首页 > 安全 > 系统安全 >

深层防毒指南:快速和有效地相应恶意软件事件[三]

2004-10-25

步骤 4:系统恢复     收集有关攻击的所需信息并了解其完整本质后,可以开始从受感染的计算机删除恶意软件并恢复任何已损坏的数据。     要点:即使您安装了可以识别并从计算机中清理恶意软件攻击的防病

步骤 4:系统恢复

收集有关攻击的所需信息并了解其完整本质后,可以开始从受感染的计算机删除恶意软件并恢复任何已损坏的数据。

要点:即使您安装了可以识别并从计算机中清理恶意软件攻击的防病毒软件,Microsoft 也建议投入一定的精力确定感染的日期和时间以及感染发生的方式。没有该信息将很难确定哪些系统、备份媒体或可移动媒体可能暴露给攻击。

如何完成该过程将在很大程度上取决于特殊恶意软件攻击的本质。然而,您可以使用以下高级过程确保完整的数据和计算机系统恢复:

1.

还原丢失或损坏的数据。

2.

删除或清理受感染的文件。

3.

确认计算机系统不存在恶意软件。

4.

将计算机系统重新连接到网络。

确认系统不存在恶意软件是不应忽视的关键步骤。许多恶意软件威胁旨在在较长的时间内不被检测到。此外,备份映像或系统还原点可能包含受感染的系统文件,这将导致引起其他感染(如果受感染备份映像为恢复源)。出于这些原因,必须尽量确定恶意软件攻击的第一个实例的日期和时间。在将时间戳设置为基准后,可以确定备份映像的日期以便确定其中的任何映像是否包含相同的恶意软件损坏。

清理还是重建?

考虑如何恢复系统时,可进行两种选择。第一个选项是清理系统,它依靠攻击的已知特征按顺序撤消每个系统遭受的破坏。第二个选项通常称作重建或重修系统。然而,决定使用哪个选项并不是简单的选择。

仅当您非常肯定已经将攻击的所有元素进行了可靠地记录,且清理过程将成功修复攻击的每个元素时,才应选择清理系统。防病毒供应商通常将提供所需的文档,但供应商可能需要几天的时间才能完全了解攻击的本质。清理系统通常是首选操作,因为它可以在保持应用程序和数据不变的情况下将系统恢复到干净状态。与重建系统相比,通过该方法通常可以更快速地恢复正常操作。然而,如果不对恶意代码进行详细分析,则清理系统可能不会完全删除恶意软件。

清理系统的主要风险是可能不会发现或记录初始感染的未记录元素或可能的次级感染或攻击,从而使您的系统仍受到感染或容易受到某种恶意软件机制的攻击。由于存在该风险,因此许多组织选择只重建他们受感染的系统,以绝对确保他们没有恶意软件。

通常情况下,每当系统在安装了后门或 Rootkit 的地方遭到攻击时,Microsoft 建议您重建该系统。有关这些种类的攻击的详细信息,请参阅本指南的第 2 章"恶意软件威胁"。这些类型的攻击的各种组件很难可靠地检测,因此在尝试消除它们后这些攻击通常会再次出现。这些攻击通常用于打开对已破坏系统的未经授权访问,从而使它们能够在系统上启动其他攻击以升级它们的特权或安装它们自己的软件。出于这些原因,可以绝对确保计算机系统不存在这些恶意软件攻击的唯一方式是通过受信任媒体重建它们,并配置它们以修复容易受到攻击的弱点,如缺少的安全更新或弱用户密码。

该过程还需要从受感染的系统仔细捕获和测量所有必要的用户数据,修改任何损坏的数据,扫描它以确保数据不包含任何恶意软件,并最终将干净数据恢复到新重建的系统。

重建系统还需要重新安装系统上先前可用的所有应用程序,然后正确配置每个应用程序。因此,重建可以最大限度地确保消除感染或攻击,但它通常是一个比清理大很多的任务。

选择要在系统上使用哪个选项时的主要考虑取决于您对选择完全消除并解决感染或攻击的选项的信心程度。与确保系统的完整性和稳定性相比较,修复时所需的关机时间属于次级考虑。

表 4.3:系统清理和重建的优点和缺点

清理 重建

简单过程(如果清理工具可用)。

更复杂的过程,尤其是在感染前如果未安装备份和恢复解决方案。

只需较少的步骤便可以确保数据干净。

捕获、备份、清理、扫描和还原数据所需的步骤较多。

与重建整个系统相比,使用删除工具所需的资源较少。

重建过程可能需要大量的时间和资源才能完成。

系统仍存在被感染的风险。

如果从干净媒体和管理充分的数据还原,则系统仍被感染的风险很小。

注意: 如果选择清理受感染的系统,则组织的管理和法律小组应执行风险分析,以确定他们是否愿意在清理过程丢失部分恶意代码时承担未来更大的攻击风险。

系统清理

如果对恶意软件的攻击和行为进行了完善的记录,并对清理过程进行了测试和证明,则还应考虑将系统清理作为可行的选项。可以从 Microsoft 或防病毒供应商那里获取全面记录的步骤(管理员可以遵循这些步骤)或用于清理系统中的感染的自动工具。这两个选项都可以仔细撤消在感染过程中执行的每个操作,并使系统恢复原始的运行状态。这些过程通常只可用于清理主要的病毒或蠕虫,并通常只在最初的恶意软件感染后的数天内有效。

注意: 由于许多恶意软件攻击成批发布(例如, MyDoom@A、MyDoom@B 等),因此必须只使用清理过程或工具清理系统中的特定版本的恶意软件。

如果自动工具无法清理要处理的恶意软件,则可从系统中手动清理它时的基本步骤包括:

1.

终止恶意软件执行过程。必须终止任何正在运行的恶意软件相关的过程以及与删除的恶意软件关联的任何自动运行条目或计划任务。

2.

删除引入的恶意软件文件。该步骤将需要对主机硬盘驱动器上的文件进行详细分析,以确定哪些文件受到恶意软件的影响。

3.

应用最新的安全更新或修补程序可以减轻最初攻击利用的漏洞的危害。该步骤可能需要一些重新启动和访问 Windows 更新 Web 站点以便确保应用所有安全更新。

4.

更改可能已被破坏的任何密码(域密码或本地密码),或比较薄弱并易被猜到的密码。有关如何设置强密码的指南,请参见 Microsoft.com 上的"Strong Passwords"页,网址是:
www.microsoft.com/resources/documentation/ WindowsServ/2003/enterprise/proddocs/en-us/windows_password_tips.asp(英文)。

5.

撤消恶意软件引入的任何系统更改

热点推荐