主机安全,是所有安全领域最后也可以说是最前(端点安全)的节点。所谓成也萧何败也萧何,无论是主机本身遭遇攻击或病毒破坏造成损失还是成为傀儡主机对其他机器或网终造成破坏和影响,并最终形成损失等,这些都我们关注的目的,在日常网络安全工作中也随时可以遇到,因此我们有足够的理由来重视、学习和处理主机的安全问题。
很多时候,当客户主机遭遇攻击或病毒破坏时,可能没有防病毒软件或防病毒软件经失效,如果在这种情况下安装杀毒软件则会无法进行或者根本不起做用,因此我们需要临时手动处理一下危机情况,以便最终能顺利安装防病毒软件,并能正常升级病毒库和查杀病毒、木马。(对于部分病毒,重装系统无法解决问题,除非全盘格式化,而很多时候,这是无法接受的代价。)
危机应急处理
2.1 观察PC当前现像及询问使用者相关情况、出现问题的时间和之前所做过的操作,跟据经验,初步确定排查思路。
2.2 在可以运行360safe的情况下,升级360safe的到最新版本,先清除一下可以发现的木马、恶意软件,然后生成一份报告,了解相关不安全的选项。如若不然,真接进入第2.3项排查。
2.3 断开网络,全面检查系统进程、SSDT和自启动项,特别注意自启动项中的服务和驱动方面。
2.3.1 检查进程时,需要确定进程是否能通过微软数字验名认证,能通过的,还需检查其DLL中是否会有不能通过验证的模块。对于这些不能通过的怀疑对像,进一步向客户求证是否有安装过相应的软件,以及通过google、http://www.virustotal.com/zh-cn/(需要根据当前的具体情况灵活使用) 等方式再结合自己的经验,来确定是否是病毒的非法文件。此时不做处理,先记录下来。
2.3.2 检查SSDT时需要注意,有时杀毒软件及安全软件也会在此处出现,比如卡吧、狙剑等,所以还需要用2.3.1 中同样的方式来确定是否是非法文件,不过,此处出现的,80%的可能性是病毒等恶意软件。对于确定的,我们可以真接就对其进行修复。
2.3.3 检查所有不能通过数字签名的自启动项,此处会比较多,需要有耐心用上面同样的方式来确定是否是病毒,并记录下来。
2.4 准备清除所有病毒文件!在清除之前,为了减少误判和不必要的损失,必须需要对所有需要清除的文件及注册表项进行备份。
清除的一般顺序是:结束病毒进程?清除自启动项注册表项?清除自启动项的文件?清除病毒进程的文件。当然,结束病毒进程可也以在清除自启动项之后来进行。
对于清除后反复出现的文件,可以使用抑制再生,或者在清除时使用禁止进程再生和文件创建等方式。
2.5 以上处理中,需要用到工具有:360safe、wsyscheck、autoruns、Sreng、icesword等。
2.6 以上过程可能需要循环进行,直至系统基本恢复正常。
2.7 一般不需要进入安全模式,如果非要进入而安全模式又被破坏的话,可用注册表或sreng来恢复安全模式。
2.8 基本正常后就安装正版杀毒软件,并升级到最新病毒库,对全盘进行杀毒。
系统加固及安全建议
安装正版杀毒软件、打全补丁,同时启用单机防火墙,推荐使用look’n’stop;关闭不需要服务,为系统建立快照。
在装机时不要使用ghost系统和精简版系统;安装时不要连入网络,安装完成后为系统建立快照,然后安装单机防火墙,正版杀毒软件,再接入网络升级病毒库,打系统补丁;关闭不需要的服务;安装常用工作、学习及娱乐软件,一切正常后再次为系统建立快照;养成良好的上网习惯,不随意打开不熟悉的网址,不随意接收文件;经常保持杀毒软件的更新和经常杀毒。
本预案不含执法取证步骤,不包括windows服务器应急处理,不包括运营保障、路由器及防火墙等安全方面内容,仅是对个人PC的应急处置预案,如果其它更多的安全方面需要了解,可参考本工作室其他的相关文档。
工作让人生有趣,壹佰加网络安全工作室将以对待人生的积极态度,专业的职业技能,为用户提供有效而有趣的网络安全服务!
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国