终端安全解决方案第一部分、终端问题的处理方法一、首先需要查到攻击源：1、物理查看方法，查看网卡显示灯。

没有运行应用的机器，网卡的收发两个灯或发送灯在不停的闪烁，可判定这台终端有问题；2、终端查看连接状态的方法，查看终端开放的端口，协议等。

在DOS命令状态下输入netstat -an 查看连接状态，查看是否有异常端口开放，是否有异常的连接等，通过arp -a查看arp表，主要看网关和已经终端的MAC地址学习是否正确，用arp -d 删除错误IP对应的MAC地址，net share 查看一下共享信息，无用文件共享关闭。

netstat -rn查看终端的路由信息是否正常，而ipconfig /all 看一下网卡启用状态，一般需要将无用的和虚拟的网卡禁用。

查看网络连接，即“本地连接”或其他名称的网络连接，无用连接需要禁用。

有用连接中的相关无用服务关闭掉，尤其是“QOS数据包计划”经常导致系统出现问题。

在测试时可仅保留“mircosofe 客户端”和“internet 协议（TCP/IP）这两个协议，其他的测试时可保留终端防火墙和终端抓包的两类协议，但一定要确认是本地软件安装的协议，必要时可卸载然后重新用干净软件安装一下；3、采用sniffer或ethtool这样的抓包工具查看攻击，一般发包比较多的为攻击源。

sniffer你直接看流量的图，哪个终端与服务器的直连线最高说明发起的攻击最多。

而ethtool一般直接查看arp协议，点协议排序就可以，一般有问题的机器不停的问我是谁这样相关的信息；4、查看终端补丁安装情况，一般需要确认相关操作系统安全补丁均已经正常安装，并查一下相关主要的应用软件是否也需要进行补丁安装或程序的版本升级，一般升到最新的稳定安装版本，不要升级测试版本；5、采用任务管理器和安全卫士360等工具查看服务器和终端当前应用程序的运行情况，无用的相关应用程序进行关闭，同时查看IE的相关设置是否有问题，建议删除无用的第三方IE插件；二、确定问题后进行查杀：1、物理上方法一般采用2层交换机端口进行绑定的方式进行终端的IP 和MAC确定；2、将二层交换机向三层交换机进行汇聚连接，并在三层交换机上进行终端IP和MAC绑定。

在初始的情况下，如果哪个终端的MAC地址迅速网关或替换其他IP的MAC，则此终端存在问题，一般将其MAC绑定为全零，然后进行arp 表的清除；3、一般可采用安全卫士360等终端查杀和系统恢复软件进行临时文件删除，服务的关闭和IE的清理等，或采用兵刃或红叶等安全套件进行清理，但兵刃和红叶中多是黑客的攻击软件需要保持其自身的安全性，防止前面驱虎，后面引狼；4、终端软件重新安装也是比较快捷的方式，但是要注意简版的操作系统和低版本的应用软件均在先天就存在致命的漏洞。

建议选择正版或全版和新整合的操作系统，在补丁安装完成前不要接入到网络中，并且注意安装软件自身的安全，应用软件可以逐步进行安装，但安装一个要确保其补丁升级完成。

这个工作在前期准备需要相当长的时间，但是这个是保证终端可用性的前提，一定要重视。

三、系统运行保护：1、终端一般安装安全卫士360或专用arp防护软件的arp防护工具并启用，其原理一般是核查终端的arp表，定期进行刷新并禁止arp表的修订，终端病毒防护软件的安装和定期升级也是必要的前提；2、操作系统补丁和应用软件定期安装；3、终端IP和MAC统计和更新，并及时在二层交换机进行端口绑定，三层交换机上IP和MAC的绑定及定期的查看；4、也可采用终端准入的系统来控制终端必要系统补丁和应用程序的统一升级；当然如果是恶意的攻击和破坏也是违反信息安全的法律和法规的，在进行一定攻击的情况的记录和资料准备可以申请电信级运营商协助进行问题定位，向通信管理局和公安机关等政府相关信息安全机构进行报案，他们可进行更大范围的监控和安全事件查证。

第二部分终端病毒防护方法一、终端中毒前的防护1、在终端重新做系统接入网络之前一定要把操作系统的补丁打好木马病毒多数是通过系统漏洞入侵终端的，所以重新装完操作系统的终端，打补丁是重要的环节。

要做到每一台终端的补丁都打全之后再接入网络，如果等到终端中毒之后再打补丁就来不及了。

2、新接入网络的终端一定做到每一台终端都要装趋势防病毒软件。

一台都不能漏掉。

如果漏掉了一台，就相当于操作系统的一个漏洞一样，因为趋势防病毒软件注重的是防御，将病毒拒之门外。

所以每一台终端都要装趋势杀毒软件也是很重要的一个环节。

3、前两点都做到的情况下，每一个终端的操作者要有良好的使用习惯。

不浏览不良网站，不要去点击一些广告等欺骗性的页面。

下载的时候要去正规的网站下载，使用的软件尽量用正版的。

安装软件的时候尽量不要安装在C盘。

很多软件也会有漏洞，木马病毒会通过软件漏洞入侵操作系统从而导致终端中毒。

在安装软件的过程中，软件本身会捆绑一些其它工具，如果安装的软件不是在正规网站下载的，那么很有可能捆绑的东西里会带有一些病毒木马等危害终端。

或者恶意篡改IE浏览器主页。

所以安装软件的时候要注意一下软件捆绑的东西，不要一直下一步点到底。

4、移动介质在使用的过程当中要做好检查防止病毒蔓延移动介质，例如:优盘、软盘、光盘、移动硬盘等移动设备，在使用的过程中要做好备份、检查工作，防止病毒扩散。

5、要把不需要的系统共享关闭，还有Windows自动播放关闭。

二、终端中毒后的处理1、当前终端中病毒的途径有以下几种：（1）、网页挂马：网页病毒主要是利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序，JavaScript脚本语言程序，ActiveX软件部件网络交互技术支持可自动执行的代码程序，以强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统用户文件，或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。

这种非法恶意程序能够得以被自动执行，在于它完全不受用户的控制。

一旦浏览含有该病毒的网页，在用户不知不觉的情况下，给用户的系统带来一般性的、轻度性的、恶性等不同程度的破坏。

网页病毒的激发条件是浏览网页，网页的浏览量直接影响病毒传播的速度，网页的浏览量宏观上是随着时间的增加而增加的。

（2）、移动介质：u盘媒介一般是u盘插入一台已感染的电脑上，而感染的电脑上的u盘病毒趁机植入u盘，而用户再插入其他的电脑，其他的电脑就中毒了；.硬盘媒介通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散；光盘媒介：因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。

以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。

当前，盗版光盘的泛滥给病毒的传播带来了很大的便利。

（3）、共享：局域网是由相互连接的一组计算机组成的，这是数据共享和相互协作的需要。

组成网络的每一台计算机都能连接到其他计算机，数据也能从一台计算机发送到其他计算机上。

如果发送的数据感染了计算机病毒，接收方的计算机将自动被感染，因此，有可能在很短的时间内感染整个网络中的计算机。

局域网络技术的应用为企业的发展做出巨大贡献，同时也为计算机病毒的迅速传播铺平了道路。

同时，由于系统漏洞所产生的安全隐患也会使病毒在局域网中传播（4）、邮件:病毒制作者将病毒放在电子邮件的附件中寄给受害者，引诱受害者打开电子邮件附件而传染病毒,或将病毒直接放在电子邮件内寄给受害者，诱使受害者阅读电子邮件而传染病毒。

（5）、漏洞型病毒: 因此即使你没有运行非法软件没有打开邮件浏览只要你连接到网络中,漏洞型病毒就会利用操作系统的漏洞进入你的计算机如冲击波和震荡波。

（6）、间谍软件：是一种恶意程序，能够附着（捆绑）在软件安装包、共享文件、可执行图像以及各种可执行文件当中并能趁机潜入用户的系统,它能跟踪用户的上网习惯，更换用户主页，窃取用户的密码及其他个人隐私信息。

（7）、中毒的一些表现我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样，总会有一些明显的症状表现出来。

例如机器运行十分缓慢、上不了网、杀毒软件升不了级、word 文档打不开，电脑不能正常启动、硬盘分区找不到了、数据丢失等等，就是中毒的一些征兆。

2、中毒诊断（1）、按Ctrl+Shift+Ese键(同时按此三键)，调出windows任务管理器查看系统运行的进程，找出不熟悉进程并记下其名称(这需要经验)，如果这些进程是病毒的话，以便于后面的清除。

暂时不要结束这些进程，因为有的病毒或非法的进程可能在此没法结束。

点击性能查看CPU和内存的当前状态，如果CPU的利用率接近100%或内存的占用值居高不下，此时电脑中毒的可能性是95%。

（2）、查看windows当前启动的服务项，由“控制面板”的“管理工具”里打开“服务”。

看右栏状态为“启动”启动类别为“自动”项的行;一般而言，正常的windows服务，基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外)，此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称，假如其名称和路径为C: winntsystem32explored.exe，计算机中招。

有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边，中间有一纵向的滚动条，而右边为空白，再双击添加/删除程序或管理工具，窗体内是空的，这是病毒文件winhlpp32.exe发作的特性。

（3）、运行注册表编辑器，命令为regedit或regedt32,查看都有那些程序与windows一起启动。

主要看Hkey_Local_Machine SoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等，查看窗体右侧的项值，看是否有非法的启动项。

WindowsXp运行msconfig也起相同的作用。

随着经验的积累，你可以轻易的判断病毒的启动项。

（4）、取消隐藏属性，查看系统文件夹winnt(windows)system32,如果打开后文件夹为空，表明电脑已经中毒;打开system32 后，可以对图标按类型排序，看有没有流行病毒的执行文件存在。

顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此; driversetc下的文件hosts是病毒喜欢篡改的对象，它本来只有700字节左右，被篡改后就成了1Kb以上，这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。

（5）、由杀毒软件判断是否中毒，如果中毒，杀毒软件会被病毒程序自动终止，并且手动升级失败。