PC安全指南:用U盘来对付恶意软件

  通常律师和医生在出席Party时不喜欢告诉别人他们自己的职业,只要有人听说他们的身份,就会咨询医疗或者法律方面的事情。而现在,如果你说你在计算机安全领域工作,在你为周围同样会很多人向你咨询安全相关信息。

  经常会出现这种情况,当信息安全专业人员需要执行一些快速修复工作时,发现没有合适的工具集。为了解决这个问题,我们在本月的应用指南中将讨论如何建立一个用于修复被感染的计算机的便携式软件工具箱。互联网上有大量免费的非常有用的系统分析工具和反恶意软件工具。我建议管理员下载这些软件并且把这些软件刻录到CD光盘上,最好是写在价格很便宜的1GB优盘。然后随身携带这个优盘,这样你就可以像一个信息安全的超级英雄那样在灾难中把人们挽救过来。

  第一件武器:杀毒和反间谍软件

  首先,你需要能够扫描系统、检测和删除系统中恶意软件的杀毒和反间谍软件工具。我最喜欢的免费杀毒扫描软件是ClamAV。这是Sourcefire在2007年8月收购的一种杀毒工具。不过,应定期下载病毒特征库并更新。

  对于反间谍软件,我最喜欢的免费工具包括Lavasoft AB公司的Ad-Aware、Spybot Search和Destroy以及趋势科技的HijackThis。虽然许多商业厂商都购买许多这类产品,但是只要这种软件是免费的、高质量的和保持更新的,使用这种软件就没有什么错误。

  第二件武器:机器分析器

  对Windows系统进行深入分析的最佳资源之一是微软在2006年7月收购的Sysinternals。我希望许多Sysinternals工具最终将集成到Windows系统中。但是,在此之前,下载这些工具是很有帮助的。下面是一些重要的Sysinternals工具。

  ·Process Explorer(进程浏览器)实际上就是一种Windows任务管理器。它显示全部运行的进程,指出它们的层次关系以及它们装载的动态链接库。

  ·Filemon和Regmon分别使用文件系统和注册表记录所有的相互作用,并且能够实时完成这些任务。

  ·流进程监视器,Sysinternals工具中新增加的一种工具,基本上是把上述三种工具集成在了一起,详细说明一台机器上运行的全部进程。

  ·Autoruns程序显示一个系统在启动时或者用户登录时自动开始运行的全部程序。因为间谍软件经常修改自动启动目录或者注册表,这个程序对于分析一台机器的启动状态是非常重要的。

  ·TCPView以图片方式提供TCP和UDP端口使用情况,把每一个端口与它正在使用的流程关联起来。

  ·Strings在屏幕上显示一个文件的字符串。粗心的恶意软件作者把字符串留在他们的代码中。这种字符串经常是ASCII字符串。要让Sysinternals程序查找ASCII字符串,而不是系统默认的Unicode字符串。运行这个程序时要使用-a这个参数。

  ·最后使用RootkitRevealer查找rootkit,确定一个系统在什么时候提供有关哪一个文件或者注册键出现的错误信息。

  使用这些工具收集到的信息,再加上用搜索引擎搜索一下具体的进程、动态链接库和文件名,能够帮助识别在一台计算机上的恶意活动

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wzwfjx.html