我曾經遇到過這樣一件事，當我連接到局域網并訪問一些網站時，其中的一個網站，屬于網絡日志聚合類服務，精選了大量活躍日志中的評論集，我隨意地點擊評論進行查看。就在我停下來回應敲門這一短短時間中，一個惡意軟件已經開始控制我的Windows筆記本電腦了。

這就是為什么這篇文章關注的重點是Windows的原因了。這些原則也適用于類似的非Windows平臺，但在細節方面會有所不同。

恐慌過后的工作

出于本能，我立即拔掉了網線（采用迷你接口的有線連接）。接下來，惡意軟件的癥狀就開始出現了，我非常希望能盡快訪問到剛才無法進入的搜索引擎。為什么呢？因為，對于惡意軟件來說，攻擊已經開始了，甚至有可能已經完成了，并隱藏到系統里的某處了。

對于進行清晰的思考來說，惡意軟件通過活動進程進行傳播的時間并不是非常有利的選擇，但在這種情況下，你必須在第一時間進行有效處理。在感染早期采取正確的處理措施，可以為后面的修復工作節省大量時間。對于專門的惡意軟件處理人員來說，這些步驟屬于常識，但對于典型中小型企業網絡的管理員來說，網絡安全僅僅屬于眾多工作中的一項。　　

建議的處理方式

對于此類問題，安全軟件供應商們給出了什么樣的建議？他們提供了一類稱之為“終端保護”的軟件，有幾家甚至認識到這里存在的商業機會：舉例來說，基石公司的聯系頁面就使用了“911緊急響應”的抬頭。他們還提供了一系列的免費工具。在適用于Windows系統的反惡意軟件工具包還可以包含Sysinternals的PsTools工具套件，你可以從微軟技術網絡上免費下載（盡管作者馬克·魯西諾維奇指出：由于這些工具也被某些病毒使用，這樣做的后果可能會觸發防病毒警告）。采用Sysinternals　Handle和進程瀏覽器可以給處理過程帶來很大的幫助。

開始反擊

我記得就在幾分鐘前，還可以利用HTC Touch 2手機上的瀏覽器來查找感染來源，計劃處理方案。在浪費了一些時間瀏覽過幾個沒有什么幫助的頁面后，我確定了惡意軟件的具體種類，在間諜軟件超級防護網站上找到了關于怎樣解決該問題詳細清晰的說明，并且發現了一個由MalwareBytes提供的非常優秀的企業級反病軟件安裝包。

在成功地清除掉惡意軟件后，我去參加了當天的會議。我提醒自己，對于零日攻擊來說，處理過程并不是那么簡單的。如果多臺工作站或者一兩臺服務器在工作的時間受到攻擊，采用更加系統規范的處理模式是非常有必要的。在經過更復雜的風險分析后，我發現，建立一支經過培訓可以充分有效地執行感染處理措施的應急處理隊伍是非常有必要的。并且認識到，對于企業來說，無線網絡電話是一項非常重要的資產。關鍵命令甚至二進制文件都可以通過短信或移動Skype之類的方式進行傳播。

這次會議是以一場基于聯邦緊急事務管理局標準的桌面緊急響應演習而結束的。

桌面系統惡意軟件應急處理七要訣

1、充分了解存在的風險

遵循應急處理業的希波克拉底誓言：不要增加損害。換句話說，就是不要讓情況變得更糟。對惡意軟件進行分析評估，判斷它是需要被立即刪除，還是關閉機器，在受到控制的環境里進行處理。充分考慮到數據面臨的風險和設備的實際需求，從中找到最佳的處理措施。

2、隨身攜帶支持網絡功能的智能手機

對數據項目進行投入。作到可以熟練地使用移動瀏覽器，掌握其大部分功能。將書簽信息保存起來。大部分手機都可以支持保存了額外應急軟件的閃存卡。

3、隨身攜帶大容量（USB接口16GB容量）的記憶棒

至少攜帶一個大容量的USB存儲設備，將最經常使用的安全工具保存在上面，更好的方法是利用Slax之類的Linux小型發行版本建立包含安全工具的完全可引導操作系統。

4、對攻擊進行更廣泛的檢查

確定惡意軟件針對你運氣不好的筆記本計算機進行的是普通攻擊，還是僅僅屬于佯攻：可以利用通常的補救措施來進行處理，比讓最初的攻擊獲得成功更需要得到重視。

5、進行災難恢復演習

即使在本次攻擊中，你有幸避免遇到數據丟失的后果，了解進行災難恢復時可以采取的處理措施，依然是非常有必要的。并且，它們需要經常進行更新。

6、經常更新書簽

在網絡安全類網站上經常包含了一些發人深省的經驗，對于應急處理來說，它們非常有價值。因此，應該經常更新手機上的書簽。

7、及時進行事后總結并記錄進書面文件

在軍事領域，它被稱為“事后總結”或者AAR。在清理完惡意軟件消除了帶來的損害后，你應該利用工具對整起事件進行分析總結，并建立容易訪問的書面文件。將整個事件的詳細過程記錄下來。以確保首席執行官在到國會小組委員會作證前，不會遇到相同的困擾。  

【編輯推薦】

1. Windows 7系統安全大揭秘
2. Windows 7安全利器- UAC解析