本文作者:胡凌霄 单位:国家广电总局824台
一、前言
信息技术的发展推动了计算机网络的普及,局域网的重要性逐渐显现出来,影响正常工作的病毒也日渐增多。局域网的病毒危害极大,不但会导致机器中的数据丢失,还会将病毒转染给局域网中的其他机器,严重时导致网络瘫痪。因此对网络病毒的防范及排除,是网络机房维护人员关注的重要问题。
二、计算机病毒概述要探析怎样排除网络机房中计算机病毒故障,首先要弄明白产生计算机病毒的原因,只有找准病因才能够对症下药,才能够有效排除故障。
(一)计算机病毒现象
1.有时候计算机中会多了来历不明的文件或压缩包,严重影响计算机正常运行。2.计算机系统发生异常的动作;如没有任何操作指令下,计算机突然死机后又自动重新启动。3.莫名其妙的多了许多数据,导致系统空间大幅降,低影响计算机正常运行。4.遭受病毒攻击导致大量占用引导区,致使系统运行缓慢甚至死机。5.计算机中的数据与程序莫名其妙丢失,影响计算机正常运行。6.频频出现死机现象。7.对可执行文件进行双击,没有反应。8.病毒进入到计算机后,修改了硬盘引导信息或删除某些文件,致使系统不能启动。9.鼠标或键盘无端锁死。
(二)计算机病毒缘由
1.感染计算机硬盘磁盘,必然会影响到引导扇区。这种病毒自身附加到boot扇区中引导程序上,把部分或全部病毒分别存进引导扇区,并且以各种方式隐藏在引导区;如果计算机要启动该引导区或要读取数据,必然会引发病毒。再将这些带有病毒数据拷贝进机器内存中,必然会扩展开来感染其他磁盘引导区,也可能经过网络感染其他计算机。这种病毒传播主要途径是U盘。
2.感染计算机的操作系统,这种途径是病毒经过操作系统中的模块或者程序实施传染。当系统启动之后,操作系统要调入一些数据到内存,该病毒就能够通过模块或程序一起进入到内存中。一旦具备了传染条件马上影响内存运行。比如网络上传播着一种蠕虫病毒,能够通过计算机操作系统而影响音频文件(比如mp3),事实上该病毒并没有对音频文件造成破坏,仅仅让文件无法正常运行;一旦感染了蠕虫病毒的音频文件传到WEB服务器上,还能够经过在线播放下载感染到其他的计算机系统,进一步给其他计算机造成危害。
3.感染计算机应用程序,这种病毒多是以链接方式感染应用程序。该病毒一旦在某个程序中取得控制权,必然会扫描到其他硬盘上的应用程序,等到具备传染条件之后马上进行传染。比如马吉斯变种G病毒即经过局域网、感染文件等各种方式进行传播,导致许多常用的软件不能正常工作。该病毒侵入之后就会自动感染到Windows中EXE可执行文件,导致一些软件被损而不能正常运行。
三、排除网络机房计算机病毒的故障
病毒进入网络机房计算机中,无论是何种方式何种状态都会影响到计算机正常运行,严重者还可能导致数据外泄造成经济损失。因此,一旦确诊网络机房计算机发生了病毒故障,就要及时进行排除,可以从如下几个方面进行。
(一)采用杀毒软件
对于一些简单病毒可以使用杀毒软件进行查杀,最好的状态即是将病毒清除干净。在使用杀毒软件时,要采用干净的引导盘来启动计算机。当然不同的病毒不能够统一而定,应该在不同环境下进行杀毒。
1.非系统文件内被激活的病毒查杀比较简单,在Windows环境中就能够进行查杀,而且大都能够全部杀灭。
2.系统文件内发作的病毒查杀就不能那么随意,要在Windows的安全模式中进行,在这种模式中病毒是不能够被激活,只有这样才能彻底把病毒清除干净。
3.系统文件内的病毒,查杀难度相对比较大,大都是在干净DOS环境中进行查杀,如果有必要还需要反复进行查杀才可以彻底清除。因此在查杀前要做好备份,防止查杀导致文件数据丢失。
4.经过局域网传播病毒,要先将网络断开才能够进行查杀清除。
5.有一些病毒不能够自动删除,需要手动删除;比如打开资源管理器,从中找到“Nimad”病毒进行手工删除;打开注册表找到“木马”病毒进行手工删除。
(二)重装系统
有时候除了上面几种查杀之外,还有其他病毒不能够解决,这种就只能够用重装系统的方法加以解决。对于网络机房可以使用网络版ghost恢复所有机器的系统。首先要完整安装好一台机器,利用ghost克隆该机器硬盘,制作出映像文件存放到指定硬盘之中。接着运行对应Ghost可执行文件,启动克隆功能。当然需要工作站的硬盘与网卡配置上要完全一致,只需要完成映像文件的复制,最后重新启动计算机就安装好所有机器了。但是如只需要对操作系统以及一些数据进行恢复,就不必克隆整个硬盘,只需要克隆有操作系统分区就可以了。
(三)ARP病毒
1.ARP病毒概述。事实上,ARP病毒属于一种欺骗地址的病毒,是目前比较特殊的一种木马病毒,不能自我复制不会主动传播,但是该病毒一旦发作之后就会通过网络伪造ARP的数据包,导致网络运行中的垃圾数据大幅增加,严重影响到网络正常运行,导致上网断断续续,严重者可能导致整个网络出现瘫痪,其危害性不亚于一些蠕虫病毒。因此对ARP病毒处理至关重要。而要处理这种病毒就必须要清楚其工作原理,在原理基础上对病毒进行诊断。
(1)AIP病毒的攻击原理ARP病毒大都使用了ARP欺骗攻击方式。具体有两种形式:其一,当局域网中某一台主机被ARP病毒所感染,病毒就会截取网关数据,给路由器传送错误内网MAC地址,并且这种错误不断进行,导致真实地址信息根本不能够进行更新保存。这样就会让流向网络中心流量改变方向流向病毒的主机,导致网络出现故障而无法正常运行。其二,ARP病毒在路由器中构建假网关,网段内PC发出数据被假网关所截获,导致正常路由器根本无法获取信息正常上网。
(2)诊断ARP病毒其一,一旦发现无法正常上网就要先把网卡禁用,之后再启动,还不能够正常上网就要怀疑是ARP病毒。其二,打开“开始”—“运行”,输入cmd命令,再输入arp-a,如果出现了多个IP地址,但是多个地址对应MAC却是一样,这种几乎可以确诊为ARP欺骗。其三,打开“开始”—“运行”,输入cmd命令,再输入arp-a,点击“确定”,重新上网,如果恢复且可以诊断为ARP病毒造成。#p#分页标题#e#
2.网关防范。对于防范ARP病毒手段之一就是网关防范,主要是采用IP-MAC的地址绑定。一旦在路由器中绑定好了计算机的IP地址之后,路由器不可能再接纳其他IP数据,ARP缓存表就不可能再更新,有效防范了ARP病毒。
3.计算机防范。做好局域网的外部防范,还要做好计算机自身的防范。这就需要确保计算机的ARP缓存数据时刻处于正确状态。目前很多网络机房都使用收费或者免费ARP防火墙,比如金山ARP防火墙、360ARP防火墙等,这些方式都能够极好防范ARP病毒侵入。当然还可以使用dos指令的“ARPd”,将ARP缓存中清除掉,再使用指令“ARPs网关IP地址网关MAC地址”做好绑定好网关的静态IP,有效防止了ARP病毒影响。
四、结束语
总之,网络机房计算机安全和维护成为相关人士关注的重要领域,只有确保了网络机房各项安全性才能够确保局域网正常运转。因此必须要从计算机病毒现状中挖掘病毒来源,有效的从根源入手排除故障,才能够确保网络机房计算机正常运行。