简介

本章描述了一组详细的注意事项，用于标识恶意软件感染或突发，阻止它的传播，然后消除它可能对环境中已感染系统造成的不利影响。对事件响应和恢复采用一致、简单方法的需要不能被低估；恶意软件事件通常具有一定的紧急性，这不利于建立一个长期有效和成功的精心设计的过程。

还有一个重要的问题值得一提。由于使用了多种不同的负载，使得恶意软件攻击的复杂性不断增强，因此任何一种用于从系统中删除恶意软件的单一进程都已不再广泛适用。每个不同的恶意软件攻击都可能需要单独的补救措施。然而，这并非意味着定义一个用于标识攻击、控制攻击的传播以及从攻击恢复的过程（应保持一致性）就不重要。

从高级角度而言，恶意软件突发恢复过程的步骤包括：

返回页首

步骤 1：感染确认

快速确定系统是否已受到感染对于组织将感染的影响程度降至最低至关重要。通过快速确认感染并标识它的可疑特征，可以降低感染的传播速度，并减小它对用户的不利影响。

有很多不同类型的计算机故障可能被误认为是病毒行为。当用户通过电话或电子邮件表示"我认为我的系统已感染病毒"时，支持人员首先必须确定这种行为是否有可能由某种类型的恶意代码所导致。以下列表提供了一些用户可能将其报告为"类似病毒"行为的典型症状的示例：

用户的观察和反馈很关键，因为他们有可能第一个注意到异常活动。随着恶意软件突发速度的不断增加，最初感染与有效防御可用性之间的时间长度也变得越来越重要。由于大部分感染将在该阶段发生，因此组织能否快速标识并确认感染对于将突发的传播范围和它可能造成的损害降至最低程度至关重要。

以下部分概述了一系列使您能够更快速地确认异常行为究竟是否是恶意软件攻击或突发的步骤。

如果新型恶意软件感染系统，则该系统的用户将第一个注意到异常行为。正如本指南第 3 章"深层病毒防护"中所述，在新恶意软件的发布时间与更新防病毒扫描应用程序以检测和应对该恶意软件的时间之间通常存在延迟。尽早提供警告系统的最佳方法是让用户了解如何识别可能的恶意软件攻击信号，并为他们提供快速通信链接以便尽快报告这些恶意软件攻击。

感染报告

在接到用户电话或生成有关可能的新恶意软件攻击的警报后，定义一个用于尽快确定警告是否与新攻击有关的过程对于技术支持通常很有好处。以下流程图显示了该过程中的主要步骤：

图4.1 恶意软件感染报告过程

异常活动报告

以下问题应用于确定导致发出警报的异常活动是否可能是新恶意软件攻击。本指南假设这些问题应由组织中的 IT 技术支持的成员向非技术用户提出。

收集基本信息

最初的问题应旨在得到可以帮助尽快确定警报本质以及它是否有可能是新恶意软件攻击的回答。可以使用以下示例问题作为该过程的起点；应对其进行修改，以满足组织的需要。：

最后一个问题很重要，这是因为先前的攻击通常会产生漏洞，无论这些漏洞是否已被修复，都可能导致随后的攻击。如果对该问题回答"是"，则考虑提出以下附加问题：

评估该数据

收集对这些问题的回答后，技术支持人员应对照以下问题组评估收集的数据，以帮助确定恶意软件攻击是否可能是报告的原因：

最后，应检查外部防病毒源（在本指南第 3 章"深层病毒防护"的"主动的内部通信"部分中标识），以确定该报告是否符合某些现有病毒或蠕虫警报。

收集详细信息

此时，可以确定新恶意软件攻击是否是问题的可能原因。如果不是，则可能需要更高级别的技术信息，且技术支持人员可能需要以物理方式访问（如果可能，远程控制）可疑系统。可以使用以下示例技术问题收集更详细的信息，并明确地确定系统是否已受到黑客或恶意代码的攻击：

异常活动响应

收集最初信息并将其用于确定警报的本质后，支持人员应可以确定所发生的是假警报、恶作剧还是真正的恶意软件攻击。

创建假恶意软件报告要比开发病毒或蠕虫容易得多，它可以确保创建许多假恶意软件警报。这些恶作剧以及它们所生成的调用和警告将浪费大量时间和金钱。恶作剧还会给用户带来麻烦，并通常使他们对报告可能攻击的作用产生质疑。应注意以下事项以确保正确地处理警报。

此时，支持人员的角色已经完成。有关突发的责任将转移到事件响应过程，并需要通知计算机安全事件响应小组 (CSIRT) 的成员。

返回页首

步骤 2：事件响应

正如本指南第 3 章"深层病毒防护"所述，CSIRT 将需要尽快召集紧急会议，以帮助安排组织的下一阶段的事件响应过程。有关如何创建事件响应小组以及通常的安全和灾难恢复过程的详细信息，请参见本指南中的同一章。

出于本指南的目的，假设 CSIRT 已经创建。此时，该小组的第一个目标应是确定即时突发控制机制。以下部分提供了将帮助确定该机制及其组成部分的选项的信息。

紧急突发控制

确认恶意软件攻击后，控制突发的第一步是确保将感染的计算机与其他设备隔离。确保隔离受感染的计算机很重要，因为这样将使这些计算机无法传播恶意代码。有一些不同的机制用于实现此隔离，这些机制将对组织的正常操作产生影响。

要点:如果相信组织将提请刑事或民事诉讼，则 Microsoft 建议您在采取进一步的措施前咨询组织的法律代表。

如果在防病毒社区中检测到突发，则使用防病毒供应商提供的指南来帮助您确定突发的严重性。

如果突发当前在更广泛的防病毒社区中是未知的，则应尽快将事件报告给防病毒供应商。他们可能请求您将恶意软件示例放在压缩和带密码保护的文件中并发送给他们，以便他们对其进行分析。查找这些示例的过程并非始终简单直接，因此在理想情况下应事先做好准备。参阅本章的"步骤 3：恶意软件分析"部分，以了解准备恶意软件示例的指南。

下一个应执行的操作流程是控制即时攻击的传播。应考虑三个基本选项：

可以采取许多更详细的技术步骤，如监视要尝试的网络以及标识攻击涉及的网络端口和 IP 地址。然而，如果尚未完成对恶意软件的详细分析，则很有可能遗漏可导致更广泛感染的攻击方法。组织可用于确定该风险是否可以接受的唯一机制是完善的安全风险评估报告。该报告使您能够确定未阻止攻击以及可能感染或意外用于对客户或合作伙伴组织发起攻击所涉及的风险。如果在攻击发生前未完成此风险分析，则建议组织务必小心从事，并通过选择最高级别的隔离措施来将传播攻击的可能性降至最低。

此处列出的选项只作为指南。特定的操作流程可能取决于业务需要、区域设置、影响、严重度等因素，以及其他可能只适用于组织和突发环境的因素。

准备恢复

激活突发控制机制后，应启动活动恢复过程。恢复过程的主要目标是确保实现以下目标：

遗憾的是，前两个目标需要"快速修复"方法，而其余三个方法需要花时间收集有关攻击的信息以便完全了解它。要同时满足这两个条件（即快速解决该问题，并仍捕获所需的所有相关数据），请考虑使用下图中显示的过程。该过程旨在确保尽快发布要恢复的受感染系统，同时确保不丢失所需的讨论数据。该数据很重要，因为您的组织将使用它确定恢复的系统是否会免受未来的攻击，同时它还将用作证据（如果以后采取法律活动）。

系统恢复和病毒分析过程应作为并行活动运行，以确保最快的可能恢复时间。

图 4.2 分析前的恢复步骤
参见全图

使所有系统得以恢复的最快方法是确定某个受感染系统能否用于分析。如果能够用于分析，则应隔离和分析该系统。（本章的以下"步骤 3：恶意软件分析"部分提供了有关该分析过程的指南。）如果无法进行隔离和分析，则下一个最佳选项是使用某种类型的映像软件创建系统副本。如果该选项可用，则应拍摄系统图像，发布要恢复的原始计算机，然后创建克隆系统。

在将要收集证据或可以进行更详细的分析的情况下，尽快拍摄受感染计算机的图像（在修补活动开始之前）非常重要，这样可通过最理想和最合适的方法标识、优先治疗和处理感染。

最后，如果无法拍摄图像，则在发布要恢复的系统前，应收集一组最少量的法庭数据。理想情况下，组织的安全小组应开发和维护某种类型的事件响应工具包。可以使用此工具包收集将用于提供系统法庭数据的不稳定和稳定系统数据。该工具包可以是更完整的恶意软件分析工具包（将在本章的下个部分中用于暴露和记录恶意软件的所有元素）的子集。然而，事件响应工具包的主要差别在于它应在最快的时间内捕获所需的最小级别的系统信息，以便系统能够尽快针对恢复进行发布。

返回页首

步骤 3：恶意软件分析

控制恶意软件攻击的传播后，必须花些时间了解突发的本质并对恶意软件执行更详细的分析。不执行该步骤可以增加再次感染的可能性；不了解恶意软件的工作方式将无法确保系统已被清理并可以免遭未来的攻击。

理想情况下，安全小组的成员将使用专用的应用程序和实用程序集（可用于自动收集所需信息）执行对恶意软件的分析。以下步骤将帮助了解攻击的本质。

检查操作系统元素

尝试确定攻击引入或修改的操作系统。作为该分析的一部分，查找以下方面的更改：

可用于检查这些操作系统元素的技术将在以下部分中介绍。

检查活动进程和服务

受感染的系统可能在其内存中引入了新进程。

建议使用专用的进程列表工具（如 PsTools 和 Process Explorer 免费软件程序）提供更为用户友好的界面。这些工具可以从 Sysinternals Web 站点 http://www.sysinternals.com（英文） 获得，通过它们不仅可以查看图像文件的路径，而且还能看见过程树。

要帮助最小化进程列表中的条目数并因此帮助标识任何恶意进程，应关闭所有有效应用程序以及任何有效的后台应用程序，如 Instant Messenger、电子邮件监视器或驻留在内存中的第三方实用程序。

如果专用工具不可用，则可以使用所有 Microsoft Windows 系统中的 Windows"任务管理器"工具来快速检查在系统中运行的活动进程。然而，由于"任务管理器"不显示启动进程的图像的路径，因此无法确定作为"svrhost"启动的恶意软件攻击是否是合法进程。

完成以下步骤以使用"任务管理器"分析活动进程：

要分析运行 Windows 的计算机上的活动进程，请执行下列操作：

可以通过单击任何列标题对列进行排序。对列出的每个列使用该排序方法并确定哪些进程使用哪些资源。

注意：要获取该列表的打印输出以便以后参考，激活 Process Explorer 或 Windows"任务管理器"窗口并按键盘上的 Alt+Print Screen。将在计算机的剪贴板上创建列表的屏幕快照，可以将该快照粘贴到 Windows Paint 应用程序或 Microsoft Word 中并进行打印。

下图将 Blaster 蠕虫的进程详细信息显示为 Microsoft Windows 2000? Server"任务管理器"中的活动进程。

图 4.3 显示活动 Blaster 蠕虫进程的 Windows 2000 任务管理器
参见全图

注意：某些恶意软件可能尝试阻止"任务管理器"作为某种形式的防御启动。这种情况下，可以在 Microsoft Windows? XP 和 Windows Server? 2003 计算机上使用 Tasklist 命令行实用程序（或在 Windows 2000 计算机上使用 TList 命令行实用程序）生成可复制到可移动媒体的简单文本文件列表，以便进一步分析。使用以下命令行语法生成包含所有活动进程列表的文本文件：

tasklist /v >TaskList.txt

该命令行将在当前工作目录中创建一个名为 TaskList.txt 的文件。

使用以下提示检查被怀疑正在运行某种形式的恶意软件的计算机上的进程：

除上图中显示的 msblast.exe 进程以外，其他可能的可疑进程包括：

检查启动文件夹

恶意软件可以尝试通过修改系统的启动文件夹来自行启动。

注意：根据所分析的操作系统的不同，这些文件夹的准确路径将发生更改。以下信息适用于运行 Windows XP、Windows Server 2003 或 Windows 2000 的操作系统。

应检查启动文件的两个区域。第一个是"所有用户"文件夹，该文件夹可以在以下默认位置找到：

C:\Documents and Settings\All Users\Start Menu

第二个区域是当前登录的帐户的用户配置文件路径，检查系统上创建的所有配置文件而不仅仅是当前登录的帐户是很重要的。您将在 C:\Documents and Settings\<UserName>\Start Menu 中找到该信息，其中 <UserName> 是检查的系统上定义的用户的登录 ID。

注意：在 Microsoft Windows? 95 和 Windows? 98 系统上，恶意软件可以对启动文件夹进行重命名。有关该主题的详细信息，请参见 Microsoft.com 上的 Microsoft 知识库文章"141900:Folder Other Than StartUp Launches Programs"，网址是：http://support.microsoft.com/?kbid=141900

检查每个启动文件夹中的条目，以确保在系统启动过程中没有恶意软件尝试启动。

检查计划的应用程序

恶意软件还可能（但很少见）尝试使用 Windows 计划程序服务启动未授权的应用程序。要确认不存在该情况，应通过完成以下步骤对计划程序队列执行简单检查：

要检查计划程序队列，请执行下列步骤：

执行该命令将在 C: 驱动器的根目录中创建一个文本文件，该文件应移动到可移动磁盘中以便进一步分析。检查该文本文件，以确定在队列中是否计划了任何未授权的应用程序。

一旦完成对活动进程和计划进程的完整分析后，可以标识攻击引入的一个或多个进程。一旦记录这些进程，应重新启动系统，然后重复分析，以确定在启动时是否启动旨在破坏系统其他区域和允许的恶意进程的攻击。如果启动，则将完成对系统启动文件和注册表的分析，以找到用于维护一个或多个恶意进程的机制。

分析本地注册表

由于完成的系统注册表是大型的复杂数据存储，因此在完成攻击恢复进程后创建整个系统注册表的副本以进行详细分析将很有好处。

所有 Windows 版本包含的备份实用程序可用于备份和恢复整个注册表。如果已经使用备份定期备份硬盘，则可以轻松地在这些备份中包含注册表。要使用备份应用程序备份注册表，请在选择要包含在备份集中的驱动器、文件和文件夹时选择"系统状态"。

由于"系统状态"包含其他系统特定信息和注册表，因此这些备份文件的大小可能为数百 MB。另一个选项是使用所有 Windows 版本附带的注册表编辑器实用程序。这些实用程序比较适合于生成注册表副本。Windows XP 和 Windows Server 2003 有两个注册表编辑器工具，Regedit.exe 和命令行工具 Reg.exe。

注意：Windows 2000 和 Windows NT? 操作系统使用 Regedt32.exe 并需要 RegBack.exe 和 RegRest.exe 资源工具包工具以提供与 Regedit.exe 和 Reg.exe 相同的功能。有关这些工具的更多详细信息，请参见
http://www.microsoft.com/windows2000/techinfo/reskit/en-us/regentry/RegistryBackup.asp （英文）网址中 Microsoft.com 上的 Windows 2000 Resource Kit 的"备份和存储 Windows 2000 注册表"页。

要使用 Regedit 生成注册表的副本，请执行下列操作：

有关如何使用 Regedit.exe 和 Reg.exe 的详细信息可以在
http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/RegistryBackup.asp（英文）网站的《Windows Server 2003 部署指南》的"Registry Reference for Windows Server 2003"页中找到。

要点：由于该磁盘将暴露给恶意软件，因此必须多加留意以确保在建立有效的控制方法前，不会将该磁盘暴露给其他系统。

成功备份注册表后，在以下区域中检查任何异常的文件引用：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\KnownDLLs 
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\KnownDLLs 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnceEx 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" line) 
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run 
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce 
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnceEx 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices 
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" value)

注册表的这些区域通常是恶意代码的攻击目标，因为它们允许恶意软件在系统启动时自行启动。例如，W32@.Mydoom.G@mm 蠕虫将以下值：

"(Default)" = "%System%\<random_filename>"

添加到以下注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

最近被作为攻击目标的另一个区域是以下项：

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

该项控制 Microsoft Internet Explorer (Explorer.exe) 加载的 .dll 文件。例如，Mydoom 蠕虫及其变体将在此处添加一个项目，以便加载一个将打开缺陷并允许后门攻击的 .dll 件。

W32.Netsky.D@mm 蠕虫将同时删除该项和以下项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF 
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch

检查恶意软件和损坏的文件

大多数恶意软件将修改计算机硬盘上的一个或多个文件，而查找已受到影响的文件可能是一个很困难的过程。如果通过映像创建了系统，则您可以将受到感染的系统直接与通过该映像创建的全新系统进行比较。

如果该选项不可用，则另一个确定哪些文件已被更改的方法是对自从恶意软件首次引入系统时更改的所有文件进行系统范围的搜索。可以使用 Windows 搜索工具进行搜索；以下屏幕快照显示了如何使用"搜索结果"窗格的高级选项缩小受感染文件的搜索范围。

图 4.4"搜索结果"高级选项对话框
参见全图

按照该图所示设置选项后，将列出在恶意软件引入主机的日期（例如，2004 年 4 月 27 日）创建的所有文件。

还可以创建一个包含当前目录及其子目录中的所有文件列表的文本文件，但应注意，该列表可能是长列表。

要在目录及其子目录中创建一个所有文件列表，请执行下列操作：

执行该命令将在当前目录中创建一个名为 FileList.txt 的文本文件，应将该文件复制到可移动媒体以便进一步分析。

注意：有许多其他方法可以通过使用其他工具和脚本创建类似列表。然而，本部分旨在帮助使用计算机上可用的工具快速收集信息。如果有时间准备一个包含更高级脚本的紧急响应工具包，则使用它代替此处显示的过程。

完成该搜索后，可以按类型对搜索结果进行排序，以便帮助标识可执行文件（它们通常是恶意软件的攻击目标）。下表提供了可能包含可执行代码的某些更常见文件类型的示例：

*.exe        *.html        *.cmd        *.htm

*.bat        *.cpl        *.pif        *.pot

*.vbs        *.vbe         *.js        *.jse

*.scr        *.jpg         *.doc        *.xls

*.mdb        *.com        *.ocx

注意： 索列表可能包含大量条目，且您在该过程的此阶段可能没有时间查看所有修改。然而，当您有足够的时间查看可能的目标文件时，必须保存或打印该列表的副本。

以下文件可能指示系统上存在恶意软件：

这些文件曾被恶意软件攻击所使用，此处提供它们是为了演示曾用于尝试隐藏恶意软件文件的命名技术。如果您不清楚特殊文件名，则 Internet 搜索有时可以指示文件本质以及它是否链接到恶意软件。然而，由于恶意软件攻击可以修改 Internet 浏览行为，因此必须在未受感染的系统上执行此搜索。

还必须注意，某些恶意软件攻击已经使用了有效的系统文件名，但将该文件置于其他文件夹中，以免被 Windows 文件保护服务检测到。例如，恶意软件曾使用一个名为 Svchost.exe 的文件，该文件通常安装在 %WINDIR%\System32 文件夹中并在该文件夹中受到保护。然而，直接在 %WINDIR% 文件夹中创建同名文件的恶意软件示例已被看到。必须检查完整路径和文件名。

恶意软件攻击用于放置和修改文件的某些常见目标区域包括：

如果系统文件分析不包含任何受感染文件，则应将文件复制到可移动媒体，以便进一步分析。显而易见，由于这些文件已受感染，因此应采取措施以确保它们无法用于预期进程以外的任何进程。您可能考虑帮助保护这些副本的一些步骤包括：

检查用户和组

某些恶意软件攻击将尝试评估系统上现有用户的特权，或在拥有管理员特权的组中添加新新帐户。检查以下异常设置：

使用本地用户和组 Microsoft 管理控制台 (MMC) 管理单元检查添加到本地管理员组的任何异常设置。还应检查本地计算机的安全日志中是否存在任何异常条目。例如，"帐户管理"类别条目（如事件 636）指示已将新成员添加到本地组。这些日志还将为您提供更改发生的日期和时间。

如果检查的系统是 Windows 服务器，则还应使用 Active Directory 用户和组 MMC 管理单元检查域组成员关系。有关 Windows 2000 默认用户和组的详细信息，请参见
www.microsoft.com/technet/prodtechnol/ windows2000serv/evaluate/featfunc/07w2kadb.mspx（英文）网站中的 Microsoft TechNet 上的"默认用户账户和组"页。和 Microsoft.com 的知识库文章"243330:Windows Server 操作系统中的常用安全标识符"位于网站：
http://support.microsoft.com/?kbid=243330。

注意： 尽管这些文章介绍了 Windows 2000，但它也与 Windows 2003 相关，因为相同的基本默认组未更改。但 Windows Server 2003 引入了附加的默认组，如网络服务和本地服务特殊组。检查默认的系统配置，以获取详细信息。

检查共享文件夹

恶意软件的另一个常见症状是使用共享文件夹传播感染。使用计算机管理 MMC 管理单元，或通过命令行使用 NetShare 命令检查受感染系统上的共享文件夹的状态。下表演示了 Windows 客户端和服务器上的默认共享文件夹。

注意： 默认情况下，Windows 9x 计算机不共享文件或文件夹，除非文件共享已启用。此外，Windows 9x 客户端没有"admin$"或等效的隐藏共享；只有那些特别共享的文件夹或卷可通过网络使用（阻挡通过某种方式破坏的系统或其中安装的某些远程控制软件）。

表 4.1：Windows XP 默认文件夹共享

表 4.2：Windows Server 2003 和 Windows 2000 Server 默认文件夹共享

还可以使用 Microsoft.com 的"Microsoft Windows Server 2003 Resource Kit Tools"联机页（网址是 http://go.microsoft.com/fwlink/?LinkId=4544（英文））中的 SrvCheck 命令行工具检查这些共享的权限。

其他第三方实用程序（如 Dumpsec，可以从 SystemTools.com Web 站点获取该实用程序，网址是：http://www.somarsoft.com（英文））也可用于生成这些报告。

检查打开的网络端口

许多恶意软件攻击尝试削弱已遭破坏的系统，以便将来更容易进行攻击。一个通常使用的技术是打开主机上的网络端口，恶意软件攻击者随后将使用这些端口获取该主机的其他路由。

有一些工具可用于导出当前网络端口设置的列表，包括 Microsoft Windows Server 2003 支持工具中的 PortQRY。有关该工具的详细信息，请参见 Microsoft.com 上的知识库文章"832919:PortQry 2.0 版中的新增特性和功能"，网址是：http://support.microsoft.com/?kbid=832919。

另一个工具是 Foundstone 的 FPort 命令行实用程序，网址是：http://www.foundstone.com。

最后，可以使用 Windows 附带的 NetStat 命令行实用程序记录侦听的当前网络连接和网络端口的状态。该工具可用于获取网络连接和端口状态的完整打印输出。

要创建 Netstat 报告，请执行下列操作：

将在 C: 驱动器的根目录创建一个名为 netstat_report.txt（您可能还希望向该文件名中添加日期）的文本文件。该文件应保存到可移动媒体，以便进一步分析。

使用网络协议分析器

网络协议分析器工具可用于创建受感染主机传入和传出的数据的网络流量日志。网络跟踪文件应保存为信息文件集的一部分，以便进一步分析。

可用于创建这些网络跟踪文件的网络协议分析器示例包括 Microsoft Systems Management Server (SMS) 的网络监视器组件，或其他第三方工具，如 Ethereal 分析器（可以从 Ethereal Web 站点获得，网址是：http://www.ethereal.com/（英文））。

检查和导出系统事件日志

可以使用 Windows 系统事件日志识别各种异常行为（可用于标识恶意软件所做的更改以及更改的时间）。使用事件查看器管理控制台将每种类型的事件日志文件（应用程序、安全和系统）保存到可移动媒体，以便进一步分析。默认情况下，这些文件存储在 C:\Winnt\System32\Config\ 目录中，并分别称为 AppEvent.evt、SecEvent.evt 和 SysEvent.evt。然而，当系统处于活动状态时，这些文件将被锁定，因此应使用事件查看器管理工具导出。

以下提示提供了有关如何使用这些日志以帮助确定恶意软件攻击的影响的信息：

在恶意软件分析过程结束时，可以考虑根据恶意软件的本质重新连接孤立网络。例如，如果分析只通过特殊对等 (P2P) 应用程序确定恶意软件传播，则更改外围防火墙筛选器以阻止该应用程序使用的网络断口将还原网络和其他服务。该修补将使组织能够在进行系统恢复时返回到某个级别的正常通信。

返回页首

步骤 4：系统恢复

收集有关攻击的所需信息并了解其完整本质后，可以开始从受感染的计算机删除恶意软件并恢复任何已损坏的数据。

要点：即使您安装了可以识别并从计算机中清理恶意软件攻击的防病毒软件，Microsoft 也建议投入一定的精力确定感染的日期和时间以及感染发生的方式。没有该信息将很难确定哪些系统、备份媒体或可移动媒体可能暴露给攻击。

如何完成该过程将在很大程度上取决于特殊恶意软件攻击的本质。然而，您可以使用以下高级过程确保完整的数据和计算机系统恢复：

确认系统不存在恶意软件是不应忽视的关键步骤。许多恶意软件威胁旨在在较长的时间内不被检测到。此外，备份映像或系统还原点可能包含受感染的系统文件，这将导致引起其他感染（如果受感染备份映像为恢复源）。出于这些原因，必须尽量确定恶意软件攻击的第一个实例的日期和时间。在将时间戳设置为基准后，可以确定备份映像的日期以便确定其中的任何映像是否包含相同的恶意软件损坏。

清理还是重建？

考虑如何恢复系统时，可进行两种选择。第一个选项是清理系统，它依靠攻击的已知特征按顺序撤消每个系统遭受的破坏。第二个选项通常称作重建或重修系统。然而，决定使用哪个选项并不是简单的选择。

仅当您非常肯定已经将攻击的所有元素进行了可靠地记录，且清理过程将成功修复攻击的每个元素时，才应选择清理系统。防病毒供应商通常将提供所需的文档，但供应商可能需要几天的时间才能完全了解攻击的本质。清理系统通常是首选操作，因为它可以在保持应用程序和数据不变的情况下将系统恢复到干净状态。与重建系统相比，通过该方法通常可以更快速地恢复正常操作。然而，如果不对恶意代码进行详细分析，则清理系统可能不会完全删除恶意软件。

清理系统的主要风险是可能不会发现或记录初始感染的未记录元素或可能的次级感染或攻击，从而使您的系统仍受到感染或容易受到某种恶意软件机制的攻击。由于存在该风险，因此许多组织选择只重建他们受感染的系统，以绝对确保他们没有恶意软件。

通常情况下，每当系统在安装了后门或 Rootkit 的地方遭到攻击时，Microsoft 建议您重建该系统。有关这些种类的攻击的详细信息，请参阅本指南的第 2 章"恶意软件威胁"。这些类型的攻击的各种组件很难可靠地检测，因此在尝试消除它们后这些攻击通常会再次出现。这些攻击通常用于打开对已破坏系统的未经授权访问，从而使它们能够在系统上启动其他攻击以升级它们的特权或安装它们自己的软件。出于这些原因，可以绝对确保计算机系统不存在这些恶意软件攻击的唯一方式是通过受信任媒体重建它们，并配置它们以修复容易受到攻击的弱点，如缺少的安全更新或弱用户密码。

该过程还需要从受感染的系统仔细捕获和测量所有必要的用户数据，修改任何损坏的数据，扫描它以确保数据不包含任何恶意软件，并最终将干净数据恢复到新重建的系统。

重建系统还需要重新安装系统上先前可用的所有应用程序，然后正确配置每个应用程序。因此，重建可以最大限度地确保消除感染或攻击，但它通常是一个比清理大很多的任务。

选择要在系统上使用哪个选项时的主要考虑取决于您对选择完全消除并解决感染或攻击的选项的信心程度。与确保系统的完整性和稳定性相比较，修复时所需的关机时间属于次级考虑。

表 4.3：系统清理和重建的优点和缺点

注意： 如果选择清理受感染的系统，则组织的管理和法律小组应执行风险分析，以确定他们是否愿意在清理过程丢失部分恶意代码时承担未来更大的攻击风险。

系统清理

如果对恶意软件的攻击和行为进行了完善的记录，并对清理过程进行了测试和证明，则还应考虑将系统清理作为可行的选项。可以从 Microsoft 或防病毒供应商那里获取全面记录的步骤（管理员可以遵循这些步骤）或用于清理系统中的感染的自动工具。这两个选项都可以仔细撤消在感染过程中执行的每个操作，并使系统恢复原始的运行状态。这些过程通常只可用于清理主要的病毒或蠕虫，并通常只在最初的恶意软件感染后的数天内有效。

注意： 由于许多恶意软件攻击成批发布（例如， MyDoom@A、MyDoom@B 等），因此必须只使用清理过程或工具清理系统中的特定版本的恶意软件。

如果自动工具无法清理要处理的恶意软件，则可从系统中手动清理它时的基本步骤包括：

如果决定手动执行这些步骤，则只应依靠它们作为感染修补措施（如果稍后将其与发布的清理过程进行比较），以确保您执行了所有必要的步骤。或者，如果组织拥有一个防病毒支持小组，则它还将需要确保它用于标识和减轻所有可能的攻击方法的破坏性的检查和修补过程能够满足需要。否则，可能会导致很快遭到再次感染。

还原还是重新安装？

如果确定最佳方法是重建系统，则可以使用确定其干净的上一个映像或系统备份还原系统，或通过最初的媒体重新安装系统。

如果选择从上一个映像还原系统，考虑尝试保护受感染系统上的最新用户数据，以避免在备份和当前之间的时间之间创建或更新的更改。如果从最初的媒体而非备份重建系统，则防止数据丢失的唯一选项是在备份数据前保留受感染系统中的数据。

从受感染的系统恢复数据

系统最重要的资产通常是其中驻留的数据。为此，必须仔细考虑如何保存、恢复或修复数据、备份该数据，然后在重建数据后在系统上还原该数据。

确保正确地捕获所有以下类型的数据以便彻底还原系统：

将所有数据备份到未授权用户或系统无法执行或访问的安全媒体或位置。如有必要，使用可用于还原数据的工具或其他方法，然后安全地存储它，直到在重建该数据后能够在系统上还原它。

从映像或备份还原

要从映像或备份恢复数据，必须在感染破坏系统前使用恢复数据捕获它。有各种可用的数据可以动态简化备份数据并从系统恢复数据。这些工具不仅可以最大限度的保护系统免遭恶意软件感染，还可以防止硬件出现故障以及其他对系统的潜在威胁。配置完整的灾难恢复基础结构不在本指南的范畴之内。然而，以下部分将对该方面中几个可用于解决防病毒相关问题的关键技术。

Windows 系统还原

Windows 系统还原 (WSR) 通过在文件被修改前监视、记录以及在某些情况下备份这些文件来保护重要的系统和应用程序文件。必须了解您的防病毒应用程序是否支持 WSR，这是因为 WSR 可以创建还原点，如果使用它在最初的恶意软件攻击后的任意时间清理系统，则该还原点可能受到恶意软件的感染。这种情况下，恶意软件可能从受感染的还原点重新引入到系统。幸运地是，可以识别的 WSR 防病毒应用程序将在还原过程中检测恶意软件。如果检测到受感染的文件，则防病毒解决方案将尝试修改、移动或删除它们。如果成功清理了文件，WSR 将还原特定文件。然而，如果文件无法清理并被删除或隔离，则还原过程将失败，这是因为隔离文件将导致不一致的还原状态。这种情况下，WSR 将在还原操作开始前恢复系统的上一个状态。

有关防病毒应用程序如何使用该服务的详细信息，请参见 Microsoft.com 上的知识库文章"831829:How antivirus software and System Restore work together"，网址是：http://support.microsoft.com/?kbid=831829（英文）。

注意： 更新病毒签名文件以防止恶意软件攻击前，几天前失败的还原现在将成功（在更新防病毒应用程序后）。相反，如果还原到以前成功的某个点，但新签名文件使得能够检测备份文件（该文件无法被清除）上的攻击，则还原过程可能失败。

有关 Windows 系统还原的详细信息，请参见 Microsoft.com 上的"How to Restore Windows XP to a Previous State"页，网址是：
http://www.microsoft.com/windowsxp/pro/using/itpro/managing/restore.asp（英文）。

自动系统恢复

通过自动系统恢复 (ASR)，可以轻松地快速备份计算机上的启动卷和系统卷，从而使您在系统受到感染或出现故障时能够快速地还原系统。然而，正如其他备份媒体一样，ASR 备份文件可能受到恶意软件的感染。有关 ASR 以及如何在组织中使用它的详细信息，请参见 Microsoft.com 上的"How ASR Works"白皮书，网址是：http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/sdcbc_sto_axho.asp（英文）。

Windows 备份解决方案

作为 Windows 系列操作系统的一部分提供的解决方案为部门或中小型企业环境提供了简单的备份解决方案。然而，正如 WSR 和 ASR 一样，备份文件本身可能包含受感染恶意软件。为此，当使用该解决方案时，确保不要将恶意软件还原到系统并重新启动恶意软件攻击。在使用备份映像还原系统前，应使用能够检测和删除恶意软件的已更新防病毒应用程序检查和扫描所有备份文件。在 Microsoft.com 上的"Windows Server 2003 Deployment Kit"的"Planning for Disaster Recovery"部分中，您将找到详细的有关灾难恢复的文档（包括备份和还原操作），网址是：http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/sdcbc_sto_gqda.asp（英文）。

重新安装系统

知道系统的备份数据有用后，可以开始重建系统的过程。该过程中的此时刻是重新格式化驱动器、更改分区大小以及执行其他在系统还原后确保系统优化性能的最佳时间。如果可能，使用完全更新的简化共享重建服务器。有关创建 Windows 的简化安装的详细信息可以在以下位置找到：

如果无法从slipstreamed源重建，则在将系统连接到 Windows 更新 Web 站点以下载关键的 Service Pack 和安全更系前，系统将受到基于网络的恶意软件的影响。这种情况下，请执行以下步骤重新安装：

重建系统并扫描它以确认其中没有受感染的文件后，可以安全地还原用户数据。

返回页首

步骤 5：后期恢复步骤

本部分提供了有关控制最初的恶意软件攻击并从中恢复后应采取的特定步骤方面的指南。完成此阶段很重要，因为它可以增强组织对用户、过程和技术的总体策略。

攻击后的检查会议

该会议应该包含受影响的各方，并需要免费交换使各方受益的课程。尤其是，与会者应寻求：

攻击后更新

检查和评估在会议中提出的任何建议，然后确保尽快在组织中实施它们。当特殊漏洞被暴露后，通常可同时使用多种方法减轻它所带来的风险。

必须注意，这些更改可能影响组织的用户、进程和技术。检查攻击对组织造成的预计损失应强调组织通过积极的防止攻击的再次发生而意识到的未来成本好处。

此时，如果组织尚未实施深层病毒防护方法，则请参阅本指南中的"深层病毒防护"，以检查该方法的哪些元素对组织最为有利。

返回页首

小结

本章提供了可用于通过慎重、一致的方式从恶意软件攻击恢复的指南和建议。必须严格遵循建议的步骤，否则可能会导致组织遭到恶意软件的进一步攻击，同时，组织还可能很困难或无法针对攻击的作恶者采取法律手段。

如果组织实施了深层病毒防护解决方案，则使用它减轻攻击的危害的次数将可能被降至最低。然而，如果事先未做好应对最恶劣情况的规划，则当攻击成功突破防病毒防御时，组织将面临严重威胁。

应对安全人员进行常见恶意软件技术（如本章介绍的技术）培训，以便事先对此做好准备。还应考虑创建一个包含本章介绍的某些工具的恶意软件分析工具包，以及可用于快速捕获和记录受感染系统的重要信息的任何脚本或其他实用程序。这将有助于当系统遭到恶意软件攻击时减少攻击对业务操作的影响。

每个新攻击可能会引入不同的方法来破坏系统。因此，Microsoft 强烈建议您密切注意 Microsoft 安全防病毒信息网站：http://www.microsoft.com/security/antivirus/（英文）。该站点将为您提供最新的防病毒信息以及有关如何应对最新恶意软件攻击的指南。使用本章中的资源将帮助您有效地控制恶意软件突发可能对您的组织产生的影响，并帮助您以高效、可靠的方式从恶意软件突发恢复。