如果說，初級IT安全管理員這個崗位非常迷人，工作中充滿了刺激，這肯定是不現(xiàn)實的。不過雖然這個工作沒有馬戲團的馴獸員調(diào)教獅子老虎那么刺激，但是也有其自身的樂趣。對于我來說，最喜歡做的就是處理那些被惡意軟件感染的電腦?？赡芎芏嘧陨戆踩珜＜矣X得這種工作太小兒科，但是它對于IT安全新手來說確實是一個學(xué)習(xí)的絕好機會，從中我們可以認識到企業(yè)的IT安全現(xiàn)狀，學(xué)習(xí)風(fēng)險預(yù)測，日志分析以及安全威脅信息的歸檔等。

在處理可能由惡意軟件引發(fā)的問題時，我一般會使用以下工具：鉛筆、記事本、U盤、光盤(防止USB接口被惡意軟件屏蔽)，以及一些零碎工具。雖然看上去有些凌亂，但是每樣工具都有它的作用。

針對惡意軟件所作的處理工作可分為以下幾個步驟：

#1評估威脅程度。在這一階段還不需要將問題復(fù)雜化，也就是說，不需要詳細的計算損失。只需要注意感染跡象，并按照下面的幾個等級將威脅進行評級即可：

·低:有明顯的被感染癥狀，但是可以很容易清理

·中:有明顯的被感染癥狀，需要一定精力和多種工具才能清除所有病毒/惡意軟件痕跡。

·高:沒有明顯癥狀，但是會在企業(yè)不知道的情況下活躍的盜取企業(yè)數(shù)據(jù)。(最危險的惡意軟件類型就是沒有明顯跡象的，而要避免和清除這種威脅，對IT安全工作者來說是很大的挑戰(zhàn)，很多專業(yè)人士也有自己總結(jié)出的一套經(jīng)驗辦法)

#2分析來自公司反病毒系統(tǒng)的日志并尋找相關(guān)信息。這臺電腦是否在之前就有過被感染的記錄，當(dāng)時是否徹底清理了惡意軟件?這臺電腦是否頻繁被感染?這些問題可以幫助管理人員進行企業(yè)電腦系統(tǒng)的整體風(fēng)險預(yù)測，從而輔助企業(yè)進行一系列決策，比如員工們是否需要進一步的安全培訓(xùn)?通過分析企業(yè)的各種反病毒設(shè)備的日志，比如電子郵件過濾日志、Web使用情況報表、網(wǎng)絡(luò)入侵檢測系統(tǒng)的日志等，可以幫助管理人員判斷入侵發(fā)生的位置，感染的范圍，透過哪種漏洞進行感染的，為何安全防御系統(tǒng)“失效”，以及未來該如何防止此類感染發(fā)生。(有時候這些問題的答案需要等到步驟3和步驟4之后才能完全給出).

#3向同事進一步詢問信息:在發(fā)現(xiàn)電腦有問題時，正在瀏覽什么網(wǎng)站，是否打開了郵件附件，第一次感染跡象出現(xiàn)在什么時候(這些問題并不是走形式，一定要問清楚)。但是記住不要一開始就指責(zé)員工，人們都是傾向于在沒有抗拒心理時透露更多信息。

用鉛筆和記事本將員工陳述的重點記錄下來。在獲得了你所需要的信息后，別忘了給同事買杯咖啡或給個糖吃，為他對你工作的配合表示一下感謝，這樣你以后的工作也會更加順利。

#4清理被感染的電腦。用U盤中的工具軟件清理電腦中的惡意軟件。我的U盤和CD光盤中包括以下這些工具：

·USBDummyProtect

防止任何惡意軟件向U盤中寫入代碼，阻止惡意軟件的進一步傳播和破壞。

·SuperAnti-Spyware

惡意軟件和病毒檢測清除工具，尤其擅長清除FakeAV(假冒殺毒軟件的木馬)

·MalwareBytesAntiMalware

另一款流行的病毒查殺工具

·SysInternals

http://live.sysinternals.com/這個網(wǎng)站包含了很多工具軟件，其中ProcMon和RootkitRevealer都是不錯的惡意軟件頑固殘留清除工具。

·EXEFIX_XP

·修復(fù)因為惡意軟件而受損的可執(zhí)行文件和快捷方式

·SophosRootkitRevealer

如果各種殺毒軟件都沒有檢測到惡意軟件，有可能是rootkit類型的惡意軟件。這種情況可以通過Sophos工具進行查殺，它對各種類型的rootkit惡意軟件都有效。

·aswMBR

這是來自Avast的Rootkit掃描工具，針對TDL4/3,MBRoot(Sinowal),Whistler,以及多種難纏的rootkits

·KasperskyRescueCD

很多時候，我們試過了各種查殺軟件，也無法徹底清理掉某些惡意軟件，這時可以通過救援光盤啟動，防止系統(tǒng)在引導(dǎo)時即被感染。系統(tǒng)通過救援CD啟動后，可以比較容易得清除掉惡意軟件。

#5將所有發(fā)現(xiàn)的事項進行記錄這里所說的事項，包括病毒/惡意軟件感染，安全漏洞攻擊，以及各種安全威脅等。大部分惡意軟件查殺工具都會列出被感染文件、惡意軟件名稱和類型等信息。其它有關(guān)惡意軟件的額外信息可以通過網(wǎng)絡(luò)上的惡意軟件數(shù)據(jù)庫獲取，比如MicrosoftMalwareProtectionCenter或McAfeeThreatIntelligence。所有主流的病毒查殺公司都有類似的研究頁面供網(wǎng)民參考。確保將所有的問題及答案都記錄下。

#6調(diào)整企業(yè)的安全系統(tǒng)和策略這個步驟的目的是解決企業(yè)現(xiàn)有的安全漏洞或安全策略缺陷，防止同類入侵事件再次發(fā)生。這個工作需要我們平衡嚴格安全策略和工作便利性之間的關(guān)系，畢竟我們不能對每個病毒感染報告都反應(yīng)過度。而采用基本的風(fēng)險管理策略，就可以避免條件反射似的無章法的應(yīng)對行動。如果你是IT團隊中的新人，能做的也就是為那些決策制定者提供以上那些信息。

處理被感染的電腦，本來就不是一個微不足道的任務(wù)。作為一個安全管理新手，當(dāng)有公司同事報告電腦被病毒感染時，你所要做的不僅僅是清理病毒和恢復(fù)電腦正常，還要收集有關(guān)的感染信息作為未來公司制定安全防護策略的原始依據(jù)。

【編輯推薦】

1. Duqu惡意軟件忠告：企業(yè)應(yīng)該擔(dān)憂Duqu木馬嗎
2. 惡意軟件嚴重程度遭質(zhì)疑
3. 惡意軟件未來會是什么樣子？
4. 網(wǎng)絡(luò)攻擊如何逃避惡意軟件檢查？