格式:Netstat [参数][IP地址] 参数详解:
-a 查看本地机器的所有开放端口。由于一些木马程序和一些入侵者,都要占用计算机的一个端口,因此用此命令可以有效发现和预防木马,并可以知道机器打开的服务等信息。 -r 列出当前的路由信息,告诉我们本地机器的网关、子网掩码等信息。
在图五中,我们可以看到,执行了Netstat –a命令后,可以看到当前计算机开放了哪些端口,通过这些信息,我们可以初步判断机器中是否有木马程序。 3、Winipcfg命令
功能:显示Windows 98系统中的网络配置(该命令仅适用于Windows 98) 格式:winipcfg /参数 参数介绍:
/? 显示winipcfg的格式和参数的英文说明 /all 显示所有的有关IP地址的配置信息
主要功能:显示用户所在主机内部的IP协议的配置信息 使用方法:直接在“开始”菜单的“运行”中输入此命令即可 4、Ipconfig命令
功能:显示系统的网络配置,该命令适用于除Windows 98外的操作系统 格式:Ipconfig /参数 参数介绍:
/? 显示Ipconfig的格式和参数说明
/All 显示该机器中的所有网络配置,IP地址、DNS服务器地址及网关地址等网络配置消息 我们在日常的网络维护中,一般使用这个参数查看网卡的驱动程序是否真正安装。如果我们在网上邻居中,已经配置了IP地址和网关,而使用此命令无法查看到在网上邻居中配置的IP信息,则证明网卡驱动程序没有正确安装。 三、如何判断电脑系统是否中毒
面临日益发达的互联网,每天都会担心自己的电脑是否被可怕的病毒缠上,特别是网络通讯的日益发达,使得病毒也拥有了更好的传播渠道。无论是超级菜鸟,还是经验丰富的技术工程师,面对病毒,无不“谈毒色变”!
虽然众多公司开发了各种各样的反病毒软件,但只有当新病毒出现后,杀毒软件并无法杀死该病毒,面对新出现的病毒,也只是傻傻的看。现在,我们不害怕反病毒软件能查出病毒,最害怕的应该是杀毒软件查不出病毒,但我们的机器不正常运转!我们充分了解病毒的知识后,应该具备能判断电脑是否中毒的基本常识。 (一)病毒的基本知识
病毒,其实是一种程序,而且大部分病毒都具有一定的破坏能力,因此,病毒可以说是一种具有破坏作用的程序代码!由于病毒代码无任何规律可循,这使我们在防范病毒的时候有点难度。我们要想准确判断电脑是否中毒,必须了解相关的病毒知识,还有曾经发作过的病毒特征。
1、病毒按照传染方式的分类:
现在的病毒,按照传染方式来分的话,可以分为以下几种:
①引导型病毒:这类病毒攻击的对象就是磁盘的引导扇区,这样就能使系统在启动时获得优先的执行权,从而达到控制整个系统的目的,这类病毒因为感染的是引导扇区,所以造成的损失也就比较大,一般来说会造成系统无法正常启动,但查杀这类病毒也较容易,多数杀毒软件都能查杀这类病毒,如KV300、KILL系列等。
②文件型病毒:早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件,这样的话
当你执行某个可执行文件时病毒程序就跟着激活。近期也有一些病毒感染以dll、ovl、sys等为扩展名的文件,因为这些文件通常是某程序的配置、链接文件,所以执行某程序时病毒也就自动被加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中,如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中,感染后通常文件的字节数并不见增加,这就是它的隐蔽性的一面。
③网络型病毒:这种病毒是近几来互联网高速发展的产物,感染的对象不再局限于单一的模式和单一的可执行文件,而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的OFFICE文件进行感染,如WORD、EXCEL、电子邮件等。其攻击方式也有转变,从原始的删除、修改文件到现在进行文件加密、窃取用户有用信息(如黑客程序)等,传播的途经也发生了质的飞跃,不再局限磁盘,而是通过更加隐蔽的网络进行,如电子邮件、电子广告等。 ④复合型病毒:把它归为“复合型病毒”,是因为它们同时具备了“引导型”和“文件型”病毒的某些特点,它们即可以感染磁盘的引导扇区文件,也可以感染某此可执行文件,如果没有对这类病毒进行全面的清除,则残留病毒可自我恢复,还会造成引导扇区文件和可执行文件的感染,所以这类病毒查杀难度极大,所用的杀毒软件要同时具备查杀两类病毒的功能。目前的Kv2004就具备这个功能! 2、病毒按照入侵方式的分类:
①源代码嵌入攻击型:这种病毒,一般是通过寄生在其他应用软件或者操作系统的程序中,只要用户运行该软件或操作系统,病毒就会立即发作。盗版软件一般是经过破译者修改正版软件完成的,因此病毒经常附在一些软件的注册机或者破解补丁中。
②代码取代攻击型:这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块,这类病毒也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较困难。
③系统修改型:这类病毒主要是通过自身的代码程序,覆盖操作系统中必须执行的文件或者是应用程序来激活的,病毒感染后,危害大,但该病毒容易清除,称之为文件型病毒,是目前多发的一类病毒。
④外壳附加型:这类病毒通常是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。 (二)电脑中毒的现象
了解了电脑病毒的基本知识,我们还必须了解电脑中毒后的一些表现,然后这样会有助于我们判断电脑是否中毒。在电脑出现以下中毒表现时,是在机器的硬件无故障,软件运行正常的情况下发生的。 1、电脑无法启动
电脑感染了引导型病毒后,通常会无法启动,因为病毒破坏了操作系统的引导文件。最典型的病毒是CIH病毒。 2、电脑经常死机
病毒程序打开了较多的程序,或者是病毒自我复制,都会占用大量的CPU资源和内存资源,从而造成机器经常死机。对于网络病毒,由于病毒为了传播,通过邮件服务和QQ等聊天软件传播,也会造成系统因为资 源耗尽而死机。 3、文件无法打开
系统中可以执行的文件,突然无法打开。由于病毒修改了感染了文件,可能会使文件损坏,或者是病毒破坏了可执行文件中操作系统中的关联,都会使文件出现打不开的现象。 4、系统经常提示内存不足
现在机器的内存通常是256MB的标准配置,可是在打开很少程序的情况下,系统经常提示内存不足。部分病毒的开发者,通常是为了让病毒占用大量的系统资源,达到让机器死机的目的。
5、机器空间不足
自我复制型的病毒,通常会在病毒激活后,进行自我复制,占用硬盘的大量空间。 6、数据突然丢失
硬盘突然有大量数据丢失,这有可能是病毒具有删除文件的破坏性,导致硬盘的数据突然消失。
7、电脑运行速度特别慢
在运行某个程序时,系统响应的时候特别长,响应的时间,超出了正常响应时间的5位以上。 8、键盘、鼠标被锁死
键盘、鼠标在进行BIOS设置时正常,进入系统后无法使用。部分病毒,可以锁定键盘、鼠标在系统中的使用。
9、系统每天增加大量来历不明的文件
病毒进行变种,或者入侵系统时遗留下的垃圾文件。 10、系统自动加载某些程序
系统启动时,病毒可能会修改注册表的键值,自动在后台运行某个程序。部分病毒,如QQ病毒,还会自动发送消息。 (三)判断电脑是否中毒的方法
我们在了解了病毒的基础知识和中毒表现后,自然会有一些方法,来判断我们的电脑是否中毒。
1、使用杀毒软件进行磁盘扫描
判断病毒的第一步,就是通过杀毒软件进行扫描,查看机器中是否存在病毒。在扫描前,最好升级一下杀毒软件的病毒库。 2、查看硬盘容量
对于自我复制型病毒,查看硬盘容量,可以判断出是否感染了病毒。特别是系统盘的容量大小,大家在平时,一定要了解自己的系统盘容量是多少。 3、检查系统使用的内存数量
正常使用的操作系统,占用的系统资源是一定的。如果系统感染了病毒,病毒肯定会占用内存资源。对于Windows 98操作系统,进入操作系统后,在DOS提示符下,运行mem /c/p查看内存的使用情况,特别是640Kb的基本内存使用情况!在Windows 2000或者是Windows XP系统下,在“运行”中输入cmd后,执行mem即可。 4、使用任务管理器查看进程数量
在Windows 2000和Windows XP操作系统中,可以利用任务管理器,查看一下是否有非法的进程在运行。对于一些隐蔽性的病毒,在任务管理器中不显示进程。 5、查看注册表
部分病毒的运行,需要通过注册表加载的,如恶意网页病毒都会通过注册表加载,这些病毒,在注册表中的加载位置如下:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindwosCurrentVersionRun]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindwosCurrentVersionRunOnce]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindwosCurrentVersionRunSevices]
[HKEY_CURRENT_USERSOFTWAREMicrosoft WindowsCurrentVersionRun]
[HKEY_CURRENT_USERSOFTWAREMicrosoft WindowsCurrentVersion RunOnce] 查看注册表中以上几个键值的情况,看一下有没有异常的程序加载。要想提高判断的准确性,可以把正常运行的机器的这几个键值记录下来,方便比较! 6、查看系统配置文件
这类病毒一般在隐藏在System.ini、Wini.ini(Win9x/WinME)和启动组中。在System.ini文件中有一个“Shell=”项,而在Wini.ini文件中有“Load=”、“Run=”项,这些病毒一般就是在这些项目中加载它们自身的程序的,注意有时是修改原有的某个程序。我们可以运行msconfig.exe程序来一项一项查看。由于Windows 2000操作系统中没有Msconifg这个程序,可以由Windows XP操作系统中复制! 7、观察机器的启动和运行速度
对于一些隐蔽性高的病毒,我们通过以上方法无法判断时,可以根据机器的启动和运行速度进行判断,在保证硬件系统无故障和软件系统运行正常的情况下,可以基本断定已经感染病毒!
8、特征字符串观察法
这种方法主要是针对一些较特别的病毒,这些病毒入侵时会写相应的特征代码,如CIH病毒就会在入侵的文件中写入“CIH”这样的字符串,当然我们不可能轻易地发现,我们可以对主要的系统文件(如Explorer.exe桌面主程序)运用16进制代码编辑器进行编辑就可发现,当然编辑之前最好还要要备份,不然你修改错了,就没得救了! 通过以上的叙述,相信大家对如何判断病毒应该有一个大致的了解了吧。要想准确判断病毒,还需要了解各种常见病毒的特征及更多的病毒相关知识。 四、手动清除病毒方法
知道了如何判断系统是否中毒,那么我们也要学会对付一些简单病毒的方法,以方便我们的维护,不然每次遇到病毒,都要重新安装系统,将是一件痛苦的事情。
目前,大部分杀毒软件对网页病毒的预防性能不太好,因此导致很多用户中毒,而且杀毒软件查不出病毒所在。对于网页病毒,我们一般手动来清除网页病毒。 目前,常见的网页病毒主要有以下几种: (一)默认主页被修改
1、病毒特征:默认的主页被修改成某一网站的地址
2、表现形式:IE浏览器的默认主页被修改成为http://www.***.com,而且收藏夹中也加入了一些非法的站点。IE浏览器被修改后的主页,是一些黄色非法站点,打开IE后会不断打开下一级网页,还有一些广告窗口,使计算机资源耗尽。 3、清除方法:
①我们要看一下被病毒修改后的主页地址是多少,记录下来。 ②打开“控制面板”中的“Internet选项”,在“Internet选项”“常规”中,找到“Internet临时文件”菜单,选择“删除Cookies(I)”和“删除文件”菜单,将IE的临时文件和所有的Cookies删除。
③在“开始”菜单中“运行”中输入“Regedit”打开注册表编辑器,查找注册表Run下面的键值。打开注册表编辑器,查找HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun选项,在右面空白处查找加载的ttp://www.***.com选项并删除。
④在注册表编辑器中,使用查找命令,查找http://www.***.com(该键值就是被病毒修改后
的主页地址,为了防止用户中毒,特用*代替中间的字母,下同)键值并删除。重新查找整个注册表中的http://www.***.com键值并删除,然后退出注册表编辑器。 4、危害程度:一般
(二)主页设置被屏蔽锁定,且设置选项无效不可更改 1、病毒特征:将IE浏览器主页设置禁用
2、表现形式:IE的主页被修改为http://www.***.com,IE浏览器“Internet选项”“常规”选项中的“主页”变成了灰色,无法更改当前的主页。
3、清除方法:在“开始”菜单的“运行”中输入“Regedit”打开注册表编辑器,查找: HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorer分支,新建“ControlPanel”主键,然后在此主键下新建键值名为“HomePage”的DWORD值,值为“00000000”,按F5键刷新生效。
4、清除IE浏览器的临时文件和Cookies文件。 5、危害程序:中等 (三)QQ尾巴病毒
1、病毒特征:这种病毒并不是利用QQ本身的漏洞进行传播。它其实是在某个网站首页上嵌入了一段恶意代码,利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。中毒后在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词。
2、表现形式:机器中毒后,在运行QQ聊天时,会自动向QQ中的好友发送以下信息, ①HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。
②呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/ ③http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样?这些信息加载到聊天内容后,当用户接收到消息后,有的用户出于好奇,打开了上面的网址,结果中毒成为下一个病毒传播者。由于QQ用户众多,因此这个病毒传播速度比较快。 3、清除方法:
①在“运行”中输入“msconfig”,找到“启动”选项,查找其中的可疑启动选项。 ②将可疑文件名字记录下来,用“查找”菜单在“我的电脑”中查找这些程序,将查找到的程序删除。
③利用上面叙述的方法,将IE浏览器的设置恢复,并删除注册表中加载的可疑程序,名字参考在Msconfig中得到的程序名字。
④ 检查“开始”菜单“程序”中的“启动”选项,看是否有可疑程序并加载。如果有可疑程序,记录下名字,并删除快捷方式用源程序。 ⑤安装IE的补丁程序,重新启动计算机。
总结:机器只要中毒,就会体现在系统的进程中,记录下这些可疑的进程名字,查找所有程序并删除。然后再去注册表中,修改被病毒修改的键值,就一定可以将病毒清除。对于变种病毒,需要进行多次反复操作,才能清除病毒。要想做到准确判断哪些程序是病毒,需要熟悉正常运行的电脑中,进程有哪些,大概占用多少系统资源。建议在系统做好后,对系统进程截图保存,还有Msconfig中的启动选项也截图保存,有利于日后判断病毒!
-------------------------------------------------------------------------------- 第二章: 超级网管技术篇
第一部分:网吧维护进阶篇
网管入门需掌握的电脑知识
