如果您手头没有合适的防治网络病毒的工具,如何快速而准确定位病毒源?其实,我们只需巧妙运用微软防火墙,就可以直捣网络病毒的巢穴。
以Windows XP Home为例(Windows 2003、XP专业版设置太同小异)。打开本地网络连接,选择“高级”卡片,选择“Internet连接防火墙”选择框。点击“设置”命令按钮,选择“安全日志”卡片,选择“记录被丢弃的包”选择框,点击“确认”命令按钮完成设置工作。
防火墙的日志存放在pfirewall.log内。该文件为文本文件,打开后可以看到被防火墙丢弃的包记录,为方便起见,过滤本子网的广播包。以下是日志文件的部分,根据微软MS-04漏洞公告,大多数网络病毒(蠕虫病毒)正是扫描445端口。确定10.33.86.168和10.33.37.31可能就是传染源。
根据IP地址信息,很快就可以查找到可能是病毒源的计算机(笔者单位IP地址为静态分配,并建有管理台账)。使用DOS命令netstat -an,就可以清楚地看到此计算机是否在不停地发包,扫描其他计算机的445端口,并占用大量的网络资源。
小提示:在发现病毒后,若是Windows XP/2003,可以打开“任务管理器”,查看“联网”,就能直观地看到网络资源占用情况。
查找到染毒计算机后,接下来该怎么做相信就不用笔者介绍了吧?
笔者把这种方法称为“探针定位法”。在实际应用中,笔者在网络中同时设置了3个探针,利用这3台计算机的日志文件进行比对,查找网络病毒源头的准确率达到100%。