如何防止局域网病毒死灰复燃？

   导读:我们经常遇到局域网中的病毒明明查杀掉了,但过一段时间又死灰复燃了,这是为什么呢?不少网络安全管理人员都有类似的烦恼。各个客户端与服务器已经部署了杀毒软件而且已经升级到最新的版本，为什么局域网内部还是会不断出现杀不尽的病毒呢？它们似乎秘密的隐藏在某个角落,等待机会死灰复燃.

　　其实，这是因为现在的病毒越来越会捉迷藏。他会通过各种各样的形式来隐藏自己，不被杀毒软件发现。如有些病毒经常采用反客为主的方式，来躲避杀毒软件的查杀。如现在在系统的任务管理器中有一个svchost.exe的进程。这个进程名字和操作系统名称一模一样，大小写也相同。那是否说明这个进程就是安全了的呢？其实不然。现在有些病毒利用了任务管理器无法查看进程对应的可执行文件这一缺陷，来隐藏自己。通常情况下，系统的svchost.exe进程对应的可执行文件存储系统操作系统的系统目录根目录下面的一个文件夹中。而病毒就可以把自身的病毒文件复制到系统目录根目录中，并改名为svchost.exe。病毒运行后，我们在任务管理起重看到的也是svchost.exe这个进程。看起来和系统的正常进程无异，其实，此时病毒已经反客为主，以操作系统合法主人的身份光明正大的出现在我们面前。

　　所以，现在病毒软件隐蔽性越来越好。真正具有危害性的病毒，不会像熊猫病毒那样，那人一看就知道你网络中毒了。俗话说，会咬人的狗不叫。那些危害性大的病毒，只会躲在幕后，监视着你。在必要的时候，如得到他们所需要的信息之后，就悄然隐退。这种病毒才是我们安全管理人员中的心头大患。

　　那么该如何才能够把病毒暴露在阳光之下，如何才能够不让病毒春风吹又生呢？为此笔者有如下建议。

     一、一键还原成为了病毒很好的处身之地。

　　不少网络管理员为了系统维护的方便，都会在操作系统中设置一键还原。当配置好用户操作系统之后再对其进行一键备份。如此的话，即使下次操作系统出现问题了，也只需要通过一键还原，从而在最短时间内恢复操作系统。要实现这个功能，往往需要在系统的硬盘上专门划出一个空间用来存储这个备份文件。同时，为了保护这个文件的安全性，系统往往会采取一些保护措施。此时，即使杀毒软件发现这个备份文件有问题，也束手无策。有时候，我们在还原的时候，才发现这个备份文件已经不可用。其实，这很大一部分原因都是因为这个备份文件已经被病毒感染。平时用户很难发现备份文件被病毒感染，而只有在还原的时候才会发现。这就给病毒留下了一个安全的处身之地。

　　另外，在一些微软的操作系统中，也带有备份还原功能。通常情况下，他们也会利用硬盘中的一个专门文件夹，如RESTORE文件夹来管理这些文件。操作系统也会为此采一些取保护措施。然后，这些所谓的保护措施往往不能够防止病毒的入侵；但是，却可以防止杀毒软件对病毒的查杀。所以，一般情况下，病毒寄宿在这些文件夹中，就会高枕无忧。

　　正是因为这些原因，在企业网络中的病毒才会屡杀不尽。为此，笔者建议，若没有特殊必要，可以不用为操作系统设置备份还原功能。对于有专业管理人员的企业来说，这的用处不大。对于一般用户的操作系统来说，可以不用备份还原管理。当然，对于应用服务器等重要设备，有这个必要。若企业IT运维人员确实喜欢利用这个备份还原功能的话，那么我们安全管理人员就需要麻烦一些。在定期对这些设备进行查毒的时候，需要把这些备份还原的功能先关掉，释放对这些特殊文件夹的保护。这可以让杀毒软件可以查杀隐藏在这些文件夹内部的病毒。等到查杀成功后，再开启这些功能。

　　二、文件服务器断开网络后定时查杀。 

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点