深层防毒指南:快速和有效地相应恶意软件事件[三] -电脑资料

    步骤 4：系统恢复

    收集有关攻击的所需信息并了解其完整本质后，可以开始从受感染的计算机删除恶意软件并恢复任何已损坏的数据，

深层防毒指南:快速和有效地相应恶意软件事件[三]

    要点：即使您安装了可以识别并从计算机中清理恶意软件攻击的防病毒软件，Microsoft 也建议投入一定的精力确定感染的日期和时间以及感染发生的方式。没有该信息将很难确定哪些系统、备份媒体或可移动媒体可能暴露给攻击。

    如何完成该过程将在很大程度上取决于特殊恶意软件攻击的本质。然而，您可以使用以下高级过程确保完整的数据和计算机系统恢复：

    1.

    还原丢失或损坏的数据。

    2.

    删除或清理受感染的文件。

    3.

    确认计算机系统不存在恶意软件。

    4.

    将计算机系统重新连接到网络。

    确认系统不存在恶意软件是不应忽视的关键步骤。许多恶意软件威胁旨在在较长的时间内不被检测到。此外，备份映像或系统还原点可能包含受感染的系统文件，这将导致引起其他感染（如果受感染备份映像为恢复源）。出于这些原因，必须尽量确定恶意软件攻击的第一个实例的日期和时间。在将时间戳设置为基准后，可以确定备份映像的日期以便确定其中的任何映像是否包含相同的恶意软件损坏。

清理还是重建？

    考虑如何恢复系统时，可进行两种选择。第一个选项是清理系统，它依靠攻击的已知特征按顺序撤消每个系统遭受的破坏。第二个选项通常称作重建或重修系统。然而，决定使用哪个选项并不是简单的选择。

    仅当您非常肯定已经将攻击的所有元素进行了可靠地记录，且清理过程将成功修复攻击的每个元素时，才应选择清理系统。防病毒供应商通常将提供所需的文档，但供应商可能需要几天的时间才能完全了解攻击的本质。清理系统通常是首选操作，因为它可以在保持应用程序和数据不变的情况下将系统恢复到干净状态。与重建系统相比，通过该方法通常可以更快速地恢复正常操作。然而，如果不对恶意代码进行详细分析，则清理系统可能不会完全删除恶意软件。

    清理系统的主要风险是可能不会发现或记录初始感染的未记录元素或可能的次级感染或攻击，从而使您的系统仍受到感染或容易受到某种恶意软件机制的攻击。由于存在该风险，因此许多组织选择只重建他们受感染的系统，以绝对确保他们没有恶意软件。

    通常情况下，每当系统在安装了后门或 Rootkit 的地方遭到攻击时，Microsoft 建议您重建该系统。有关这些种类的攻击的详细信息，请参阅本指南的第 2 章"恶意软件威胁"。这些类型的攻击的各种组件很难可靠地检测，因此在尝试消除它们后这些攻击通常会再次出现。这些攻击通常用于打开对已破坏系统的未经授权访问，从而使它们能够在系统上启动其他攻击以升级它们的特权或安装它们自己的软件。出于这些原因，可以绝对确保计算机系统不存在这些恶意软件攻击的唯一方式是通过受信任媒体重建它们，并配置它们以修复容易受到攻击的弱点，如缺少的安全更新或弱用户密码。

    该过程还需要从受感染的系统仔细捕获和测量所有必要的用户数据，修改任何损坏的数据，扫描它以确保数据不包含任何恶意软件，并最终将干净数据恢复到新重建的系统。

    重建系统还需要重新安装系统上先前可用的所有应用程序，然后正确配置每个应用程序。因此，重建可以最大限度地确保消除感染或攻击，但它通常是一个比清理大很多的任务。

    选择要在系统上使用哪个选项时的主要考虑取决于您对选择完全消除并解决感染或攻击的选项的信心程度。与确保系统的完整性和稳定性相比较，修复时所需的关机时间属于次级考虑。

    表 4.3：系统清理和重建的优点和缺点

    清理重建

    简单过程（如果清理工具可用）。

    更复杂的过程，尤其是在感染前如果未安装备份和恢复解决方案。

    只需较少的步骤便可以确保数据干净。

    捕获、备份、清理、扫描和还原数据所需的步骤较多。

    与重建整个系统相比，使用删除工具所需的资源较少。

    重建过程可能需要大量的时间和资源才能完成。

    系统仍存在被感染的风险。

    如果从干净媒体和管理充分的数据还原，则系统仍被感染的风险很小。

    注意： 如果选择清理受感染的系统，则组织的管理和法律小组应执行风险分析，以确定他们是否愿意在清理过程丢失部分恶意代码时承担未来更大的攻击风险。

系统清理

    如果对恶意软件的攻击和行为进行了完善的记录，并对清理过程进行了测试和证明，则还应考虑将系统清理作为可行的选项。可以从 Microsoft 或防病毒供应商那里获取全面记录的步骤（管理员可以遵循这些步骤）或用于清理系统中的感染的自动工具。这两个选项都可以仔细撤消在感染过程中执行的每个操作，并使系统恢复原始的运行状态。这些过程通常只可用于清理主要的病毒或蠕虫，并通常只在最初的恶意软件感染后的数天内有效。

    注意： 由于许多恶意软件攻击成批发布（例如， MyDoom@A、MyDoom@B 等），因此必须只使用清理过程或工具清理系统中的特定版本的恶意软件。

    如果自动工具无法清理要处理的恶意软件，则可从系统中手动清理它时的基本步骤包括：

    1.

    终止恶意软件执行过程。必须终止任何正在运行的恶意软件相关的过程以及与删除的恶意软件关联的任何自动运行条目或计划任务。

    2.

    删除引入的恶意软件文件。该步骤将需要对主机硬盘驱动器上的文件进行详细分析，以确定哪些文件受到恶意软件的影响。

    3.

    应用最新的安全更新或修补程序可以减轻最初攻击利用的漏洞的危害。该步骤可能需要一些重新启动和访问 Windows 更新 Web 站点以便确保应用所有安全更新。

    4.

    更改可能已被破坏的任何密码（域密码或本地密码），或比较薄弱并易被猜到的密码。有关如何设置强密码的指南，请参见 Microsoft.com 上的"Strong Passwords"页，网址是：

    www.microsoft.com/resources/documentation/ WindowsServ/2003/enterprise/proddocs/en-us/windows_password_tips.asp（英文）。

    5.

    撤消恶意软件引入的任何系统更改。该步骤可能涉及还原计算机上的本地主机文件和防火墙配置。

    6.

    还原恶意软件修改或删除的用户文件。

    如果决定手动执行这些步骤，则只应依靠它们作为感染修补措施（如果稍后将其与发布的清理过程进行比较），以确保您执行了所有必要的步骤。或者，如果组织拥有一个防病毒支持小组，则它还将需要确保它用于标识和减轻所有可能的攻击方法的破坏性的检查和修补过程能够满足需要。否则，可能会导致很快遭到再次感染。

还原还是重新安装？

    如果确定最佳方法是重建系统，则可以使用确定其干净的上一个映像或系统备份还原系统，或通过最初的媒体重新安装系统。

    如果选择从上一个映像还原系统，考虑尝试保护受感染系统上的最新用户数据，以避免在备份和当前之间的时间之间创建或更新的更改。如果从最初的媒体而非备份重建系统，则防止数据丢失的唯一选项是在备份数据前保留受感染系统中的数据。

从受感染的系统恢复数据

    系统最重要的资产通常是其中驻留的数据。为此，必须仔细考虑如何保存、恢复或修复数据、备份该数据，然后在重建数据后在系统上还原该数据。

    确保正确地捕获所有以下类型的数据以便彻底还原系统：

    •

    操作系统配置数据.该数据包含还原主机操作系统的最初状态以便该主机的所有服务正常工作所需的所有配置设置。

    应用程序数据.该数据包含主机设备上安装的应用程序使用和存储的所有数据。

    用户数据。该数据包含所有配置数据，如用户配置文件和用户生成的文件，

电脑资料

    注意：该保留数据明显存在自行感染的严重风险。在标识检查恶意软件数据的可靠方法前，使用该数据时必须多加小心。

    将所有数据备份到未授权用户或系统无法执行或访问的安全媒体或位置。如有必要，使用可用于还原数据的工具或其他方法，然后安全地存储它，直到在重建该数据后能够在系统上还原它。

从映像或备份还原

    要从映像或备份恢复数据，必须在感染破坏系统前使用恢复数据捕获它。有各种可用的数据可以动态简化备份数据并从系统恢复数据。这些工具不仅可以最大限度的保护系统免遭恶意软件感染，还可以防止硬件出现故障以及其他对系统的潜在威胁。配置完整的灾难恢复基础结构不在本指南的范畴之内。然而，以下部分将对该方面中几个可用于解决防病毒相关问题的关键技术。

Windows 系统还原

    Windows 系统还原 (WSR) 通过在文件被修改前监视、记录以及在某些情况下备份这些文件来保护重要的系统和应用程序文件。必须了解您的防病毒应用程序是否支持 WSR，这是因为 WSR 可以创建还原点，如果使用它在最初的恶意软件攻击后的任意时间清理系统，则该还原点可能受到恶意软件的感染。这种情况下，恶意软件可能从受感染的还原点重新引入到系统。幸运地是，可以识别的 WSR 防病毒应用程序将在还原过程中检测恶意软件。如果检测到受感染的文件，则防病毒解决方案将尝试修改、移动或删除它们。如果成功清理了文件，WSR 将还原特定文件。然而，如果文件无法清理并被删除或隔离，则还原过程将失败，这是因为隔离文件将导致不一致的还原状态。这种情况下，WSR 将在还原操作开始前恢复系统的上一个状态。

    注意： 更新病毒签名文件以防止恶意软件攻击前，几天前失败的还原现在将成功（在更新防病毒应用程序后）。相反，如果还原到以前成功的某个点，但新签名文件使得能够检测备份文件（该文件无法被清除）上的攻击，则还原过程可能失败。

自动系统恢复

    通过自动系统恢复 (ASR)，可以轻松地快速备份计算机上的启动卷和系统卷，从而使您在系统受到感染或出现故障时能够快速地还原系统。然而，正如其他备份媒体一样，ASR 备份文件可能受到恶意软件的感染。

Windows 备份解决方案

    作为 Windows 系列操作系统的一部分提供的解决方案为部门或中小型企业环境提供了简单的备份解决方案。然而，正如 WSR 和 ASR 一样，备份文件本身可能包含受感染恶意软件。为此，当使用该解决方案时，确保不要将恶意软件还原到系统并重新启动恶意软件攻击。在使用备份映像还原系统前，应使用能够检测和删除恶意软件的已更新防病毒应用程序检查和扫描所有备份文件。

重新安装系统

    知道系统的备份数据有用后，可以开始重建系统的过程。该过程中的此时刻是重新格式化驱动器、更改分区大小以及执行其他在系统还原后确保系统优化性能的最佳时间。如果可能，使用完全更新的简化共享重建服务器。

    如果无法从slipstreamed源重建，则在将系统连接到 Windows 更新 Web 站点以下载关键的 Service Pack 和安全更系前，系统将受到基于网络的恶意软件的影响。这种情况下，请执行以下步骤重新安装：

    1.

    断开网络连接。在物理上从网络卸下计算机是最安全的方法。

    2.

    从原始的系统安装媒体中安装操作系统。在该过程中，必须为每台计算机创建强本地管理员密码。这些密码对每台计算机应是唯一的。

    3.

    启动系统并使用本地管理员帐户登录。

    4.

    在系统上激活一个基于主机的防火墙，如 Windows XP Internet 连接防火墙。

    注意：在 Windows XP Service Pack 2 中，ICF 已被重命名为"Windows 防火墙"，且在默认情况下在所有网络连接上启用。如果系统基于 Windows 2000 或更早版本，则建议您安装第三方基于主机的防火墙。

    5.

    将系统重新连接到网络。此时，必须尽快执行以下步骤以便将重建的系统的风险降至最低。

    6.

    使用最新的软件更新更新最新安装的系统。必须注意，并非所有安全更新都由 Windows Update Web 站点提供。只有核心操作系统安全更新由 Windows Update 提供；Windows Update 将不提供对其他产品（如 SQL Server?、Front Page、Commerce Server 等）的更新。为此，应访问 Microsoft TechNet 上的 Microsoft Security Bulletin Search 站点（网址是：http://www.microsoft.com/technet/security/current.mspx（英文））以查找产品特定的更新。

    7.

    安装防病毒程序包，确保它正在使用最新版本的病毒签名文件，然后对系统执行完整的防病毒扫描。

    8.

    使用组织的最新强化指南强化系统配置。有关该过程的信息，请参阅本指南的第 3 章"深层病毒防护"。

    9.

    使用漏洞扫描程序（如 Microsoft 基准安全分析器 (MBSA)）对系统进行任何剩余漏洞检查。该免费工具可以从 Microsoft.com 中下载，网址是：

    http://www.microsoft.com/technet/security/tools/mbsahome.mspx（英文）。

    重建系统并扫描它以确认其中没有受感染的文件后，可以安全地还原用户数据。

    步骤 5：后期恢复步骤

    本部分提供了有关控制最初的恶意软件攻击并从中恢复后应采取的特定步骤方面的指南。完成此阶段很重要，因为它可以增强组织对用户、过程和技术的总体策略。

攻击后的检查会议

    该会议应该包含受影响的各方，并需要免费交换使各方受益的课程。尤其是，与会者应寻求：

    •

    与法律顾问合作，确定组织是否应针对攻击作恶者提请法律诉讼。

    与法律顾问合作，确定组织在机密数据遭到破坏的情况下是否应将攻击报告给相关机构。例如，信用卡信息。

    向攻击为内部报告带来的损失指定货币价值，其中包括：

    恢复时间。

    修复损坏设备的成本。

    收入损失。

    对客户和合作伙伴关系造成的损失。

    受影响的工作人员丧失的工作效率量。

    任何丢失的数据的价值。

    尝试标识攻击曾用于利用系统的任何系统漏洞。

    建议更改组织的深层防病毒策略。

    建议更改组织的安全策略，包括：

    改进的默认密码策略。

    审核策略。

    安全更新策略。

    防火墙策略。

攻击后更新

    检查和评估在会议中提出的任何建议，然后确保尽快在组织中实施它们。当特殊漏洞被暴露后，通常可同时使用多种方法减轻它所带来的风险。

    必须注意，这些更改可能影响组织的用户、进程和技术。检查攻击对组织造成的预计损失应强调组织通过积极的防止攻击的再次发生而意识到的未来成本好处。

    此时，如果组织尚未实施深层病毒防护方法，则请参阅本指南中的"深层病毒防护"，以检查该方法的哪些元素对组织最为有利。

    小结

    本章提供了可用于通过慎重、一致的方式从恶意软件攻击恢复的指南和建议。必须严格遵循建议的步骤，否则可能会导致组织遭到恶意软件的进一步攻击，同时，组织还可能很困难或无法针对攻击的作恶者采取法律手段。

    如果组织实施了深层病毒防护解决方案，则使用它减轻攻击的危害的次数将可能被降至最低。然而，如果事先未做好应对最恶劣情况的规划，则当攻击成功突破防病毒防御时，组织将面临严重威胁。

    应对安全人员进行常见恶意软件技术（如本章介绍的技术）培训，以便事先对此做好准备。还应考虑创建一个包含本章介绍的某些工具的恶意软件分析工具包，以及可用于快速捕获和记录受感染系统的重要信息的任何脚本或其他实用程序。这将有助于当系统遭到恶意软件攻击时减少攻击对业务操作的影响。