台式电脑

怎么样检查电脑安装木马(如何追踪查找局域网内中了木马病毒的电脑?)

局域网内电脑中了木马病毒,会有带来下述坏处:

感染内网其他电脑。大量攻击数据的存在,使得网络缓慢,被攻击的电脑运行缓慢。

发现内网电脑中毒后,一般都会采取重新安装系统,或者全盘杀毒的方式。但是如果电脑比较多就让人很头疼了。首先要追踪查找到感染了木马病毒的电脑,然后才可以进行病毒查杀。有些杀毒软件或者防火墙可以检测到内网的攻击源,本文中,我将介绍如何用WSG上网行为管理的“木马检测”功能来进行检测。WSG上网行为管理中内置了“入侵防御”和“木马检测”这两个安全防护模块,如下图:

如何追踪查找局域网内中了木马病毒的电脑?

入侵防御模块主要用于检测对内网主机的攻击,一旦检测到外网攻击就可以阻止攻击源,从而保护内网的服务器资源。而木马检测模块主要用于检测内网的木马病毒特征,从而追踪查找到中了木马病毒的终端电脑。木马检测模块,可以检测以下特征:

如何追踪查找局域网内中了木马病毒的电脑?

WSG上网行为管理的特征库是基于snort的,木马检测分为以下几个大类:

indicator-compromise:检测内网被恶意软件感染的终端。indicator-obfuscation:恶意软件的模糊特征检测。indicator-scan:检测恶意软件的扫描行为。indicator-shellcode:检测shellcode的执行特征。malware-backdoor:检测后门端口的通讯特征。如果某个恶意软件打开一个端口并等待其控制功能的传入命令,则会出现此类检测。malware-cnc:此类别包含已识别的僵尸网络流量的已知恶意命令和控制活动。malware-tool:此类别包含处理本质上可被视为恶意工具的规则。

可以检测各种挖矿、后门、病毒等各种木马特征。如下图:

如何追踪查找局域网内中了木马病毒的电脑?

检测到木马后,会在“木马检测”的“检测记录”中,记录检测的IP地址等信息,从而您可以根据IP地址去定位实际的电脑。然后对这台电脑进行查杀整改。

怎么样检查电脑安装木马(如何追踪查找局域网内中了木马病毒的电脑?)

如何追踪查找局域网内中了木马病毒的电脑?

相关新闻

返回顶部