桌面系統(tǒng)惡意軟件應(yīng)急處理七要訣

http://www.yibo1263.com　2010-6-23 7:14:49 　來源:東北IT網(wǎng) 　編輯:阿拉格調(diào)

　　幾個(gè)月前，我前往奧蘭多參加了一次會(huì)議。這個(gè)時(shí)間，按照奧蘭多的標(biāo)準(zhǔn)來看，天氣非常寒冷;由于處在經(jīng)濟(jì)衰退的時(shí)期，當(dāng)?shù)貙β糜螛I(yè)的依賴程度也比較凸顯，這就是相當(dāng)好客。這次會(huì)議的內(nèi)容非常有建設(shè)性，我收到了大量名片和需要查看的網(wǎng)站。第二天，在離開賓館參加會(huì)議的前一個(gè)小時(shí)，我連接到局域網(wǎng)上并訪問一些網(wǎng)站。其中的一個(gè)網(wǎng)站，屬于網(wǎng)絡(luò)日志聚合類服務(wù)，精選了大量活躍日志中的評論集，我隨意地點(diǎn)擊評論進(jìn)行查看。就在我停下來回應(yīng)敲門這一短短時(shí)間中，一個(gè)惡意軟件已經(jīng)開始控制我的Windows筆記本電腦了。

　　這就是為什么這篇文章關(guān)注的重點(diǎn)是Windows的原因了。這些原則也適用于類似的非Windows平臺(tái)，但在細(xì)節(jié)方面會(huì)有所不同。

　　恐慌過后的工作

　　出于本能，我立即拔掉了網(wǎng)線(采用迷你接口的有線連接)。接下來，惡意軟件的癥狀就開始出現(xiàn)了，我非常希望能盡快訪問到剛才無法進(jìn)入的搜索引擎。為什么呢?因?yàn)�，對于惡意軟件來說，攻擊已經(jīng)開始了，甚至有可能已經(jīng)完成了，并隱藏到系統(tǒng)里的某處了。

　　對于進(jìn)行清晰的思考來說，惡意軟件通過活動(dòng)進(jìn)程進(jìn)行傳播的時(shí)間并不是非常有利的選擇，但在這種情況下，你必須在第一時(shí)間進(jìn)行有效處理。在感染早期采取正確的處理措施，可以為后面的修復(fù)工作節(jié)省大量時(shí)間。對于專門的惡意軟件處理人員來說，這些步驟屬于常識(shí)，但對于典型中小型企業(yè)網(wǎng)絡(luò)的管理員來說，網(wǎng)絡(luò)安全僅僅屬于眾多工作中的一項(xiàng)。

　　建議的處理方式

　　對于此類問題，安全軟件供應(yīng)商們給出了什么樣的建議?他們提供了一類稱之為“終端保護(hù)”的軟件，有幾家甚至認(rèn)識(shí)到這里存在的商業(yè)機(jī)會(huì)：舉例來說，基石公司的聯(lián)系頁面就使用了“911緊急響應(yīng)”的抬頭。他們還提供了一系列的免費(fèi)工具。在適用于Windows系統(tǒng)的反惡意軟件工具包還可以包含Sysinternals的PsTools工具套件，你可以從微軟技術(shù)網(wǎng)絡(luò)上免費(fèi)下載(盡管作者馬克·魯西諾維奇指出：由于這些工具也被某些病毒使用，這樣做的后果可能會(huì)觸發(fā)防病毒警告，)。采用Sysinternals　Handle和進(jìn)程瀏覽器可以給處理過程帶來很大的幫助。

　　開始反擊

　　我記得就在幾分鐘前，還可以利用HTC Touch 2手機(jī)上的瀏覽器來查找感染來源，計(jì)劃處理方案。在浪費(fèi)了一些時(shí)間瀏覽過幾個(gè)沒有什么幫助的頁面后，我確定了惡意軟件的具體種類，在間諜軟件超級防護(hù)網(wǎng)站上找到了關(guān)于怎樣解決該問題詳細(xì)清晰的說明，并且發(fā)現(xiàn)了一個(gè)由MalwareBytes提供的非常優(yōu)秀的企業(yè)級反病軟件安裝包。

　　在成功地清除掉惡意軟件后，我去參加了當(dāng)天的會(huì)議。我提醒自己，對于零日攻擊來說，處理過程并不是那么簡單的。如果多臺(tái)工作站或者一兩臺(tái)服務(wù)器在工作的時(shí)間受到攻擊，采用更加系統(tǒng)規(guī)范的處理模式是非常有必要的。在經(jīng)過更復(fù)雜的風(fēng)險(xiǎn)分析后，我發(fā)現(xiàn)，建立一支經(jīng)過培訓(xùn)可以充分有效地執(zhí)行感染處理措施的應(yīng)急處理隊(duì)伍是非常有必要的。并且認(rèn)識(shí)到，對于企業(yè)來說，無線網(wǎng)絡(luò)電話是一項(xiàng)非常重要的資產(chǎn)。關(guān)鍵命令甚至二進(jìn)制文件都可以通過短信或移動(dòng)Skype之類的方式進(jìn)行傳播。

　　這次會(huì)議是以一場基于聯(lián)邦緊急事務(wù)管理局標(biāo)準(zhǔn)的桌面緊急響應(yīng)演習(xí)而結(jié)束的。

　　桌面系統(tǒng)惡意軟件應(yīng)急處理七要訣

　　#1充分了解存在的風(fēng)險(xiǎn)

　　遵循應(yīng)急處理業(yè)的希波克拉底誓言：不要增加損害。換句話說，就是不要讓情況變得更糟。對惡意軟件進(jìn)行分析評估，判斷它是需要被立即刪除，還是關(guān)閉機(jī)器，在受到控制的環(huán)境里進(jìn)行處理。充分考慮到數(shù)據(jù)面臨的風(fēng)險(xiǎn)和設(shè)備的實(shí)際需求，從中找到最佳的處理措施。

　　#2隨身攜帶支持網(wǎng)絡(luò)功能的智能手機(jī)

　　對數(shù)據(jù)項(xiàng)目進(jìn)行投入。作到可以熟練地使用移動(dòng)瀏覽器，掌握其大部分功能。將書簽信息保存起來。大部分手機(jī)都可以支持保存了額外應(yīng)急軟件的閃存卡。

　　#3隨身攜帶大容量(USB接口16GB容量)的記憶棒

　　至少攜帶一個(gè)大容量的USB存儲(chǔ)設(shè)備，將最經(jīng)常使用的安全工具保存在上面，更好的方法是利用Slax之類的Linux小型發(fā)行版本建立包含安全工具的完全可引導(dǎo)操作系統(tǒng)。

　　#4對攻擊進(jìn)行更廣泛的檢查

　　確定惡意軟件針對你運(yùn)氣不好的筆記本計(jì)算機(jī)進(jìn)行的是普通攻擊，還是僅僅屬于佯攻：可以利用通常的補(bǔ)救措施來進(jìn)行處理，比讓最初的攻擊獲得成功更需要得到重視。

　　#5進(jìn)行災(zāi)難恢復(fù)演習(xí)

　　即使在本次攻擊中，你有幸避免遇到數(shù)據(jù)丟失的后果，了解進(jìn)行災(zāi)難恢復(fù)時(shí)可以采取的處理措施，依然是非常有必要的。并且，它們需要經(jīng)常進(jìn)行更新。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·分清病毒、木馬、蠕蟲和惡意軟件

·企業(yè)應(yīng)對惡意軟件讓系統(tǒng)更加安全

·對付惡意軟件的策略及方法

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费