我曾經(jīng)遇到過這樣一件事，當(dāng)我連接到局域網(wǎng)并訪問一些網(wǎng)站時(shí)，其中的一個(gè)網(wǎng)站，屬于網(wǎng)絡(luò)日志聚合類服務(wù)，精選了大量活躍日志中的評論集，我隨意地點(diǎn)擊評論進(jìn)行查看。就在我停下來回應(yīng)敲門這一短短時(shí)間中，一個(gè)惡意軟件已經(jīng)開始控制我的Windows筆記本電腦了。

這就是為什么這篇文章關(guān)注的重點(diǎn)是Windows的原因了。這些原則也適用于類似的非Windows平臺，但在細(xì)節(jié)方面會有所不同。

恐慌過后的工作

出于本能，我立即拔掉了網(wǎng)線（采用迷你接口的有線連接）。接下來，惡意軟件的癥狀就開始出現(xiàn)了，我非常希望能盡快訪問到剛才無法進(jìn)入的搜索引擎。為什么呢？因?yàn)?，對于惡意軟件來說，攻擊已經(jīng)開始了，甚至有可能已經(jīng)完成了，并隱藏到系統(tǒng)里的某處了。

對于進(jìn)行清晰的思考來說，惡意軟件通過活動(dòng)進(jìn)程進(jìn)行傳播的時(shí)間并不是非常有利的選擇，但在這種情況下，你必須在第一時(shí)間進(jìn)行有效處理。在感染早期采取正確的處理措施，可以為后面的修復(fù)工作節(jié)省大量時(shí)間。對于專門的惡意軟件處理人員來說，這些步驟屬于常識，但對于典型中小型企業(yè)網(wǎng)絡(luò)的管理員來說，網(wǎng)絡(luò)安全僅僅屬于眾多工作中的一項(xiàng)?！　?/P>

建議的處理方式

對于此類問題，安全軟件供應(yīng)商們給出了什么樣的建議？他們提供了一類稱之為“終端保護(hù)”的軟件，有幾家甚至認(rèn)識到這里存在的商業(yè)機(jī)會：舉例來說，基石公司的聯(lián)系頁面就使用了“911緊急響應(yīng)”的抬頭。他們還提供了一系列的免費(fèi)工具。在適用于Windows系統(tǒng)的反惡意軟件工具包還可以包含Sysinternals的PsTools工具套件，你可以從微軟技術(shù)網(wǎng)絡(luò)上免費(fèi)下載（盡管作者馬克·魯西諾維奇指出：由于這些工具也被某些病毒使用，這樣做的后果可能會觸發(fā)防病毒警告）。采用Sysinternals　Handle和進(jìn)程瀏覽器可以給處理過程帶來很大的幫助。

開始反擊

我記得就在幾分鐘前，還可以利用HTC Touch 2手機(jī)上的瀏覽器來查找感染來源，計(jì)劃處理方案。在浪費(fèi)了一些時(shí)間瀏覽過幾個(gè)沒有什么幫助的頁面后，我確定了惡意軟件的具體種類，在間諜軟件超級防護(hù)網(wǎng)站上找到了關(guān)于怎樣解決該問題詳細(xì)清晰的說明，并且發(fā)現(xiàn)了一個(gè)由MalwareBytes提供的非常優(yōu)秀的企業(yè)級反病軟件安裝包。

在成功地清除掉惡意軟件后，我去參加了當(dāng)天的會議。我提醒自己，對于零日攻擊來說，處理過程并不是那么簡單的。如果多臺工作站或者一兩臺服務(wù)器在工作的時(shí)間受到攻擊，采用更加系統(tǒng)規(guī)范的處理模式是非常有必要的。在經(jīng)過更復(fù)雜的風(fēng)險(xiǎn)分析后，我發(fā)現(xiàn)，建立一支經(jīng)過培訓(xùn)可以充分有效地執(zhí)行感染處理措施的應(yīng)急處理隊(duì)伍是非常有必要的。并且認(rèn)識到，對于企業(yè)來說，無線網(wǎng)絡(luò)電話是一項(xiàng)非常重要的資產(chǎn)。關(guān)鍵命令甚至二進(jìn)制文件都可以通過短信或移動(dòng)Skype之類的方式進(jìn)行傳播。

這次會議是以一場基于聯(lián)邦緊急事務(wù)管理局標(biāo)準(zhǔn)的桌面緊急響應(yīng)演習(xí)而結(jié)束的。

桌面系統(tǒng)惡意軟件應(yīng)急處理七要訣

1、充分了解存在的風(fēng)險(xiǎn)

遵循應(yīng)急處理業(yè)的希波克拉底誓言：不要增加損害。換句話說，就是不要讓情況變得更糟。對惡意軟件進(jìn)行分析評估，判斷它是需要被立即刪除，還是關(guān)閉機(jī)器，在受到控制的環(huán)境里進(jìn)行處理。充分考慮到數(shù)據(jù)面臨的風(fēng)險(xiǎn)和設(shè)備的實(shí)際需求，從中找到最佳的處理措施。

2、隨身攜帶支持網(wǎng)絡(luò)功能的智能手機(jī)

對數(shù)據(jù)項(xiàng)目進(jìn)行投入。作到可以熟練地使用移動(dòng)瀏覽器，掌握其大部分功能。將書簽信息保存起來。大部分手機(jī)都可以支持保存了額外應(yīng)急軟件的閃存卡。

3、隨身攜帶大容量（USB接口16GB容量）的記憶棒

至少攜帶一個(gè)大容量的USB存儲設(shè)備，將最經(jīng)常使用的安全工具保存在上面，更好的方法是利用Slax之類的Linux小型發(fā)行版本建立包含安全工具的完全可引導(dǎo)操作系統(tǒng)。

4、對攻擊進(jìn)行更廣泛的檢查

確定惡意軟件針對你運(yùn)氣不好的筆記本計(jì)算機(jī)進(jìn)行的是普通攻擊，還是僅僅屬于佯攻：可以利用通常的補(bǔ)救措施來進(jìn)行處理，比讓最初的攻擊獲得成功更需要得到重視。

5、進(jìn)行災(zāi)難恢復(fù)演習(xí)

即使在本次攻擊中，你有幸避免遇到數(shù)據(jù)丟失的后果，了解進(jìn)行災(zāi)難恢復(fù)時(shí)可以采取的處理措施，依然是非常有必要的。并且，它們需要經(jīng)常進(jìn)行更新。

6、經(jīng)常更新書簽

在網(wǎng)絡(luò)安全類網(wǎng)站上經(jīng)常包含了一些發(fā)人深省的經(jīng)驗(yàn)，對于應(yīng)急處理來說，它們非常有價(jià)值。因此，應(yīng)該經(jīng)常更新手機(jī)上的書簽。

7、及時(shí)進(jìn)行事后總結(jié)并記錄進(jìn)書面文件

在軍事領(lǐng)域，它被稱為“事后總結(jié)”或者AAR。在清理完惡意軟件消除了帶來的損害后，你應(yīng)該利用工具對整起事件進(jìn)行分析總結(jié)，并建立容易訪問的書面文件。將整個(gè)事件的詳細(xì)過程記錄下來。以確保首席執(zhí)行官在到國會小組委員會作證前，不會遇到相同的困擾。  

【編輯推薦】

1. Windows 7系統(tǒng)安全大揭秘
2. Windows 7安全利器- UAC解析