节日归来 学会用三项措施防止恶意软件

节日归来　学会用三项措施防止恶意软件

来源：赛迪网 作者：freedom

不懂防守，怎能进攻？防患于未然也许是保障任何安全手段有效性的基本前提。因为恶意软件的种类多样性和复杂性，对其进行防范应是最有效的方法。实践证明，恶意软件的发现和清除是一件费时而费力的工作，而用于防止恶意软件感染的所有措施可以为管理员和用户节省大量的时间，省去许多麻烦。

恶意软件的清除通常需要对一个恶意软件如何影响一个特定的系统有着特别的理解，而各种预防措施可以有效地阻止恶意软件而不管其有关特征。当然，有些类型的恶意软件能够逃避过某些防御屏障，因此最好是采取尽可能多的防御措施。

及时打补丁

防止恶意软件感染的最显而易见的方法是保持操作系统的及时补丁。多数恶意软件利用系统的缺陷或漏洞来感染操作系统及其应用程序。一个最新的并拥有完整补丁的计算机系统能够极大的减少恶意软件感染的可能性。不过要当心一些目前未知的、尚未发布补丁的缺陷和漏洞被恶意软件利用的可能性。

另一种防范恶意软件感染的方法是运行那些不易受感染的应用程序。事实上，恶意软件多是以最常用的操作系统及其本地应用程序为目标的。因为操作系统与应用程序是紧密相关的，恶意软件通常可以导致更多破坏。例如，使用一个第三方的Web浏览器是减少潜在威胁的极好方法。

采用反恶意软件预防工具

反恶意软件工具是另一个保护选择。几乎所有的反病毒和反间谍软件工具都汇编了恶意软件的特征，详细描述了恶意软件的特征和行为。如果恶意威胁成功地逃脱第一道防线的话，这些软件能够在其攻击系统时阻止已被识别的威胁，或隔离之，或清除之。这些工具的另外一面是其需要不断地更新其特征库—因此极有可能遗漏某个恶意软件的特征描述。想要提升基于特征的工具软件的有效性，运行多种类型的预防工具以覆盖尽可能多的恶意软件特征是一个不错的主意。

最佳的反恶意软件工具使用异态检测技术以及基于特征的防御方法。这些工具能够适应新类型的恶意软件。它们不断地摄取操作系统映象的快照，并与以前的映象相比较以找出其不同之处。这些方法依赖于软件识别新威胁的能力，也可以称之为一种“探索属性”。这仍是一种处于发展中的恶意软件防范技术，其有效性并非是100%的，不过它们确实提供了一种额外的防御措施。

对用户进行教育

依靠自身，基于技术的防御方法很难百分之百地有效。此外，许多威胁仍然依赖于围绕着那些最高级的反恶意软件技术的社会工程策略。对这些恶意软件威胁来说，最好的（有时是唯一的）防御方法是用户教育。让用户懂得不能接收何种信息和操作、不能访问什么站点、不能信任何种人员的知识是防御恶意软件的最好的方法。

用命令行查找ARP病毒母机

如何能够快速检测定位出局域网中的ARP病毒电脑？

　　面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确网关的IP地址和MAC地址，并且实时监控着来自全网的ARP数据包，当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但是其MAC地址竟然是其它电脑的MAC地址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC地址报警，在根据网络正常时候的IP－MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法。

　　命令行法

　　这种方法比较简便，不利用第三方工具，利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网关的MAC地址记录成ARP病毒电脑的MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，查询命令为 ARP －a，需要在cmd命令提示行下输入。输入后的返回信息如下：

　　Internet Address Physical Address Type

　　192.168.0.1 00-50-56-e6-49-56 dynamic

　　这时，由于这个电脑的ARP表是错误的记录，因此，该MAC地址不是真正网关的MAC地址，而是中毒电脑的MAC地址！这时，再根据网络正常时，全网的IP—MAC地址对照表，查找中毒电脑的IP地址就可以了。由此可见，在网络正常的时候，保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan工具扫描全网段的IP地址和MAC地址，保存下来，以备后用。