引言：在實(shí)際工作中，我們一方面要確保系統(tǒng)或網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，但有時(shí)又要不得已地進(jìn)行帶毒操作。如果貿(mào)然進(jìn)行帶毒操作，那么系統(tǒng)或網(wǎng)絡(luò)的運(yùn)行安全將會(huì)受到威脅。遇到上面的兩難境地，我們只要巧妙變通，采取針對性防范措施，讓帶毒操作安全進(jìn)行即可。

在實(shí)際工作中，我們時(shí)常會(huì)處于這樣的兩難境地，一方面要確保系統(tǒng)或網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，一方面要不得已地進(jìn)行帶毒操作。但如果貿(mào)然進(jìn)行帶毒操作，那么系統(tǒng)或網(wǎng)絡(luò)的運(yùn)行安全將會(huì)受到威脅；如果保護(hù)了系統(tǒng)或網(wǎng)絡(luò)安全，一些迫不得已的帶毒操作將無法進(jìn)行，那么重要工作由此可能會(huì)受到影響。其實(shí)，遇到上面的兩難境地，我們只要巧妙變通，采取針對性防范措施，讓帶毒操作安全進(jìn)行即可。

安全帶毒上網(wǎng)訪問

在局域網(wǎng)環(huán)境中，終端計(jì)算機(jī)感染ARP病毒的可能性很大，一旦被該病毒攻擊，系統(tǒng)上網(wǎng)將會(huì)變得不正常。如果要恢復(fù)網(wǎng)絡(luò)連接狀態(tài)，必須要清除隱藏在系統(tǒng)中的ARP病毒才行。但在身邊沒有專業(yè)安全工具可以利用的情況下，如果我們要堅(jiān)持在帶毒狀態(tài)下上網(wǎng)，該如何實(shí)現(xiàn)呢？考慮到這種類型病毒往往是通過制造IP地址沖突現(xiàn)象，才造成終端計(jì)算機(jī)系統(tǒng)上網(wǎng)速度緩慢或不能上網(wǎng)的，現(xiàn)在我們只要想辦法讓終端系統(tǒng)的IP地址與網(wǎng)卡MAC地址綁定在一起，拒絕ARP病毒引起IP地址沖突，就能保證系統(tǒng)在帶毒狀態(tài)下，繼續(xù)進(jìn)行上網(wǎng)訪問操作了。

在進(jìn)行該操作時(shí)，先在終端系統(tǒng)逐一選擇“開始”和“運(yùn)行”命令，展開系統(tǒng)運(yùn)行對話框，輸入“cmd”字符串命令并回車，切換到DOS命令行工作狀態(tài)，在該狀態(tài)下執(zhí)行“ipconfig /all”字符串命令，返回如圖1所示的結(jié)果信息，從這里記錄下終端計(jì)算機(jī)系統(tǒng)的IP地址與MAC地址，假設(shè)IP地址為“10.176.34.232”，MAC地址為“8C-89-A5-70-DF-AA”。繼續(xù)在DOS命令行狀態(tài)下輸入“arp -s 10.176.34.232 8C-89-A5-70-DF-AA”字符串命令，將終端計(jì)算機(jī)系統(tǒng)的IP地址與MAC地址綁定在一起，這樣ARP病毒自然就無法制造IP地址沖突，那么系統(tǒng)上網(wǎng)訪問也就不會(huì)受到影響了。

這種方法在規(guī)模不大的局域網(wǎng)中很適用，但其操作起來比較繁瑣，如果上網(wǎng)的終端計(jì)算機(jī)數(shù)量比較多，而且終端系統(tǒng)不斷發(fā)生變化時(shí)，采用地址綁定的方法來抑制ARP病毒，那么工作量將是比較大的，同時(shí)也很難實(shí)施。倘若地址綁定操作在局域網(wǎng)交換機(jī)中進(jìn)行時(shí)，會(huì)存在地址綁定記錄較多，影響交換機(jī)運(yùn)行性能的現(xiàn)象發(fā)生，最終會(huì)拖累整個(gè)網(wǎng)絡(luò)工作性能。

圖1 DOS命令對話框

圖2 DOS命令對話框

此外，ARP病毒常常會(huì)強(qiáng)制終端計(jì)算機(jī)系統(tǒng)更新本地ARP映射表中的記錄內(nèi)容，以實(shí)施ARP病毒欺騙攻擊，如果我們能不斷清除本地系統(tǒng)ARP映射表中的記錄內(nèi)容，讓終端系統(tǒng)不向病毒網(wǎng)關(guān)發(fā)送上網(wǎng)請求信息，就能確保系統(tǒng)帶毒上網(wǎng)訪問了。要做到這一點(diǎn)，不妨進(jìn)行如下操作：先依次單擊本地終端中的“開始”、“程序”、“附件”、“記事本”命令，展開文本編輯界面，輸入如下命令代

其 中“arp -d ”命 令表示執(zhí)行本地系統(tǒng)ARP記錄清除操作，“ping 3.3.3.3-n 1 -w 100”命令表示將清除ARP緩存記錄間隔時(shí)間控制為“0.1”秒，這里的“3.3.3.3”IP地址是隨意配置的地址，“100”代表間隔時(shí)間為“0.1”秒。在上述代碼輸入正確后，執(zhí)行文件保存操作，將上述代碼內(nèi)容存儲(chǔ)為批處理文件，假設(shè)該文件名稱為“123.bat”。

接著用鼠標(biāo)雙擊上述批處理文件，在其后彈出的DOS命令行窗口中，我們看到目標(biāo)批處理文件會(huì)一直循環(huán)執(zhí)行下去（如圖2所示），只要不退出DOS命令行窗口，那么目標(biāo)批處理文件就能不斷地清空本地系統(tǒng)ARP映射表中的記錄內(nèi)容，本地系統(tǒng)的上網(wǎng)狀態(tài)就不會(huì)受到ARP病毒攻擊的影響。

安全使用帶毒優(yōu)盤

在網(wǎng)絡(luò)病毒瘋狂肆虐的日子里，帶毒優(yōu)盤幾乎隨處可見；這些帶毒優(yōu)盤的根目錄下面，幾乎都會(huì)存在一個(gè)autorun.inf文件，通過該文件實(shí)現(xiàn)自動(dòng)激活病毒，從而達(dá)到瘋狂傳播的目的。很顯然，在局域網(wǎng)環(huán)境中，一旦出現(xiàn)了帶毒優(yōu)盤，刻不容緩需要解決的事情就是控制住帶毒優(yōu)盤，防止它隨意擴(kuò)散、傳播病毒，從而影響整個(gè)網(wǎng)絡(luò)的安全狀態(tài)！但在身邊沒有專業(yè)工具可以利用的情況下，如何既能控制住病毒，又能正常使用優(yōu)盤呢？

首先要關(guān)閉系統(tǒng)的設(shè)備自動(dòng)播放功能，不讓優(yōu)盤插入到計(jì)算機(jī)系統(tǒng)的一剎那病毒自動(dòng)運(yùn)行。逐一選擇“開始”、“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對話框中，輸入“gpedit.msc”命令并回車，展開系統(tǒng)組策略控制臺(tái)窗口，將鼠標(biāo)定位于“本地計(jì)算機(jī)策略”分支上，依次選擇該分支下面的“計(jì)算機(jī)配置”、“管理模板”、“系統(tǒng)”選項(xiàng)。用鼠標(biāo)雙擊“關(guān)閉自動(dòng)播放”組策略選項(xiàng)，在其后彈出的選項(xiàng)設(shè)置框中，選中“已啟用”選項(xiàng)，同時(shí)在關(guān)閉自動(dòng)播放列表中選擇優(yōu)盤或移動(dòng)硬盤，再單擊“應(yīng)用”按鈕，這樣一來帶毒優(yōu)盤中的病毒日后將無法自動(dòng)運(yùn)行。當(dāng)然，這種方法僅在Windows XP客戶端系統(tǒng)中有效。倘若終端計(jì)算機(jī)安裝的是Vista以上版本系統(tǒng)，那么必須依次展開“計(jì)算機(jī)配置”、“管理模板”、“Windows組件”、“自動(dòng)播放策略”分支，雙擊該分支下面的“關(guān)閉自動(dòng)播放”組策略選項(xiàng)，選中“已啟用”選項(xiàng)(如圖3所示)，再選擇優(yōu)盤設(shè)備對應(yīng)的磁盤驅(qū)動(dòng)器即可。

圖3 屬性對話框

當(dāng)然，也可以通過編輯注冊表相關(guān)鍵值方法，來限制優(yōu)盤病毒程序自動(dòng)加載運(yùn)行。只要依次單擊“開始”、“運(yùn)行”命令，在系統(tǒng)運(yùn)行對話框中執(zhí)行“regedit”命令，彈出系統(tǒng)注冊表控制臺(tái)窗口，選中該窗口左側(cè)列表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2分支選項(xiàng)；打開目標(biāo)分支選項(xiàng)的右鍵菜單，單擊“權(quán)限”命令，切換到權(quán)限設(shè)置對話框，在這里將所有用戶的訪問權(quán)限全部設(shè)置成拒絕，再刷新系統(tǒng)注冊表。這樣，日后在自己的計(jì)算機(jī)中使用帶毒優(yōu)盤時(shí)，優(yōu)盤中的病毒程序會(huì)因操作權(quán)限不夠，不能自動(dòng)運(yùn)行，那么它自然也就不能傳播、感染W(wǎng)indows系統(tǒng)了。

其次，及時(shí)更新安全漏洞。為了不讓帶毒操作狀態(tài)下的病毒威脅系統(tǒng)安全，我們必須及時(shí)更新系統(tǒng)安全漏洞，確保本地系統(tǒng)有足夠強(qiáng)大的安全抵抗力。現(xiàn)在，Windows系統(tǒng)的在線更新功能十分強(qiáng)大，支持漏洞掃描功能，通過漏洞掃描功能自動(dòng)形成的安全報(bào)告，我們可以選擇采用手工修復(fù)或自動(dòng)修復(fù)系統(tǒng)安全漏洞。為了提高在線更新工作效率，我們可以進(jìn)行如下設(shè)置操作，可以讓在線更新功能運(yùn)行時(shí)間與實(shí)際工作時(shí)間錯(cuò)開：依次選擇“開始”、“控制面板”命令，進(jìn)入系統(tǒng)控制面板窗口，雙擊其 中 的“Windows Update”圖標(biāo)，按下“更改設(shè)置”按鈕，彈出如圖4所示的設(shè)置窗口。在“自動(dòng)安裝更新”位置處，設(shè)置好系統(tǒng)在線更新功能的運(yùn)行時(shí)間，確保該時(shí)間與實(shí)際工作時(shí)間錯(cuò)開，同時(shí)勾選“檢查更新，選擇“是否下載和安裝更新”，單擊“確定”按鈕保存設(shè)置操作。這樣，在線更新功能日后只有在征求我們同意之后，才會(huì)執(zhí)行升級安裝操作。

第三，正確訪問優(yōu)盤內(nèi)容。要進(jìn)入優(yōu)盤窗口訪問內(nèi)容時(shí)，必須在“我的電腦”或“計(jì)算機(jī)”窗口中，找到優(yōu)盤分區(qū)圖標(biāo)，打開它的右鍵菜單，單擊“打開”命令才行，而不能通過雙擊鼠標(biāo)方式進(jìn)入優(yōu)盤窗口，否則會(huì)激活優(yōu)盤中的病毒，從而影響系統(tǒng)的運(yùn)行安全。

安全使用帶毒程序

因?yàn)楣ぷ鞣矫娴脑?，我們有時(shí)要使用某個(gè)特定的應(yīng)用程序，但該程序意外感染有病毒。如果要正常運(yùn)行它，必須先卸載或關(guān)閉殺毒程序，確保其在工作時(shí)不會(huì)受到攔截。但是如果貿(mào)然使用帶毒程序，計(jì)算機(jī)系統(tǒng)的安全將會(huì)受到很大的威脅，這該如何是好呢？

圖4 設(shè)置對話框

圖5 映射網(wǎng)絡(luò)驅(qū)動(dòng)器窗口

實(shí)際上，我們可以巧妙使用“VMware Workstation”這款外力工具，將自己的終端系統(tǒng)變成虛擬機(jī)，在虛擬環(huán)境下運(yùn)行帶毒程序，就不用擔(dān)心病毒攻擊真正的計(jì)算機(jī)系統(tǒng)了。在進(jìn)行這種操作時(shí)，先從網(wǎng)上下載安裝好“VMware Workstation”工具，并利用它創(chuàng)建好特定名稱的虛擬機(jī)，同時(shí)在虛擬機(jī)中安裝好Windows XP SP3操作系統(tǒng)和VMware Tools程序。完成好上述準(zhǔn)備工作后，在真正主機(jī)和VMware虛擬機(jī)之間，創(chuàng)建一個(gè)共享文件夾，以避免數(shù)據(jù)拷貝引起的磁盤空間和操作時(shí)間的浪費(fèi)。當(dāng)虛擬機(jī)系統(tǒng)啟動(dòng)到桌面時(shí)，逐一選擇“VM”、“Settings”選項(xiàng)，切換到虛擬機(jī)設(shè)置對話框，選擇“Options”標(biāo)簽，選擇對應(yīng)標(biāo)簽頁面中的“Shared Folders”選項(xiàng)，在該選項(xiàng)設(shè)置區(qū)域選中“Always enabled”，單 擊“Add”按鈕，導(dǎo)入需要共享的特定文件夾，假設(shè)該文件夾為“F：aaa”。為了讓虛擬機(jī)可以順利訪問到真正主機(jī)上的“F：aaa”共享文件夾，還必須在虛擬系統(tǒng)下將對應(yīng)文件夾映射成網(wǎng)絡(luò)驅(qū)動(dòng)器。打開虛擬系統(tǒng)的資源管理器窗口，逐一選擇“工具”、“映射網(wǎng)絡(luò)驅(qū)動(dòng)器”命令，彈出網(wǎng)絡(luò)映射驅(qū)動(dòng)器設(shè)置框（如圖5所示），在這里設(shè)置好網(wǎng)絡(luò)驅(qū)動(dòng)器分區(qū)符號，選中并導(dǎo)入“F：aaa”文件夾，再單擊“完成”按鈕退出網(wǎng)絡(luò)映射設(shè)置操作。

接下來需要在虛擬機(jī)中創(chuàng)建快照，為使用帶毒程序營造測試環(huán)境，日后帶毒程序即使真的存在安全威脅，我們也可以在第一時(shí)間將虛擬機(jī)還原到創(chuàng)建快照時(shí)的正常工作狀態(tài)。對于VMware虛擬機(jī)來說，無論其處于關(guān)閉狀態(tài)還是開機(jī)狀態(tài)，都可以進(jìn)行快照創(chuàng)建操作。當(dāng)然，建議大家最好在虛擬機(jī)關(guān)閉狀態(tài)下建立快照，因?yàn)樵陂_機(jī)狀態(tài)下創(chuàng)建快照，往往要消耗不小的磁盤空間。在建立快照時(shí)，可以逐一選擇“VM”、“Snapshot”、“Take Snapshot”命令，彈出快照創(chuàng)建對話框，在這里設(shè)置好快照名稱，輸入相關(guān)描述信息，按下“Take Snapshot”按鈕，就能為虛擬機(jī)正常的工作狀態(tài)創(chuàng)建好快照了。

在完成上述任務(wù)后，現(xiàn)在我們就能夠在虛擬機(jī)環(huán)境下，隨意使用帶毒程序了。今后即使帶毒程序造成了虛擬操作系統(tǒng)發(fā)生了崩潰，我們也用不著擔(dān)心，因?yàn)榭梢灾鹨贿x擇“VM”、“Snapshot”以及“xxx快照”命令，就能夠快速地將虛擬系統(tǒng)還原到以前正常時(shí)的工作狀態(tài)了。要提醒大家的是，不管虛擬機(jī)操作系統(tǒng)處于哪種類型的工作狀態(tài)，都可以執(zhí)行快照切換操作；但是一旦選擇了某個(gè)快照，虛擬操作系統(tǒng)將會(huì)還原到對應(yīng)快照前的狀態(tài)，使用帶毒程序產(chǎn)生的所有數(shù)據(jù)都將被自動(dòng)刪除干凈。

圖6 更改設(shè)置對話框

在安全無法預(yù)料的情況下，使用虛擬機(jī)營造安全使用環(huán)境，的確可以讓帶毒操作順利進(jìn)行。但使用專用虛擬機(jī)軟件操作起來比較繁瑣，有沒有更簡便的方法幫助我們安全使用帶毒程序呢？答案是肯定的！我們可以巧妙通過一款系統(tǒng)備份工具“ATI2013”對系統(tǒng)進(jìn)行隔離測試，讓它為我們使用帶毒程序提供一個(gè)安全保護(hù)環(huán)境。首先創(chuàng)建好安全隔離環(huán)境。從網(wǎng)上下載安裝好“ATI2013”工具，切換到“工具與實(shí)用工具”標(biāo)簽設(shè)置頁面，單擊“Try&Decide”按鈕，在其后界面單擊“虛擬更改的存儲(chǔ)”處的藍(lán)色文字鏈接，為虛擬數(shù)據(jù)區(qū)域設(shè)置一個(gè)合適空間的硬盤分區(qū)，同時(shí)指定好受保護(hù)的分區(qū)，一般我們應(yīng)該將系統(tǒng)分區(qū)設(shè)置為受保護(hù)的磁盤分區(qū)，如果工作需要的話，也能在這里指定其他分區(qū)或磁盤。定義好相關(guān)參數(shù)后，選擇“單擊以啟動(dòng)”按鈕，就能開啟隔離保護(hù)狀態(tài)，在這種狀態(tài)下就能使用帶毒程序了。這時(shí)，帶毒程序?qū)ο到y(tǒng)進(jìn)行的任何置操作，包括修改系統(tǒng)設(shè)置、安裝隱藏插件等操作，都是在一個(gè)隔離的環(huán)境下進(jìn)行的，所有的數(shù)據(jù)不會(huì)與操作系統(tǒng)原有數(shù)據(jù)發(fā)生關(guān)系，也不會(huì)影響到系統(tǒng)真正有效的數(shù)據(jù)。所以，即便在使用帶毒程序的過程中發(fā)生數(shù)據(jù)被破壞的現(xiàn)象，或病毒木馬程序嘗試隱藏在系統(tǒng)中，它們所做的也只是“自欺欺人”，待帶毒操作結(jié)束后，這些“自欺欺人”的小動(dòng)作將會(huì)“全軍覆沒”。

在帶毒操作結(jié)束后，返回到主操作界面，按下“Try&Decide”圖標(biāo)，彈出如圖6所示的設(shè)置對話框，這里的“應(yīng)用更改”選項(xiàng)千萬不能夠點(diǎn)擊，因?yàn)橐坏┻x擇了這個(gè)選項(xiàng)，那么使用帶毒程序時(shí)產(chǎn)生的數(shù)據(jù)都將會(huì)應(yīng)用的原來的操作系統(tǒng)中，這自然也包括非法程序?qū)Σ僮飨到y(tǒng)的偷偷更改。我們要做的就是選擇“放棄更改”選項(xiàng)，這樣才能確保帶毒程序?qū)ο到y(tǒng)的更改對原來的操作系統(tǒng)不起任何作用。