带毒操作也安全

2016-11-26 03:11
网络安全和信息化 2016年9期
关键词:优盘快照对话框

引言:在实际工作中,我们一方面要确保系统或网络安全稳定运行,但有时又要不得已地进行带毒操作。如果贸然进行带毒操作,那么系统或网络的运行安全将会受到威胁。遇到上面的两难境地,我们只要巧妙变通,采取针对性防范措施,让带毒操作安全进行即可。

在实际工作中,我们时常会处于这样的两难境地,一方面要确保系统或网络安全稳定运行,一方面要不得已地进行带毒操作。但如果贸然进行带毒操作,那么系统或网络的运行安全将会受到威胁;如果保护了系统或网络安全,一些迫不得已的带毒操作将无法进行,那么重要工作由此可能会受到影响。其实,遇到上面的两难境地,我们只要巧妙变通,采取针对性防范措施,让带毒操作安全进行即可。

安全带毒上网访问

在局域网环境中,终端计算机感染ARP病毒的可能性很大,一旦被该病毒攻击,系统上网将会变得不正常。如果要恢复网络连接状态,必须要清除隐藏在系统中的ARP病毒才行。但在身边没有专业安全工具可以利用的情况下,如果我们要坚持在带毒状态下上网,该如何实现呢?考虑到这种类型病毒往往是通过制造IP地址冲突现象,才造成终端计算机系统上网速度缓慢或不能上网的,现在我们只要想办法让终端系统的IP地址与网卡MAC地址绑定在一起,拒绝ARP病毒引起IP地址冲突,就能保证系统在带毒状态下,继续进行上网访问操作了。

在进行该操作时,先在终端系统逐一选择“开始”和“运行”命令,展开系统运行对话框,输入“cmd”字符串命令并回车,切换到DOS命令行工作状态,在该状态下执行“ipconfig /all”字符串命令,返回如图1所示的结果信息,从这里记录下终端计算机系统的IP地址与MAC地址,假设IP地址为“10.176.34.232”,MAC地址为“8C-89-A5-70-DF-AA”。继续在DOS命令行状态下输入“arp -s 10.176.34.232 8C-89-A5-70-DF-AA”字符串命令,将终端计算机系统的IP地址与MAC地址绑定在一起,这样ARP病毒自然就无法制造IP地址冲突,那么系统上网访问也就不会受到影响了。

这种方法在规模不大的局域网中很适用,但其操作起来比较繁琐,如果上网的终端计算机数量比较多,而且终端系统不断发生变化时,采用地址绑定的方法来抑制ARP病毒,那么工作量将是比较大的,同时也很难实施。倘若地址绑定操作在局域网交换机中进行时,会存在地址绑定记录较多,影响交换机运行性能的现象发生,最终会拖累整个网络工作性能。

图1 DOS命令对话框

图2 DOS命令对话框

此外,ARP病毒常常会强制终端计算机系统更新本地ARP映射表中的记录内容,以实施ARP病毒欺骗攻击,如果我们能不断清除本地系统ARP映射表中的记录内容,让终端系统不向病毒网关发送上网请求信息,就能确保系统带毒上网访问了。要做到这一点,不妨进行如下操作:先依次单击本地终端中的“开始”、“程序”、“附件”、“记事本”命令,展开文本编辑界面,输入如下命令代

其 中“arp -d ”命 令表示执行本地系统ARP记录清除操作,“ping 3.3.3.3-n 1 -w 100”命令表示将清除ARP缓存记录间隔时间控制为“0.1”秒,这里的“3.3.3.3”IP地址是随意配置的地址,“100”代表间隔时间为“0.1”秒。在上述代码输入正确后,执行文件保存操作,将上述代码内容存储为批处理文件,假设该文件名称为“123.bat”。

接着用鼠标双击上述批处理文件,在其后弹出的DOS命令行窗口中,我们看到目标批处理文件会一直循环执行下去(如图2所示),只要不退出DOS命令行窗口,那么目标批处理文件就能不断地清空本地系统ARP映射表中的记录内容,本地系统的上网状态就不会受到ARP病毒攻击的影响。

安全使用带毒优盘

在网络病毒疯狂肆虐的日子里,带毒优盘几乎随处可见;这些带毒优盘的根目录下面,几乎都会存在一个autorun.inf文件,通过该文件实现自动激活病毒,从而达到疯狂传播的目的。很显然,在局域网环境中,一旦出现了带毒优盘,刻不容缓需要解决的事情就是控制住带毒优盘,防止它随意扩散、传播病毒,从而影响整个网络的安全状态!但在身边没有专业工具可以利用的情况下,如何既能控制住病毒,又能正常使用优盘呢?

首先要关闭系统的设备自动播放功能,不让优盘插入到计算机系统的一刹那病毒自动运行。逐一选择“开始”、“运行”命令,在弹出的系统运行对话框中,输入“gpedit.msc”命令并回车,展开系统组策略控制台窗口,将鼠标定位于“本地计算机策略”分支上,依次选择该分支下面的“计算机配置”、“管理模板”、“系统”选项。用鼠标双击“关闭自动播放”组策略选项,在其后弹出的选项设置框中,选中“已启用”选项,同时在关闭自动播放列表中选择优盘或移动硬盘,再单击“应用”按钮,这样一来带毒优盘中的病毒日后将无法自动运行。当然,这种方法仅在Windows XP客户端系统中有效。倘若终端计算机安装的是Vista以上版本系统,那么必须依次展开“计算机配置”、“管理模板”、“Windows组件”、“自动播放策略”分支,双击该分支下面的“关闭自动播放”组策略选项,选中“已启用”选项(如图3所示),再选择优盘设备对应的磁盘驱动器即可。

图3 属性对话框

当然,也可以通过编辑注册表相关键值方法,来限制优盘病毒程序自动加载运行。只要依次单击“开始”、“运行”命令,在系统运行对话框中执行“regedit”命令,弹出系统注册表控制台窗口,选中该窗口左侧列表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2分支选项;打开目标分支选项的右键菜单,单击“权限”命令,切换到权限设置对话框,在这里将所有用户的访问权限全部设置成拒绝,再刷新系统注册表。这样,日后在自己的计算机中使用带毒优盘时,优盘中的病毒程序会因操作权限不够,不能自动运行,那么它自然也就不能传播、感染Windows系统了。

其次,及时更新安全漏洞。为了不让带毒操作状态下的病毒威胁系统安全,我们必须及时更新系统安全漏洞,确保本地系统有足够强大的安全抵抗力。现在,Windows系统的在线更新功能十分强大,支持漏洞扫描功能,通过漏洞扫描功能自动形成的安全报告,我们可以选择采用手工修复或自动修复系统安全漏洞。为了提高在线更新工作效率,我们可以进行如下设置操作,可以让在线更新功能运行时间与实际工作时间错开:依次选择“开始”、“控制面板”命令,进入系统控制面板窗口,双击其 中 的“Windows Update”图标,按下“更改设置”按钮,弹出如图4所示的设置窗口。在“自动安装更新”位置处,设置好系统在线更新功能的运行时间,确保该时间与实际工作时间错开,同时勾选“检查更新,选择“是否下载和安装更新”,单击“确定”按钮保存设置操作。这样,在线更新功能日后只有在征求我们同意之后,才会执行升级安装操作。

第三,正确访问优盘内容。要进入优盘窗口访问内容时,必须在“我的电脑”或“计算机”窗口中,找到优盘分区图标,打开它的右键菜单,单击“打开”命令才行,而不能通过双击鼠标方式进入优盘窗口,否则会激活优盘中的病毒,从而影响系统的运行安全。

安全使用带毒程序

因为工作方面的原因,我们有时要使用某个特定的应用程序,但该程序意外感染有病毒。如果要正常运行它,必须先卸载或关闭杀毒程序,确保其在工作时不会受到拦截。但是如果贸然使用带毒程序,计算机系统的安全将会受到很大的威胁,这该如何是好呢?

图4 设置对话框

图5 映射网络驱动器窗口

实际上,我们可以巧妙使用“VMware Workstation”这款外力工具,将自己的终端系统变成虚拟机,在虚拟环境下运行带毒程序,就不用担心病毒攻击真正的计算机系统了。在进行这种操作时,先从网上下载安装好“VMware Workstation”工具,并利用它创建好特定名称的虚拟机,同时在虚拟机中安装好Windows XP SP3操作系统和VMware Tools程序。完成好上述准备工作后,在真正主机和VMware虚拟机之间,创建一个共享文件夹,以避免数据拷贝引起的磁盘空间和操作时间的浪费。当虚拟机系统启动到桌面时,逐一选择“VM”、“Settings”选项,切换到虚拟机设置对话框,选择“Options”标签,选择对应标签页面中的“Shared Folders”选项,在该选项设置区域选中“Always enabled”,单 击“Add”按钮,导入需要共享的特定文件夹,假设该文件夹为“F:aaa”。为了让虚拟机可以顺利访问到真正主机上的“F:aaa”共享文件夹,还必须在虚拟系统下将对应文件夹映射成网络驱动器。打开虚拟系统的资源管理器窗口,逐一选择“工具”、“映射网络驱动器”命令,弹出网络映射驱动器设置框(如图5所示),在这里设置好网络驱动器分区符号,选中并导入“F:aaa”文件夹,再单击“完成”按钮退出网络映射设置操作。

接下来需要在虚拟机中创建快照,为使用带毒程序营造测试环境,日后带毒程序即使真的存在安全威胁,我们也可以在第一时间将虚拟机还原到创建快照时的正常工作状态。对于VMware虚拟机来说,无论其处于关闭状态还是开机状态,都可以进行快照创建操作。当然,建议大家最好在虚拟机关闭状态下建立快照,因为在开机状态下创建快照,往往要消耗不小的磁盘空间。在建立快照时,可以逐一选择“VM”、“Snapshot”、“Take Snapshot”命令,弹出快照创建对话框,在这里设置好快照名称,输入相关描述信息,按下“Take Snapshot”按钮,就能为虚拟机正常的工作状态创建好快照了。

在完成上述任务后,现在我们就能够在虚拟机环境下,随意使用带毒程序了。今后即使带毒程序造成了虚拟操作系统发生了崩溃,我们也用不着担心,因为可以逐一选择“VM”、“Snapshot”以及“xxx快照”命令,就能够快速地将虚拟系统还原到以前正常时的工作状态了。要提醒大家的是,不管虚拟机操作系统处于哪种类型的工作状态,都可以执行快照切换操作;但是一旦选择了某个快照,虚拟操作系统将会还原到对应快照前的状态,使用带毒程序产生的所有数据都将被自动删除干净。

图6 更改设置对话框

在安全无法预料的情况下,使用虚拟机营造安全使用环境,的确可以让带毒操作顺利进行。但使用专用虚拟机软件操作起来比较繁琐,有没有更简便的方法帮助我们安全使用带毒程序呢?答案是肯定的!我们可以巧妙通过一款系统备份工具“ATI2013”对系统进行隔离测试,让它为我们使用带毒程序提供一个安全保护环境。首先创建好安全隔离环境。从网上下载安装好“ATI2013”工具,切换到“工具与实用工具”标签设置页面,单击“Try&Decide”按钮,在其后界面单击“虚拟更改的存储”处的蓝色文字链接,为虚拟数据区域设置一个合适空间的硬盘分区,同时指定好受保护的分区,一般我们应该将系统分区设置为受保护的磁盘分区,如果工作需要的话,也能在这里指定其他分区或磁盘。定义好相关参数后,选择“单击以启动”按钮,就能开启隔离保护状态,在这种状态下就能使用带毒程序了。这时,带毒程序对系统进行的任何置操作,包括修改系统设置、安装隐藏插件等操作,都是在一个隔离的环境下进行的,所有的数据不会与操作系统原有数据发生关系,也不会影响到系统真正有效的数据。所以,即便在使用带毒程序的过程中发生数据被破坏的现象,或病毒木马程序尝试隐藏在系统中,它们所做的也只是“自欺欺人”,待带毒操作结束后,这些“自欺欺人”的小动作将会“全军覆没”。

在带毒操作结束后,返回到主操作界面,按下“Try&Decide”图标,弹出如图6所示的设置对话框,这里的“应用更改”选项千万不能够点击,因为一旦选择了这个选项,那么使用带毒程序时产生的数据都将会应用的原来的操作系统中,这自然也包括非法程序对操作系统的偷偷更改。我们要做的就是选择“放弃更改”选项,这样才能确保带毒程序对系统的更改对原来的操作系统不起任何作用。

猜你喜欢
优盘快照对话框
EMC存储快照功能分析
正常恢复虚拟机
人脑优盘
Bootlace Worms’Secret etc.
What Is Beauty?
打造优盘系统维护盘
应用Hbase快照机制
一种基于Linux 标准分区的快照方法
创建磁盘组备份快照
妙手回春巧修优盘