DIY编程器网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 951|回复: 0
打印 上一主题 下一主题

[待整理] 使用U盘与恶意软件作斗争

[复制链接]
跳转到指定楼层
楼主
发表于 2014-10-13 15:04:46 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  通常律师和医生在出席Party时不喜欢告诉别人他们自己的职业,只要有人听说他们的身份,就会咨询医疗或者法律方面的事情。而现在,如果你说你在计算机安全领域工作,在你为周围同样会很多人向你咨询安全相关信息。

  经常会出现这种情况,当信息安全专业人员需要执行一些快速修复工作时,发现没有合适的工具集。为了解决这个问题,我们在本月的应用指南中将讨论如何建立一个用于修复被感染的计算机的便携式软件工具箱。互联网上有大量免费的非常有用的系统分析工具和反恶意软件工具。我建议管理员下载这些软件并且把这些软件刻录到CD光盘上,最好是写在价格很便宜的1GB优盘。然后随身携带这个优盘,这样你就可以像一个信息安全的超级英雄那样在灾难中把人们挽救过来。

  第一件武器:杀毒和反间谍软件

  首先,你需要能够扫描系统、检测和删除系统中恶意软件的杀毒和反间谍软件工具。我最喜欢的免费杀毒扫描软件是ClamAV。这是Sourcefire在2007年8月收购的一种杀毒工具。不过,应定期下载病毒特征库并更新。

  对于反间谍软件,我最喜欢的免费工具包括Lavasoft AB公司的Ad-Aware、Spybot Search和Destroy以及趋势科技的HijackThis。虽然许多商业厂商都购买许多这类产品,但是只要这种软件是免费的、高质量的和保持更新的,使用这种软件就没有什么错误。

  第二件武器:机器分析器

  对Windows系统进行深入分析的最佳资源之一是微软在2006年7月收购的Sysinternals。我希望许多Sysinternals工具最终将集成到Windows系统中。但是,在此之前,下载这些工具是很有帮助的。下面是一些重要的Sysinternals工具。

  ·Process Explorer(进程浏览器)实际上就是一种Windows任务管理器。它显示全部运行的进程,指出它们的层次关系以及它们装载的动态链接库。

  ·Filemon和Regmon分别使用文件系统和注册表记录所有的相互作用,并且能够实时完成这些任务。

  ·流进程监视器,Sysinternals工具中新增加的一种工具,基本上是把上述三种工具集成在了一起,详细说明一台机器上运行的全部进程。

  ·Autoruns程序显示一个系统在启动时或者用户登录时自动开始运行的全部程序。因为间谍软件经常修改自动启动目录或者注册表,这个程序对于分析一台机器的启动状态是非常重要的。

  ·TCPView以图片方式提供TCP和UDP端口使用情况,把每一个端口与它正在使用的流程关联起来。

  ·Strings在屏幕上显示一个文件的字符串。粗心的恶意软件作者把字符串留在他们的代码中。这种字符串经常是ASCII字符串。要让Sysinternals程序查找ASCII字符串,而不是系统默认的Unicode字符串。运行这个程序时要使用-a这个参数。

  ·最后使用RootkitRevealer查找rootkit,确定一个系统在什么时候提供有关哪一个文件或者注册键出现的错误信息。

  使用这些工具收集到的信息,再加上用搜索引擎搜索一下具体的进程、动态链接库和文件名,能够帮助识别在一台计算机上的恶意活动

  第三件武器:微软基准安全分析器(MBSA)

  微软的这个免费的方便诊断工具能够查看Windows计算机的数百项设置,确定其安全状态和提出建议。MBSA能够披露补丁已经过期可能让恶意软件感染等安全漏洞。我还建议你们携带一个名为Netcat的网络安全工具。这种工具能够在TCP连接或者UDP端口上发送任意数据。Netcat能够移动文件(如MBSA或者ClamAV等工具生成的报告)或者存档远程访问(shell access)。

  第四件武器:LADS(附加数据流列表)

  Frank Heyne公司的这个免费软件工具可以查找基于NTFS的文件系统中的附加数据流(ADSes)。附加数据流是默认的隐藏文件,黑客有时候利用这种文件隐藏其恶意。Windows Vista操作系统新增加的一个选项能够使用内置的“dir”命令加上“/r”参数显示数据流。由于Windows Vista以前版本的系统仍在使用,LADS这样的工具应该是你的工具箱中的另一个重要工具。

  第五件武器:VMware播放器/VMware安全浏览设备

  VMware播放器是一种免费的虚拟化应用程序。这种软件能够让客户机在Windows计算机上运行。VMware安全浏览设备包括一个免费的配置火狐浏览器的Ubuntu操作系统。

  有时候,互联网访问需要下载一个额外的工具。如果手头没有其它机器,VMware就可以安装到机器上,运行这个虚拟机就可以访问互联网。

  一旦你建立了消灭恶意软件的USB武器库,你一定要把这个优盘设置为只读模式。许多优盘有只读访问的硬件开关,打开这个开关,因为我们不希望恶意软件感染我们的武器库。所以我一般不购买没有硬件支持只读访问的优盘。

  最后,不要让这些工具仅仅局限于一个优盘分析工具。你可以根据你的需求增加其它组件。但是,不要向这个优盘下载你不知道用途的工具。不正确地运行一个工具可能会给机器造成更大的破坏。你要在实验室里用实验的机器练习使用这些工具,认真思考每一个工具如何能够帮助你修复一台被感染的机器。只需很少的计划和大量的练习,一个消灭恶意软件的优盘就可以很好地为你服务。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享分享 支持支持 反对反对
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|文字版|手机版|DIY编程器网 ( 桂ICP备14005565号-1 )

GMT+8, 2024-11-15 16:47 , 耗时 0.080712 秒, 18 个查询请求 , Gzip 开启.

各位嘉宾言论仅代表个人观点,非属DIY编程器网立场。

桂公网安备 45031202000115号

DIY编程器群(超员):41210778 DIY编程器

DIY编程器群1(满员):3044634 DIY编程器1

diy编程器群2:551025008 diy编程器群2

QQ:28000622;Email:libyoufer@sina.com

本站由桂林市临桂区技兴电子商务经营部独家赞助。旨在技术交流,请自觉遵守国家法律法规,一旦发现将做封号删号处理。

快速回复 返回顶部 返回列表