的人還看了:
7.十大方法教你預防惡意網頁