|
我曾经遇到过这样一件事,当我连接到局域网并访问一些网站时,其中的一个网站,属于网络日志聚合类服务,精选了大量活泼 日志中的评论集,我随意地点击评论进行查看。就在我停下来回应敲门这一短短时间中,一个恶意软件已经开始控制我的Windows笔记本电脑了。
这就是为什么这篇文章关注的重点是Windows的原因了。这些原则也适用于类似的非Windows平台,但在细节方面会有所不同。
恐慌过后的工作
出于本能,我立刻 拔掉了网线(采用迷你接口的有线连接)。接下来,恶意软件的病症 就开始出现了,我十分 希望能尽快访问到方才 无法进入的搜索引擎。为什么呢?由于 ,对于恶意软件来说,攻击已经开始了,甚至有可能已经完成了,并隐藏到系统里的某处了。
对于进行明晰 的考虑 来说,恶意软件通过活动进程进行传播的时间并不是十分 有利的选择,但在这种状况 下,你必须在第一时间进行有效处理。在感染早期采取正确的处理措施,可以为后面的修复工作节省大量时间。对于特地 的恶意软件处理人员来说,这些步骤属于常识,但对于典型中小型企业网络的管理员来说,网络安全仅仅属于众多工作中的一项。
建议的处理方式
对于此类问题,安全软件供给 商们给出了什么样的建议?他们提供了一类称之为“终端保护”的软件,有几家甚至认识到这里存在的商业时机 :举例来说,基石公司的联络 页面就使用了“911紧急响应”的抬头。他们还提供了一系列的免费工具。在适用于Windows 的反恶意软件工具包还可以包含Sysinternals的PsTools工具套件,你可以从微软技术网络上免费下载(虽然 作者马克·鲁西诺维奇指出:由于这些工具也被某些病毒使用,这样做的后果可能会触发防病毒正告 )。采用Sysinternals Handle和进程浏览器可以给处理过程带来很大的帮助。
开始还击
我记得就在几分钟前,还可以应用 HTC Touch 2手机上的浏览器来查找感染来源,方案 处理计划 。在糜费 了一些时间浏览过几个没有什么帮助的页面后,我确定了恶意软件的具体品种 ,在特务 软件超级防护网站上找到了关于怎么 解决该问题详细明晰 的说明,并且发现了一个由MalwareBytes提供的十分 优秀的企业级反病软件安装包。
在成功地清空 掉恶意软件后,我去参与 了当天的会议。我提示 自己. ,对于零日攻击来说,处理过程并不是那么简单的。假如 多台工作站或者一两台服务器在工作的时间遭到 攻击,采用愈加 系统标准 的处理模式是十分 有必要的。在经过更复杂的风险剖析 后,我发现,建立一支经过培训可以充沛 有效地执行感染处理措施的应急处理队伍是十分 有必要的。并且认识到,对于企业来说,无线网络电话是一项十分 重要的资产。关键命令甚至二进制文件都可以通过短信或移动Skype之类的方式进行传播。
这次会议是以一场基于联邦紧急事务管理局标准的桌面紧急响应演习而完毕 的。
桌面系统恶意软件应急处理七要诀
1、充沛 理解 存在的风险
遵照 应急处理业的希波克拉底誓词 :不要增加损伤 。换句话说,就是不要让状况 变得更糟。对恶意软件进行剖析 评价 ,判别 它是需要. 被立刻 删除,还是关闭机器,在遭到 控制的环境里进行处理。充沛 考虑到数据面临的风险和设备的实际需求,从中找到最佳的处理措施。
2、随身携带支持网络功能的智能手机
对数据项目进行投入。作到可以纯熟 地使用移动浏览器,控制 其大部分功能。将书签信息保存起来。大部分手机都可以支持保存了额外应急软件的闪存卡。
3、随身携带大容量(USB接口16GB容量)的记忆棒
至少携带一个大容量的USB存储设备,将最经常使用的安全工具保存在上面,更好的方法是应用 Slax之类的Linux小型发行版本建立包含安全工具的完全可引导操作系统。
4、对攻击进行更普遍 的检查
确定恶意软件针对你运气不好的笔记本计算机进行的是普通攻击,还是仅仅属于佯攻:可以应用 通常的弥补 措施来进行处理,比让最初的攻击取得 成功更需要. 得到注重 。
5、进行灾难恢复演习
即便 在本次攻击中,你有幸避免遇到数据丢失的后果,理解 进行灾难恢复时可以采取的处理措施,仍然 是十分 有必要的。并且,它们需要. 经常进行更新。
6、经常更新书签
在网络安全类网站上经常包含了一些发人深省的经历 ,对于应急处理来说,它们十分 有价值。因而 ,应该经常更新手机上的书签。
7、及时进行事后总结并记录进书面文件
在军事范畴 ,它被称为“事后总结”或者AAR。在清理完恶意软件消弭 了带来的损伤 后,你应该应用 工具对整起事情 进行剖析 总结,并建立容易访问的书面文件。将整个事情 的详细过程记录下来。以确保首席执行官在到国会小组委员会作证前,不会遇到相同的搅扰 。
|
|
|
|
|
|
|