<dd id="ub4lo"><pre id="ub4lo"></pre></dd><em id="ub4lo"><object id="ub4lo"></object></em>
      <tbody id="ub4lo"><noscript id="ub4lo"></noscript></tbody>

      3. <rp id="ub4lo"></rp>

        15
        2022
        12

        如何追蹤查找局域網內中了木馬病毒的電腦?

        局域網內電腦中了木馬病毒,會有帶來下述壞處:

        1. 感染內網其他電腦。

        2. 大量攻擊數據的存在,使得網絡緩慢,被攻擊的電腦運行緩慢。

        發現內網電腦中毒后,一般都會采取重新安裝系統,或者全盤殺毒的方式。但是如果電腦比較多就讓人很頭疼了。首先要追蹤查找到感染了木馬病毒的電腦,然后才可以進行病毒查殺。有些殺毒軟件或者防火墻可以檢測到內網的攻擊源,本文中,我將介紹如何用WSG上網行為管理的“木馬檢測”功能來進行檢測。WSG上網行為管理中內置了“入侵防御”和“木馬檢測”這兩個安全防護模塊,如下圖:

        202212151671085711364298.png

        入侵防御模塊主要用于檢測對內網主機的攻擊,一旦檢測到外網攻擊就可以阻止攻擊源,從而保護內網的服務器資源。而木馬檢測模塊主要用于檢測內網的木馬病毒特征,從而追蹤查找到中了木馬病毒的終端電腦。木馬檢測模塊,可以檢測以下特征:

        202212151671086404473521.png


        WSG上網行為管理的特征庫是基于snort的,木馬檢測分為以下幾個大類:

        1. indicator-compromise: 檢測內網被惡意軟件感染的終端。

        2. indicator-obfuscation: 惡意軟件的模糊特征檢測。

        3. indicator-scan: 檢測惡意軟件的掃描行為。

        4. indicator-shellcode:檢測shellcode的執行特征。

        5. malware-backdoor:檢測后門端口的通訊特征。 如果某個惡意軟件打開一個端口并等待其控制功能的傳入命令,則會出現此類檢測。

        6. malware-cnc:此類別包含已識別的僵尸網絡流量的已知惡意命令和控制活動。

        7. malware-tool:此類別包含處理本質上可被視為惡意工具的規則。


        可以檢測各種挖礦、后門、病毒等各種木馬特征。如下圖:

        202212151671087494140907.png

        檢測到木馬后,會在“木馬檢測”的“檢測記錄”中,記錄檢測的IP地址等信息,從而您可以根據IP地址去定位實際的電腦。然后對這臺電腦進行查殺整改。

        202202071644207959104457.png



        作者:笨小驢 | 分類:入侵檢測和病毒防護 | 瀏覽:963 | 評論:0
        ? 上一篇 下一篇 ?