+设为首页 +添加到收藏夹
根据恶意代码迹象的重要性对其进行适当的分级是很重要的,因为它们会传播到其他电脑的系统中。一般情况下,对恶意代码进行基本的分析可以确定入侵的是哪种恶意代码,从而也就可以很容易的确定该恶意代码可能采取的行动。大多数情况下,网络的管理者并不一定知道内网被感染电脑的具体数量,但是他们可以判断出感染的规模是大范围的感染还是仅有很少的系统被感染。
4 隔离、删除与恢复
4.1 选择适当的封锁策略 【相关文章:新模式:用服务器准系统构建高性价比集群】
除了以上介绍的一般性的指导,这节将针对恶意代码的封锁以及对感染来源线索的收集与处理提供详细的建议。 【扩展阅读:Win2003服务器集群技术】
* 使用上节提到的措施:当一个系统被感染时,它极有可能会去感染其他系统,所以在设置封锁策略的时候一定要防止病毒向其他系统扩散。 【扩展信息:航天部某所32节点服务器集群系统简介】
由于恶意代码具有隐蔽与繁殖、传播快等特性,所以对恶意代码的及时封锁可以阻止它传播扩散,从而造成更大的破坏。如果被感染的系统不是很重要,那么就应该尽快地断开它与网络的物理连接。如果被感染系统所起的作用非常重要,除非保持物理连接所承担的安全风险远远超出了该系统所起作用的重要性,否则建议不要随便断开物理连接。如果遇到下面所提到的恶意代码情况,还需要采取其他措施:
* 鉴别与隔离被感染主机:反病毒软件的报警系统是一个很好的消息来源,但是并不是每个病毒都能被反病毒软件探测到的。所以管理员还需要通过其他手段来寻找感染信息。
例如:
- 通过端口扫描来查看是否有木马在监听端口 - 使用反病毒扫描与专杀工具来清楚特定的病毒 - 通过查看邮件服务器、防火墙甚至是具体某台主机的日志来判断是否有病毒侵入 - 设置网络与主机的入侵检测软件来识别可能的病毒活动 - 审查运行中的进程是否是合法进程* 发送未知病毒的样本给反病毒厂商:有时候,反病毒软件无法识别已感染的恶意代码,用户不通过反病毒厂商升级特征码将无法对恶意代码进行隔离来防止它扩散。这种情况下,用户应该恶意代码的样本提交给反病毒厂商。
* 通过设置邮件服务器与客户端来阻塞病毒邮件:许多邮件系统都可以通过手动设置来阻塞特定主题,附件名或其他标准来阻塞带有恶意代码的邮件。虽然这种方法并不是十分安全有效,但是在没有相匹配的反病毒特征码时,这种方法是对付将要到来的已知病毒最好的方法。
... 下一页